linuxero
12.06.2025
view614
view5
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

DNS-Server lehnt unter anderem Anfragen von Cloudflare ab

gelöstFrageDNS Server
Guten Tag,

Ich habe die Domain easygen-it.eu registriert. Außerdem habe ich einen DNS-Server eingerichtet, der unter ns1.softiternity.com erreichbar ist. In meinem Registrar-Panel habe ich ns1.softiternity.com als primären DNS-Server für easygen-it.eu eingerichtet. Anschließend habe ich die SOA-, NS-, A- und AAAA-Einträge für die Zone easygen-it.eu auf ns1.softiternity.com erstellt. DNSSEC habe ich für die Zone aktiviert und den öffentlichen Schlüssel und den DS in meinem Registrar-Panel eingegeben. Ich habe keine A- oder AAAA-Einträge für ns1.softiternity.com auf meinem DNS-Server angegeben. Ich habe mich über die Glue-Einträge informiert, bin mir aber noch nicht sicher, ob diese in die Zonenkonfiguration von easygen-it.eu oder woanders gehören. Wenn ich einen normalen Dig-Befehl auf meinem PC ausführe, kann ich die Einträge für easygen-it.eu auflösen. Wenn ich jedoch Cloudflare oder Google im Dig-Befehl angebe, erhalte ich eine Fehlermeldung. Was habe ich falsch gemacht? Hier ist ein Ausschnitt der Dig-Befehle:

$ dig  +dnssec aaaa easygen-it.eu 

; <<>> DiG 9.18.33 <<>> +dnssec aaaa easygen-it.eu
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10201
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;easygen-it.eu.                 IN      AAAA

;; ANSWER SECTION:
easygen-it.eu.          300     IN      AAAA    2a01:4f8:10a:68b::40
easygen-it.eu.          300     IN      RRSIG   AAAA 14 2 300 20250626000000 20250605000000 29921 easygen-it.eu. A+s4ZF9QNduseCC+lZ7ZkLYH52ed7LLSgTXUO048NXXMkDFuFAQTYM9j UlQ1EiWnPTTmgkI1vs8kWnD2b4DNKrM7TCYQNKfCtHjjPRxTniH6eCyy hmIb6IEluhz7+kpX

;; Query time: 1863 msec
;; SERVER: 10.9.9.21#53(10.9.9.21) (UDP)
;; WHEN: Thu Jun 12 12:42:26 CEST 2025
;; MSG SIZE  rcvd: 211

Mit Cloudflare:
$ dig  +dnssec aaaa easygen-it.eu @1.1.1.1

; <<>> DiG 9.18.33 <<>> +dnssec aaaa easygen-it.eu @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24810
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; EDE: 22 (No Reachable Authority): (at delegation easygen-it.eu.)
; EDE: 23 (Network Error): (148.251.52.7:53 rcode=REFUSED for ns1.softiternity.com A)
;; QUESTION SECTION:
;easygen-it.eu.                 IN      AAAA

;; Query time: 203 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Thu Jun 12 12:42:31 CEST 2025
;; MSG SIZE  rcvd: 138

Vielen Dank im Voraus
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673349

Url: https://administrator.de/forum/dns-server-glue-eintraege-cloudflare-673349.html

Ausgedruckt am: 13.06.2025 um 10:06 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
LordGurke
Lösung LordGurke 12.06.2025 aktualisiert um 13:55:39 Uhr
Goto Top
Das Problem ist, dass dein Server sich nicht für autoritativ hält: In deinem ersten "dig" sieht man, dass das "AUTHORITY"-Bit nicht gesetzt ist.
Mein bind-Resolver weigert sich auch, das aufzulösen:

Jun 12 13:47:16 named[507634]: REFUSED unexpected RCODE resolving 'easygen-it.eu/A/IN': 2a01:4f8:202:1209::6#53  
Jun 12 13:47:16 named[507634]: REFUSED unexpected RCODE resolving 'easygen-it.eu/A/IN': 148.251.52.7#53

Nachtrag:
Tatsächlich arbeitet der als offener Resolver, was man im Internet nicht haben will (DDoS-Attacken über DNS Amplification).
Hast du da einen Resolver vor deinem autoritativen Server stehen und missbrauchst den als Proxy? Das funktioniert nicht, weil der Resolver ja das Authority-Flag löscht, was ein Recursor aber benötigt.

Nachtrag 2:
Yep, das ist das Problem:
Du hast da einen PowerDNS RECURSOR, keinen autoritativen Server.
Wenn du da einen Proxy benötigst, kannst du dir dnsdist ansehen. Ansonsten, wenn der Recursor da nicht benötigt wird, wirf den Recursor herunter und installiere den Authoritative Server von PowerDNS.

$ dig @ns1.softiternity.com. +nsid -c CH -t TXT version.bind.

; <<>> DiG 9.20.9 <<>> @ns1.softiternity.com. +nsid -c CH -t TXT version.bind.
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7475
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; NSID: 6d 78 2e 6d 74 61 69 6c 6f 75 6e 69 65 2e 6e 65 74 ("mx.mtailounie.net")  
;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
version.bind.           86400   CH      TXT     "PowerDNS Recursor 5.2.2 (built May  9 2025 22:02:52 by psuave@ps.softiternity.com)"  

;; Query time: 11 msec
;; SERVER: 2a01:4f8:202:1209::6#53(ns1.softiternity.com.) (UDP)
;; WHEN: Thu Jun 12 13:53:36 CEST 2025
;; MSG SIZE  rcvd: 157
heart2
Linuxero
Linuxero 12.06.2025 um 16:20:17 Uhr
Goto Top
Vielen Dank LordGurke face-smile Das hat jetzt geklappt.

Ich vermute ich kann auch dnsdist vor dem Recursor nicht verwenden, wobei ich muss meinen Recursor andere Adressesen zuweisen, oder?

Eigentlich, möchte ich meinen Resolver haben, da ich ihn als mein DNS server überall verwende face-smile

Vielen Dank noch einmal.
LordGurke
LordGurke 12.06.2025 aktualisiert um 16:27:04 Uhr
Goto Top
Eigentlich, möchte ich meinen Resolver haben, da ich ihn als mein DNS server überall verwende

Wie gesagt, keine so gute Idee im Internet. Du kannst ja mal mit 
tcpdump -i any -nn "dst port 53 && udp"
lauschen – da dürften vermutlich bereits massenhaft Anfragen von ein paar IP-Adressen aufschlagen, die immer das gleiche fragen.
Die werden dann aktuell von (unter anderem) deinem System per DDoS attackiert.

Ich vermute ich kann auch dnsdist vor dem Recursor nicht verwenden, wobei ich muss meinen Recursor andere Adressesen zuweisen, oder?

Prinzipiell geht das, man kann die Anfragen basierend auf dem angefragten Namen an unterschiedliche Backends routen. Ich weiß nicht wie viele Domains du autoritativ betreiben willst und ob sich der Aufwand lohnt.
Lochkartenstanzer
Lochkartenstanzer 12.06.2025 aktualisiert um 16:27:52 Uhr
Goto Top
Zitat von @Linuxero:

Eigentlich, möchte ich meinen Resolver haben, da ich ihn als mein DNS server überall verwende face-smile

Dann setz zwei Server auf. Einen Resolver und eine hidden primary. So wird das normalerweise auch gemacht. face-smile

lks
Linuxero
Linuxero 12.06.2025 aktualisiert um 20:00:49 Uhr
Goto Top
@LordGurke, ich habe gerade dnsdist mit dem Recursor ausgetauscht und werde versuchen, die Konfiguration etwas zu verschärfen. Danke.


@Lochkartenstanzer, der nächste Schritt beim Aufbau meiner DNS-Server face-smile

Danke
gelöstFrageDNS Server
Serie: Eigener DNS, DNSSEC und die Registrars
DNS-Server lehnt unter anderem Anfragen von Cloudflare ab5
Heiß diskutiert
SeekuhrittyVLAN Problem zwischen 2 SwitchenSeekuhritty - 42 KommentareQuerdriftEntscheidungshilfe NetzwerksegmentierungQuerdrift - 37 Kommentarenapo69Windows Server 2022 Komplettsicherung. Welches Medium?napo69 - 31 KommentareStefanKittelGibt es noch aktuelle Drucker die keinen Seitenzählen im Toner oder Tinte haben?StefanKittel - 30 KommentaresupertuxMonitore bleiben schwarzsupertux - 28 KommentareJan-WernerGigastone NAS SSDJan-Werner - 28 KommentareASMFreakKein Zugriff auf eine FreigabeASMFreak - 25 Kommentareluki11Tobit David zu Exchange migrierenluki11 - 25 KommentareJustman10000Intel S9248WK1HLC mit 8x 48 Kern Prozessoren für 499???Justman10000 - 22 Kommentarec0mhexDiskussion Softether VPNc0mhex - 22 KommentareEriAdmUmfrage: Eure Einschätzung zur Erlernbarkeit von CloudtechnologienEriAdm - 20 KommentarekpunktE-Mailadressen auf Homepagekpunkt - 20 KommentareDerWoWussteSkriptausführung via Taskplaner hin und wieder erfolglosDerWoWusste - 18 Kommentare