Jan 18, 2022

10552

Namensauflösung apt-update Ubuntu 20.04.3

Mahlzeit zusammen,

ich habe hier gerade 3 Ubuntu Server (Ubuntu 20.04.3) vor mir, welche kein apt update // apt upgrade -y mehr ausführen wollen.
Alle 3 Maschinen sind bei NetCup gehostet.

Da ich auch noch andere Ubuntu Server betreibe (daheim und anderes RZ) sehe ich den Wald vor lauter Bäumen nicht....

Ein apt update schlägt fehl, mit folgender Meldung:

Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Aktualisierung für 24 Pakete verfügbar. Führen Sie »apt list --upgradable« aus, um sie anzuzeigen.
W: Fehlschlag beim Holen von http://de.archive.ubuntu.com/ubuntu/dists/focal/InRelease Temporärer Fehlschlag beim Auflösen von »de.archive.ubuntu.com«
W: Fehlschlag beim Holen von http://de.archive.ubuntu.com/ubuntu/dists/focal-updates/InRelease Temporärer Fehlschlag beim Auflösen von »de.archive.ubuntu.com«
W: Fehlschlag beim Holen von http://de.archive.ubuntu.com/ubuntu/dists/focal-backports/InRelease Temporärer Fehlschlag beim Auflösen von »de.archive.ubuntu.com«
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.

Versuche ich einen Ping auf de.archive.ubuntu.com

ping de.archive.ubuntu.com
ping: de.archive.ubuntu.com: Temporary failure in name resolutio

Ein TracePath:

tracepath de.archive.ubuntu.com
tracepath: de.archive.ubuntu.com: Temporary failure in name resolution

NSLOOKUP:

nslookup de.archive.ubuntu.com
Server:         127.0.0.53
Address:        127.0.0.53#53

** server can't find de.archive.ubuntu.com: SERVFAIL  

Das ganze nun aber mal mit einer anderen Domain (z.B heise.de)

TracePath:

tracepath -4 heise.de
 1?: [LOCALHOST]                      pmtu 1500
 185.216.176.3                                         0.375ms 
 185.216.176.3                                         0.249ms 
 94.16.25.76                                           0.377ms 
 ae2-0.bbr02.anx25.fra.de.anexia-it.net                3.758ms asymm  6 
 ae0-0.bbr01.anx25.fra.de.anexia-it.net                3.913ms 
 ffm-b5-link.ip.twelve99.net                           3.738ms 
 ffm-bb2-link.ip.twelve99.net                          3.990ms asymm  8 
 ffm-b1-link.ip.twelve99.net                           7.032ms 
 plusline-ic323934-ffm-b1.ip.twelve99-cust.net         4.565ms asymm 10 
 82.98.102.3                                           7.460ms asymm 11 
 82.98.102.40                                          8.458ms asymm  9 
 82.98.102.65                                          7.239ms asymm  9 
 212.19.61.13                                          6.764ms !H
     Resume: pmtu 1500 

NSLOOKUP:

nslookup heise.de
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   heise.de
Address: 193.99.144.80
Name:   heise.de
Address: 2a02:2e0:3fe:1001:302::

Anbei einmal meine Netzwerkkonfiguration:
(Auszug aus IFCONFIG) = Einstellungen sind NetCup default [Meine IPv4 und v6 wurde mit XXXX) unkenntlich gemacht]

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 185.216.XXX.XXX  netmask 255.255.252.0  broadcast 185.216.XXX.255
        inet6 fe80::a826:52ff:XXXX:XXXX  prefixlen 64  scopeid 0x20<link>
        inet6 2a03:4000:4f:bda:a826:52ff:XXXX:XXXX  prefixlen 64  scopeid 0x0<global>
        ether aa:26:52:6d:fd:68  txqueuelen 1000  (Ethernet)
        RX packets 13360  bytes 1054793 (1.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1465  bytes 289658 (289.6 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 287  bytes 36098 (36.0 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 287  bytes 36098 (36.0 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP>  mtu 1420
        inet 192.168.29.4  netmask 255.255.255.0  destination 192.168.29.4
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
        RX packets 2  bytes 184 (184.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 11  bytes 584 (584.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Hat hier jemand eine Idee wodran das liegen kann?
Ich sehe den Wald vor Bäumen aktuell leider nicht, da die anderen Maschinen die Probleme nicht machen....lediglich die Kisten bei NetCup zicken rum.

Beste Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 1736641189

Url: https://administrator.de/contentid/1736641189

Printed on: April 25, 2024 at 16:04 o'clock

12 Comments

Latest comment

Da stimmt dann wohl etwas mit den DNS Settings dieser Server nicht !!

nslookup de.archive.ubuntu.com
Server:  UnKnown
Address:  172.16.1.254

Nicht autorisierende Antwort:
Name:    ubuntu.mirror.tudos.de
Addresses:  141.30.62.23
          141.30.62.25
          141.30.62.22
          141.30.62.24
          141.30.62.26
Aliases:  de.archive.ubuntu.com 

Servus,

trage doch mal (zu Testzwecken) die den google dns in die /etc/resolv.conf ein.

gruss
l

Igitt !!
Da gibt es deutlich Datenschutz freundlichere Alternativen wie 9.9.9.9
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...

Zitat von @linuxer1:

Servus,

trage doch mal (zu Testzwecken) die den google dns in die /etc/resolv.conf ein.

gruss
l

Das war's....
Vielen Dank

Folgender Inhalt war in der Datei:

nameserver 127.0.0.53
options edns0 trust-ad

Ersetzt habe ich das nun durch

nameserver 9.9.9.9
options edns0 trust-ad

Die Google DNS Server verwende ich seit Jahren schon nicht mehr.
Aber warum das auf einem Mal so ist?...
Im Dezember 21 lief das noch ohne Probleme

Viel sinnvoller wäre die lokalen DNS Server des Providers dort einzutragen satt sie sinnfrei um den halben Erdball zu schicken und sich auch damit noch abhängig von US Diensten und deren Verfügbarkeit zu machen. Aber egal...
https://www.netcup-wiki.de/wiki/Nameserver

Zitat von @ITAllrounder:
Folgender Inhalt war in der Datei:

nameserver 127.0.0.53
options edns0 trust-ad

Ersetzt habe ich das nun durch

nameserver 9.9.9.9
options edns0 trust-ad

Das bedeutet, dass der systemd-resolved benutzt wird / wurde. Dein ursprüngliches Problem besteht also weiterhin mit dem resolved und du trittst dir jetzt eher Probleme mit bestimmten DNS-Anfragen ein (z.B. solche, bei denen die Antwort zu groß für UDP ist wie DKIM-Schlüssel).
Schau mal nach, was im systemd-resolved als Nameserver konfiguriert ist und warum der nicht ordentlich auflöst.

Zitat von @aqui:

Viel sinnvoller wäre die lokalen DNS Server des Providers dort einzutragen satt sie sinnfrei um den halben Erdball zu schicken und sich auch damit noch abhängig von US Diensten und deren Verfügbarkeit zu machen. Aber egal...
https://www.netcup-wiki.de/wiki/Nameserver

Folgende Einträge sind in der /etc/systemd/resolved.conf hinterlegt

[Resolve]
DNS=46.38.225.230 46.38.252.230 2a03:4000:0:1::e1e6 2a03:4000:8000::fce6
#FallbackDNS=
#Domains=
LLMNR=no
MulticastDNS=no
DNSSEC=allow-downgrade
DNSOverTLS=no
Cache=no-negative
DNSStubListener=yes
ReadEtcHosts=yes

Somit eigentlich genau, dass was NetCup im Wiki beschreibt.
Trage ich den Server "46.38.225.230" direkt in der /etc/resolv.conf ein, stehe ich wieder vor dem Problem...
Sämtliche Domains können aufgelöst werden aber keine *.ubuntu.com
Eventuell ein Problem bei NetCup?

Zitat von @ITAllrounder:

Zitat von @linuxer1:

Servus,

trage doch mal (zu Testzwecken) die den google dns in die /etc/resolv.conf ein.

gruss
l

Das war's....
Vielen Dank

Nein das wars nicht. Das ist nur ein workaround, den man zwar zu Testzwecken machen kann, aber nicht als dauerhafte "Lösung" nehmen sollte.

Folgender Inhalt war in der Datei:

nameserver 127.0.0.53
options edns0 trust-ad

Aber warum das auf einem Mal so ist?...
Im Dezember 21 lief das noch ohne Probleme

Dann hast Du in Deine lokalen Konfiguration irgendeinen Fehler oder die Nameserver, die Dein lokaler Resolver fragt, geben keine Antwort.

Ich würde mal da debuggen, statt externe Nameserver wie quad-9 oder google zu nutzen.

lks

PS: Auch quad9 ist per se nicht unbedingt vertrauenswürdiger als aller anderen Nameserver in Bezug auf Datenschutz, auch wenn die das als Ziel angeben.

Zitat von @ITAllrounder:
Trage ich den Server "46.38.225.230" direkt in der /etc/resolv.conf ein, stehe ich wieder vor dem Problem...
Sämtliche Domains können aufgelöst werden aber keine *.ubuntu.com
Eventuell ein Problem bei NetCup?

Bei mir (allerdings unter CentOS, nicht Ubuntu) funktioniert die Auflösung bei Netcup:

# dig @46.38.225.230 de.archive.ubuntu.com. +edns=0 +dnssec

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.2 <<>> @46.38.225.230 de.archive.ubuntu.com. +edns=0 +dnssec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52216
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;de.archive.ubuntu.com.         IN      A

;; ANSWER SECTION:
de.archive.ubuntu.com.  203     IN      CNAME   ubuntu.mirror.tudos.de.
ubuntu.mirror.tudos.de. 204     IN      A       141.30.62.23
ubuntu.mirror.tudos.de. 204     IN      A       141.30.62.22
ubuntu.mirror.tudos.de. 204     IN      A       141.30.62.26
ubuntu.mirror.tudos.de. 204     IN      A       141.30.62.25
ubuntu.mirror.tudos.de. 204     IN      A       141.30.62.24

;; Query time: 0 msec
;; SERVER: 46.38.225.230#53(46.38.225.230)
;; WHEN: Di Jan 18 22:00:34 CET 2022
;; MSG SIZE  rcvd: 166

SERVFAIL kann auf einen Fehler bei DNSSEC hindeuten, aber die ubuntu.com-Zone ist unsigniert.
Aber mein Server kommt aus einem anderen Präfix, möglicherweise lande ich deshalb auf einem anderen Resolver als du.

Zitat von @LordGurke:

Bei mir (allerdings unter CentOS, nicht Ubuntu) funktioniert die Auflösung bei Netcup:

Bei mir nicht:

lks@nana$ dig @46.38.225.230 de.archive.ubuntu.com


; <<>> DiG 9.16.15-Ubuntu <<>> @46.38.225.230 de.archive.ubuntu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 25663
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 31c03a0aa5db63528716fb1061e72ecc185f1ba9be46450d (good)
;; QUESTION SECTION:
;de.archive.ubuntu.com.		IN	A

;; Query time: 12 msec
;; SERVER: 46.38.225.230#53(46.38.225.230)
;; WHEN: Di Jan 18 22:19:08 CET 2022
;; MSG SIZE  rcvd: 78

Die lokale Auflösung über meinen eigenen Nameserver fuktioniert allerdings:

lks@nana$ dig  de.archive.ubuntu.com

; <<>> DiG 9.16.15-Ubuntu <<>> de.archive.ubuntu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4496
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;de.archive.ubuntu.com.		IN	A

;; ANSWER SECTION:
de.archive.ubuntu.com.	302	IN	CNAME	ubuntu.mirror.tudos.de.
ubuntu.mirror.tudos.de.	633	IN	A	141.30.62.26
ubuntu.mirror.tudos.de.	633	IN	A	141.30.62.25
ubuntu.mirror.tudos.de.	633	IN	A	141.30.62.24
ubuntu.mirror.tudos.de.	633	IN	A	141.30.62.22
ubuntu.mirror.tudos.de.	633	IN	A	141.30.62.23

;; Query time: 32 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Di Jan 18 22:23:00 CET 2022
;; MSG SIZE  rcvd: 166

lks

Und du hast das auch von einem Netcup-Server aus getestet?

"REFUSED" lässt ja eher darauf schließen, dass du aus einem Fremdnetz gefragt hast...

Zitat von @LordGurke:

Und du hast das auch von einem Netcup-Server aus getestet?

"REFUSED" lässt ja eher darauf schließen, dass du aus einem Fremdnetz gefragt hast...

Ups,

Habe ich übersehen.

lks

German solved Question Ubuntu Linux

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments