bind9 ohne forwading bei vodafone/easybox

[r5real]

jessie, bind9 OHNE forward-server auf localhost funktioniert überall - nur nicht bei vodafone.
Auf dem speziellen Vodafon-VDSL-router bin ich admin und der Rechner mit dem Jessie/bind9 hat alle Rechte auf der Easybox:
Keine Firewall, TCP/UDP-Port 53 offen...

ÜBERALL GEHT FOLGENDES (WO ICH DEN RECHNER OFT NUTZE):
dig debianforum.de @127.0.0.1
ODER
dig debianforum.de @8.8.8.8
... kein Problem.

AUSSER BEI VODAFONE:
dig debianforum.de @8.8.8.8
... o.k. geht natürlich!
dig debianforum.de @127.0.0.1
... KEIN RESULTAT.

Wenn ich dazu google habe ich das Gefühl, keiner nutzt direkt die root Server. Ich würde nur ungerne darauf verzichten.
Die kostenpflichtige Hotline von vodafone hat dazu nichts beitragen können.

Ich vermute inzwischen die root-nameserver werden von vodafone geblockt.
Kann ich den bind9 Vorgang genauer an der Konsole prüfen?
Im Stil von tracerroute o.ä.?

[MSfree]

Wenn ich dazu google habe ich das Gefühl, keiner nutzt direkt die root Server.

Das ist meiner Erfahrung nach auch nicht sinnvoll. Die Root-DNS antworten teilweise sehr langsam und die Anfragen enden häufig in Timeouts. Ohne Forwardes habe ich bisher bei Arcor (=Vodaphone) und T-Online immer wieder Probleme mit der Namensauflösung gehabt.

[dirk11]

Die Root-DNS antworten teilweise sehr langsam und die Anfragen enden häufig in Timeouts.

Seit wann und warum ist das Deiner Meinung nach so? Ich habe jahrelang extra einen Rechner mit bind9-Server für mein Home-Netz vorgehalten, weil die DNS diverser Provider unfaßbar schlecht waren, einige Anfragen bewußt geschluckt haben (Provider-Sperren, sowas lass' ich mir nicht gefallen) und sehr viele Ausfälle hatten. Das waren u.A. Versatel und Telekom, ist allerdings schon ca. 10 Jahre her. Ich habe damals nach diversen enttäuschenden Versuchen eigentlich immer die root-DNS befragt, weil das einfach am besten funktioniert hat, in Form von Zuverlässigkeit und Antwortzeiten.
Hat sich dann irgendwann gebessert, mittlerweile betrachte ich das Thema als erledigt und nicht mehr notwendig.

[r5real]

Die root Server Abfrage dauert 10 mal länger, hat im Umgang --weil bind mit Cache-- fuer mich keine spürbare Relevanz.
Hier soll es um das Prinzip gehen: Warum geht das folgende bei vodafone gar nicht?

dig debianforum.de @192.168.1.2

; <<>> DiG 9.9.5-12.1-Debian <<>> debianforum.de @192.168.1.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 632
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;debianforum.de. IN A

;; ANSWER SECTION:
debianforum.de. 3600 IN A 144.76.154.165

;; Query time: 49 msec
;; SERVER: 192.168.1.2#53(192.168.1.2)
;; WHEN: Fri Mar 25 10:16:23 CET 2016
;; MSG SIZE rcvd: 59

dig debianforum.de @127.0.0.1

; <<>> DiG 9.9.5-12.1-Debian <<>> debianforum.de @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41769
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 6

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debianforum.de. IN A

;; ANSWER SECTION:
debianforum.de. 86400 IN A 144.76.154.165

;; AUTHORITY SECTION:
debianforum.de. 86399 IN NS a.regfish-ns.net.
debianforum.de. 86399 IN NS c.regfish-ns.net.
debianforum.de. 86399 IN NS b.regfish-ns.net.

;; ADDITIONAL SECTION:
a.regfish-ns.net. 86400 IN A 79.140.49.11
a.regfish-ns.net. 86400 IN AAAA 2a02:2c0::11
b.regfish-ns.net. 86400 IN A 195.247.131.12
c.regfish-ns.net. 86400 IN A 62.116.182.108
c.regfish-ns.net. 86400 IN AAAA 2001:4178:2:1355::10

;; Query time: 472 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Mar 25 10:14:18 CET 2016
;; MSG SIZE rcvd: 225

[MSfree]

Warum geht das folgende bei vodafone gar nicht?

Ich stimmt nicht, daß es bei Vodafone "gar nicht" geht, denn bei mir geht es und ich bin bei Vodafone (bzw.noch Arcor-Altkunde). Ich habe aber aus Performancegründen Forwarders im DNS, weil sonst gefühlt jede zweite DNS-Anfrage beim ersten Mal nicht aufgelöst werden kann.

Mein Anschluß ist allerdings noch ADSL und nicht VDSL. OK, die Übertragungsdtechnik dürfte keine Rolle spielen. Es könnte aber sein, daß Altkunden wie ich noch mit IPv4 versorgt werden während Neukunden, die VDSL bestellen, nur noch IPv6 bekommen. Dementsprechend muß dann auch der DNS konfiguriert werden.

[r5real]

ALT:
#netstat -lnptu |grep "named\W*$"

tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 658/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 658/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 658/named

# vim /etc/bind/named.conf.options

ipv6 hinzugefügt...

# /etc/init.d/bind9 restart

[ ok ] Restarting bind9 (via systemctl): bind9.service.

# less +F /var/log/syslog

keine Auffällgkeiten, läuft

NEU
# netstat -lnptu |grep "named\W*$"

tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 4442/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 4442/named
tcp6 0 0 ::1:53 :::* LISTEN 4442/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 4442/named
udp6 0 0 ::1:53 :::*

DANKE!
Das muss ich testen...
Feedback kann einige Tage dauern...

[r5real]

Warum geht das folgende bei vodafone gar nicht?

Ibin bei Vodafone (bzw.noch Arcor-Altkunde).
... allerdings noch ADSL und nicht VDSL. OK, die Übertragungsdtechnik dürfte keine Rolle spielen.
Es könnte aber sein, daß Altkunden wie ich noch mit IPv4 versorgt werden während Neukunden, die VDSL bestellen, nur noch IPv6 bekommen.
Dementsprechend muß dann auch der DNS konfiguriert werden.

Genau das liegt hier auch vor:
Der alte Vertrag ist ein arcor-DSL Vertrag.
Jetzt am 18 März wurde der Anschluß auf VDSL umgestellt.

Mit der Erweiterung auf ipv6 werde ich das wieder testen.
Zur Not müssen halt forwarder rein: dann jedoch: wikileaks/CCC/o.ä.

[r5real]

Heute war so schönes Wetter, also mit dem Motorrad zum Testen unterwegs gewesen.
Es geht einfach nicht. Mit diesen Optionen bin ich hier unterwegs. Hinter dem Vodafone-Router geht es einfach nicht:
Normal habe ich in der resolv.conf nur 127.0.0.1.

cat /etc/bind/named.conf.options

options {
directory "/var/cache/bind";

forwarders {
194.25.0.125; //ccc
85.214.20.141; //FoeBud
204.152.184.76; //f.6to4-servers.net, ISC, USA
2001:4f8:0:2::14; //f.6to4-servers.net, IPv6, ISC
194.150.168.168; //dns.as250.net, Berlin/Frankfurt
213.73.91.35; //dnscache.berlin.ccc.de
};
forward first;

dnssec-validation auto;
dnssec-enable yes;

auth-nxdomain no; # conform to RFC1035
listen-on { 127.0.0.1; ::1; };
listen-on-v6 { 127.0.0.1; ::1; };

allow-query { 127.0.0.1/32; ::1/128; };
allow-recursion { 127.0.0.1/32; ::1/128; };
allow-transfer { 127.0.0.1/32; ::1/128; };
};

Bevor sich das klärt, ist bei mir vodafone auf der blackliste.
Vielleicht gibt sich das noch. Im Moment ist da was extrem negativer, als an allen Orten welche ich sonst kenne.

[OlliL]

Kam hier irgendwas bei rum? Habe offensichtlich das gleiche Problem... habe von Unitymedia (Kabel) auf Vodafone (VDSL) umgestellt und nun resolved mein named nicht mehr - nur wenn ich den DSL-Router z.B. als forward eintrage lässt sich mein namend zum resolving überreden.... das ist doch strange.