[GELÖST] BIND9 - nsupdate "timed out"

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

[GELÖST] BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 24.02.2018 19:47:04

Hi,

bei mir will nsupdate meinen BIND 9.9.5 nicht updaten. Ich beokmme jedesmal einen Timeout am Client:

Code: Alles auswählen

nsupdate -k /etc/ssl/Khome.example.org.+163+36107.private
> server dns.example.org
> zone example.org
> update delete home.example.org
> pdate add home.example.org 1800 A 89.189.95.35
incorrect section name: pdate
> update add home.example.org 1800 A 89.189.95.35
> send
; Communication with server failed: timed out
dns.example.org steckt hinter einer Firewall, die ich mit Shorewall generiert habe.

Code: Alles auswählen

nmap dns.example.org

Starting Nmap 6.47 ( http://nmap.org ) at 2018-02-24 19:39 CET
Nmap scan report for dns.example.org (xxx.xxx.xx.x)
Host is up (0.032s latency).
Not shown: 996 filtered ports
PORT     STATE  SERVICE
21/tcp   open   ftp
80/tcp   closed http
443/tcp  closed https
3128/tcp closed squid-http

Nmap done: 1 IP address (1 host up) scanned in 11.44 seconds
Intern hat dns.example.org die IP 192.168.1.1 und dient als Host für KVM-Guests. Die Firewall-Regeln sehen für DNS so aus:

Code: Alles auswählen

# shorewall list loc-net | grep DNS
    0     0 ACCEPT     udp  --  *      *       192.168.1.1          0.0.0.0/0            udp dpt:53 /* DNS */
    0     0 ACCEPT     tcp  --  *      *       192.168.1.1          0.0.0.0/0            tcp dpt:53 /* DNS */
# shorewall list net-loc | grep DNS
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.1          udp dpt:53 /* DNS */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.1          tcp dpt:53 /* DNS */
Und DNS lauscht so

Code: Alles auswählen

# lsof -ni:53        
COMMAND   PID   USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
dnsmasq  2566 nobody    6u  IPv4    17974      0t0  UDP 192.168.1.1:domain 
dnsmasq  2566 nobody    7u  IPv4    17975      0t0  TCP 192.168.1.1:domain (LISTEN)
named   18081   bind   20u  IPv4 51067775      0t0  TCP 127.0.0.1:domain (LISTEN)
named   18081   bind   21u  IPv4 51062547      0t0  TCP xxx.xxx.xx.7:domain (LISTEN)
named   18081   bind   22u  IPv4 51062549      0t0  TCP xxx.xxx.xx.28:domain (LISTEN)
named   18081   bind   23u  IPv4 51062551      0t0  TCP xxx.xxx.xx.29:domain (LISTEN)
named   18081   bind   24u  IPv4 51062553      0t0  TCP xxx.xxx.xx.30:domain (LISTEN)
named   18081   bind  512u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  513u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  514u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  515u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  516u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  517u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  518u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  519u  IPv4 51067774      0t0  UDP 127.0.0.1:domain 
named   18081   bind  520u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  521u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  522u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  523u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  524u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  525u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  526u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  527u  IPv4 51067776      0t0  UDP xxx.xxx.xx.7:domain 
named   18081   bind  528u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  529u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  530u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  531u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  532u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  533u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  534u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  535u  IPv4 51062548      0t0  UDP xxx.xxx.xx.28:domain 
named   18081   bind  536u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  537u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  538u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  539u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  540u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  541u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  542u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  543u  IPv4 51062550      0t0  UDP xxx.xxx.xx.29:domain 
named   18081   bind  544u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  545u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  546u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  547u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  548u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  549u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  550u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  551u  IPv4 51062552      0t0  UDP xxx.xxx.xx.30:domain 
named   18081   bind  552u  IPv4 51062554      0t0  UDP 192.168.1.1:domain 
named   18081   bind  553u  IPv4 51062554      0t0  UDP 192.168.1.1:domain 
named   18081   bind  554u  IPv4 51062554      0t0  UDP 192.168.1.1:domain 
named   18081   bind  555u  IPv4 51062554      0t0  UDP 192.168.1.1:domain 
named   18081   bind  556u  IPv4 51062554      0t0  UDP 192.168.1.1:domain 
named   18081   bind  557u  IPv4 51062554      0t0  UDP 192.168.1.1:domain 
named   18081   bind  558u  IPv4 51062554      0t0  UDP 192.168.1.1:domain 
named   18081   bind  559u  IPv4 51062554      0t0  UDP 192.168.1.1:domain
Kann mir jemand meinen Fehler zeigen, weshalb der nsupdate keine Verbindung zum DNS-Server bekommt?

Vielen Dank
Kaheto
Zuletzt geändert von Kaheto am 26.02.2018 18:44:33, insgesamt 1-mal geändert.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: BIND9 - nsupdate "timed out"

Beitrag von mat6937 » 24.02.2018 21:02:00

Kaheto hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 19:47:04
bei mir will nsupdate meinen BIND 9.9.5 nicht updaten. Ich beokmme jedesmal einen Timeout am Client:

Code: Alles auswählen

nsupdate -k /etc/ssl/Khome.example.org.+163+36107.private
> server dns.example.org
> zone example.org
> update delete home.example.org
> pdate add home.example.org 1800 A 89.189.95.35
incorrect section name: pdate
> update add home.example.org 1800 A 89.189.95.35
> send
; Communication with server failed: timed out
Wie ist nach "update add ..." und vor "send", die Ausgabe von show?

Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

Re: BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 25.02.2018 09:21:33

Guten Morgen,

das folgt dem zweiten "update"

Code: Alles auswählen

> show
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; ZONE SECTION:
;example.org.                        IN      SOA

;; UPDATE SECTION:
home.example.org. 0    ANY     ANY
home.example.org. 1800 IN      A       89.189.95.35

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: BIND9 - nsupdate "timed out"

Beitrag von mat6937 » 25.02.2018 09:34:16

Kaheto hat geschrieben: ↑ zum Beitrag ↑
25.02.2018 09:21:33
das folgt dem zweiten "update"
OK.

Kann nsupdate, den Server erreichen? Starte tcpdump mit dem entsprechenden Filter und mach danach einen Portscan auf den Server bzw. sniffe auch den Zugriff mit nsupdate auf den Server.

Code: Alles auswählen

; Communication with server failed: timed out

Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

Re: BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 25.02.2018 17:25:49

mat6937 hat geschrieben: ↑ zum Beitrag ↑
25.02.2018 09:34:16
Kann nsupdate, den Server erreichen? Starte tcpdump mit dem entsprechenden Filter und mach danach einen Portscan auf den Server bzw. sniffe auch den Zugriff mit nsupdate auf den Server.
Ich würde behaupten ja. Ich habe auf dem Client und auf dem DNS-Server

Code: Alles auswählen

tcpdump -i eth0 port 53
gestartet.
Auf dem Client, der gleichzeitig

Code: Alles auswählen

nsupdate -k /etc/ssl/Khome.example.org.+163+36107.private
abspielt, ist

Code: Alles auswählen

17:10:22.148535 IP 192.168.0.200.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
17:10:25.148557 IP 192.168.0.200.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
17:10:28.148716 IP 192.168.0.200.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
17:10:31.148788 IP 192.168.0.200.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
zu sehen, während der DNS-Server

Code: Alles auswählen

17:10:31.410573 IP 92.175.112.84.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
17:10:34.410603 IP 92.175.112.84.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
17:10:37.410670 IP 92.175.112.84.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
17:10:40.410951 IP 92.175.112.84.15523 > dns.example.org.domain: 52408 update [2n] [1au] SOA? example.org. (169)
liefert. Dabei fält mir sofort "SOA?" ins Auge. Die Domainnamen sind wie immer maskiert, die Meldungen entsprechen aber dem Original.

Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

Re: BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 25.02.2018 18:40:45

Noch etwas genauer:

Client:

Code: Alles auswählen

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:34:12.095278 IP (tos 0x0, ttl 64, id 18236, offset 0, flags [DF], proto UDP (17), length 68)
    raspberrypi-asterisk.lan.48963 > 192.168.0.1.domain: [bad udp cksum 0x81a7 -> 0x5d82!] 28409+ A? dns.example.org. (40)
18:34:12.095376 IP (tos 0x0, ttl 64, id 18237, offset 0, flags [DF], proto UDP (17), length 68)
    raspberrypi-asterisk.lan.48963 > 192.168.0.1.domain: [bad udp cksum 0x81a7 -> 0xe77f!] 58592+ AAAA? dns.example.org. (40)
18:34:12.095659 IP (tos 0x0, ttl 64, id 46984, offset 0, flags [DF], proto UDP (17), length 84)
    192.168.0.1.domain > raspberrypi-asterisk.lan.48963: [udp sum ok] 28409 q: A? dns.example.org. 1/0/0 dns.example.org. A 188.40.80.7 (56)
18:34:12.095775 IP (tos 0x0, ttl 64, id 46985, offset 0, flags [DF], proto UDP (17), length 68)
    192.168.0.1.domain > raspberrypi-asterisk.lan.48963: [udp sum ok] 58592 q: AAAA? dns.example.org. 0/0/0 (40)
18:34:12.913440 IP (tos 0x0, ttl 64, id 18257, offset 0, flags [DF], proto UDP (17), length 71)
    raspberrypi-asterisk.lan.41729 > 192.168.0.1.domain: [bad udp cksum 0x81aa -> 0xcea0!] 37005+ PTR? 20.0.168.192.in-addr.arpa. (43)
18:34:12.913770 IP (tos 0x0, ttl 64, id 47008, offset 0, flags [DF], proto UDP (17), length 109)
    192.168.0.1.domain > raspberrypi-asterisk.lan.41729: [udp sum ok] 37005* q: PTR? 20.0.168.192.in-addr.arpa. 1/0/0 20.0.168.192.in-addr.arpa. PTR raspberrypi-asterisk.lan. (81)
18:34:12.914172 IP (tos 0x0, ttl 64, id 18258, offset 0, flags [DF], proto UDP (17), length 70)
    raspberrypi-asterisk.lan.54275 > 192.168.0.1.domain: [bad udp cksum 0x81a9 -> 0xcb7c!] 20980+ PTR? 1.0.168.192.in-addr.arpa. (42)
18:34:12.914492 IP (tos 0x0, ttl 64, id 47009, offset 0, flags [DF], proto UDP (17), length 70)
    192.168.0.1.domain > raspberrypi-asterisk.lan.54275: [udp sum ok] 20980 NXDomain* q: PTR? 1.0.168.192.in-addr.arpa. 0/0/0 (42)
18:34:19.138319 IP (tos 0x0, ttl 64, id 20433, offset 0, flags [none], proto UDP (17), length 185)
    192.168.0.200.15940 > dns.example.org.domain: [bad udp cksum 0xce56 -> 0x57b7!] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)
18:34:19.911691 IP (tos 0x0, ttl 64, id 18767, offset 0, flags [DF], proto UDP (17), length 72)
    raspberrypi-asterisk.lan.39065 > 192.168.0.1.domain: [bad udp cksum 0x81ab -> 0xd73d!] 20328+ PTR? 200.0.168.192.in-addr.arpa. (44)
18:34:19.911997 IP (tos 0x0, ttl 64, id 47583, offset 0, flags [DF], proto UDP (17), length 72)
    192.168.0.1.domain > raspberrypi-asterisk.lan.39065: [udp sum ok] 20328 NXDomain* q: PTR? 200.0.168.192.in-addr.arpa. 0/0/0 (44)
18:34:19.912187 IP (tos 0x0, ttl 64, id 18768, offset 0, flags [DF], proto UDP (17), length 70)
    raspberrypi-asterisk.lan.37395 > 192.168.0.1.domain: [bad udp cksum 0x81a9 -> 0xc5ab!] 28376+ PTR? 7.xxx.xxx.xxx.in-addr.arpa. (42)
18:34:19.912454 IP (tos 0x0, ttl 64, id 47584, offset 0, flags [DF], proto UDP (17), length 106)
    192.168.0.1.domain > raspberrypi-asterisk.lan.37395: [udp sum ok] 28376 q: PTR? 7.xxx.xxx.xxx.in-addr.arpa. 1/0/0 7.xxx.xxx.xxx.in-addr.arpa. PTR dns.example.org. (78)
18:34:22.138376 IP (tos 0x0, ttl 64, id 20549, offset 0, flags [none], proto UDP (17), length 185)
    192.168.0.200.15940 > dns.example.org.domain: [bad udp cksum 0xce56 -> 0x57b7!] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)
18:34:25.138455 IP (tos 0x0, ttl 64, id 20783, offset 0, flags [none], proto UDP (17), length 185)
    192.168.0.200.15940 > dns.example.org.domain: [bad udp cksum 0xce56 -> 0x57b7!] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)
18:34:28.138527 IP (tos 0x0, ttl 64, id 20800, offset 0, flags [none], proto UDP (17), length 185)
    192.168.0.200.15940 > dns.example.org.domain: [bad udp cksum 0xce56 -> 0x57b7!] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)

Server:

Code: Alles auswählen

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:34:28.388586 IP (tos 0x0, ttl 56, id 20433, offset 0, flags [none], proto UDP (17), length 185)
    92.175.112.84.15940 > dns.example.org.domain: [udp sum ok] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)
18:34:31.388615 IP (tos 0x0, ttl 56, id 20549, offset 0, flags [none], proto UDP (17), length 185)
    92.175.112.84.15940 > dns.example.org.domain: [udp sum ok] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)
18:34:34.389112 IP (tos 0x0, ttl 56, id 20783, offset 0, flags [none], proto UDP (17), length 185)
    92.175.112.84.15940 > dns.example.org.domain: [udp sum ok] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)
18:34:34.506895 IP (tos 0x0, ttl 248, id 54321, offset 0, flags [none], proto UDP (17), length 71)
    109.236.86.40.59505 > 188.40.78.240.domain: [no cksum] 2321+ [1au] ANY? hoffmeister.be. ar: . OPT UDPsize=65527 (43)
18:34:37.388631 IP (tos 0x0, ttl 56, id 20800, offset 0, flags [none], proto UDP (17), length 185)
    92.175.112.84.15940 > dns.example.org.domain: [udp sum ok] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: BIND9 - nsupdate "timed out"

Beitrag von mat6937 » 26.02.2018 10:52:04

Kaheto hat geschrieben: ↑ zum Beitrag ↑
25.02.2018 18:40:45
Noch etwas genauer:

Server:

Code: Alles auswählen

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:34:28.388586 IP (tos 0x0, ttl 56, id 20433, offset 0, flags [none], proto UDP (17), length 185)
    92.175.112.84.15940 > dns.example.org.domain: [udp sum ok] 58951 update [1n] [1au] SOA? example.org. ns: home.example.org. A 93.195.85.34 ar: home.example.org. ANY TSIG hmac-sha256. fudge=300 maclen=32 origid=58951 error=0 otherlen=0 (157)
Um genauer festzustellen ob bzw. wie der Server an nsupdate antwortet könntest Du auch tcp (statt udp) (mit "-v") und den debug-Modus bzw. loggen (mit "-L 3") verwenden. Z. B.:

Code: Alles auswählen

tcpdump -vvveni eth0 tcp port 53

Code: Alles auswählen

nsupdate -v -L 3 -k /etc/ssl/Khome.example.org.+163+36107.private
> server dns.example.org
> debug
> zone example.org
> add home11.example.org 1800 A 89.189.95.35
> show
> send
> answer
> quit

Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

Re: BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 26.02.2018 16:58:33

Deine Vorschläge liefern jetzt diese Ein- und Ausgaben:

Code: Alles auswählen

nsupdate -v -L 3 -k /etc/ssl/Khome.example.org.+163+36107.private
26-Feb-2018 16:48:18.493 dns_requestmgr_create
26-Feb-2018 16:48:18.494 dns_requestmgr_create: 0x74d53f08
> server stgt1.it-linuxmaker.de
>  zone example.org
> update delete home.example.org
> add home.example.org 1800 A 94.192.20.152
> show
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; ZONE SECTION:
;example.org.                        IN      SOA

;; UPDATE SECTION:
home.example.org. 0    ANY     ANY
home.example.org. 1800 IN      A       94.192.20.152

> send
26-Feb-2018 16:48:48.180 dns_request_createvia
26-Feb-2018 16:48:48.180 request_render
26-Feb-2018 16:48:48.181 requestmgr_attach: 0x74d53f08: eref 1 iref 1
26-Feb-2018 16:48:48.181 mgr_gethash
26-Feb-2018 16:48:48.181 dns_request_createvia: request 0x74b8f008
26-Feb-2018 16:48:48.204 req_connected: request 0x74b8f008
26-Feb-2018 16:48:48.205 req_send: request 0x74b8f008
26-Feb-2018 16:48:48.205 req_senddone: request 0x74b8f008
26-Feb-2018 16:48:48.229 req_response: request 0x74b8f008: success
26-Feb-2018 16:48:48.229 req_cancel: request 0x74b8f008
26-Feb-2018 16:48:48.229 req_sendevent: request 0x74b8f008


26-Feb-2018 16:48:48.229 dns_request_getresponse: request 0x74b8f008
update failed: REFUSED


26-Feb-2018 16:48:48.229 dns_request_destroy: request 0x74b8f008
26-Feb-2018 16:48:48.229 req_destroy: request 0x74b8f008
26-Feb-2018 16:48:48.230 requestmgr_detach: 0x74d53f08: eref 1 iref 0
> answer
Answer:
;; ->>HEADER<<- opcode: UPDATE, status: REFUSED, id:   5181
;; flags: qr; ZONE: 1, PREREQ: 0, UPDATE: 0, ADDITIONAL: 1
;; ZONE SECTION:
;example.org.                        IN      SOA

;; TSIG PSEUDOSECTION:
home.example.org. 0    ANY     TSIG    hmac-sha256. 1519660137 300 32 PzT3JY/fZs/ztMaph1/1W9Xs2jID2jr15y1RG4/Hehg= 5181 NOERROR 0 

Code: Alles auswählen

tcpdump -vvveni eth0 port 53 
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:48:49.745994 00:24:21:a7:25:62 > 2c:21:31:28:a3:1e, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 5114, offset 0, flags [DF], proto TCP (6), length 60)
    xxx.xx.xx.28.33940 > 209.239.113.84.53: Flags [S], cksum 0x6a21 (correct), seq 2659182844, win 29200, options [mss 1460,sackOK,TS val 351927046 ecr 0,nop,wscale 7], length 0
16:48:49.859049 2c:21:31:28:a3:1e > 00:24:21:a7:25:62, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 52, id 0, offset 0, flags [DF], proto TCP (6), length 40)
    209.239.113.84.53 > xxx.xx.xx.28.33940: Flags [R.], cksum 0x5401 (correct), seq 0, ack 2659182845, win 0, length 0
16:48:49.859502 00:24:21:a7:25:62 > 2c:21:31:28:a3:1e, ethertype IPv4 (0x0800), length 101: (tos 0x0, ttl 63, id 33471, offset 0, flags [none], proto UDP (17), length 87)
    xxx.xx.xx.28.27265 > 185.5.138.232.53: [udp sum ok] 380% [1au] A? 223.39.140.95.zen.spamhaus.org. ar: . OPT UDPsize=4096 DO (59)
16:48:57.200876 2c:21:31:28:a3:1e > 00:24:21:a7:25:62, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 56, id 9166, offset 0, flags [DF], proto TCP (6), length 60)
    94.192.20.152.38679 > xxx.xx.xx.7.53: Flags [S], cksum 0x802d (correct), seq 3925205116, win 29200, options [mss 1452,sackOK,TS val 14664626 ecr 0,nop,wscale 7], length 0
16:48:57.200945 00:24:21:a7:25:62 > 2c:21:31:28:a3:1e, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    xxx.xx.xx.7.53 > 94.192.20.152.38679: Flags [S.], cksum 0x24e4 (correct), seq 1788794344, ack 3925205117, win 28960, options [mss 1460,sackOK,TS val 3860542845 ecr 14664626,nop,wscale 7], length 0
16:48:57.223859 2c:21:31:28:a3:1e > 00:24:21:a7:25:62, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 56, id 9167, offset 0, flags [DF], proto TCP (6), length 52)
    94.192.20.152.38679 > xxx.xx.xx.7.53: Flags [.], cksum 0xc3e9 (correct), seq 1, ack 1, win 229, options [nop,nop,TS val 14664628 ecr 3860542845], length 0
16:48:57.224524 2c:21:31:28:a3:1e > 00:24:21:a7:25:62, ethertype IPv4 (0x0800), length 237: (tos 0x0, ttl 56, id 9168, offset 0, flags [DF], proto TCP (6), length 223)
    94.192.20.152.38679 > xxx.xx.xx.7.53: Flags [P.], cksum 0x6c41 (correct), seq 1:172, ack 1, win 229, options [nop,nop,TS val 14664628 ecr 3860542845], length 1715181 update [2n] [1au] SOA? example.org. ns: home.example.org. ANY [0s] ANY, home.example.org. [30m] A 94.192.20.152 ar: home.example.org. ANY [0s] TSIG hmac-sha256. fudge=300 maclen=32 origid=5181 error=0 otherlen=0 (169)
16:48:57.224555 00:24:21:a7:25:62 > 2c:21:31:28:a3:1e, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 57450, offset 0, flags [DF], proto TCP (6), length 52)
    xxx.xx.xx.7.53 > 94.192.20.152.38679: Flags [.], cksum 0xc332 (correct), seq 1, ack 172, win 235, options [nop,nop,TS val 3860542851 ecr 14664628], length 0
    
    
16:48:57.224924 00:24:21:a7:25:62 > 2c:21:31:28:a3:1e, ethertype IPv4 (0x0800), length 198: (tos 0x0, ttl 64, id 57451, offset 0, flags [DF], proto TCP (6), length 184)
    xxx.xx.xx.7.53 > 94.192.20.152.38679: Flags [P.], cksum 0x36a5 (correct), seq 1:133, ack 172, win 235, options [nop,nop,TS val 3860542851 ecr 14664628], length 1325181 update Refused- q: 
   SOA? example.org. 0/0/1 ar: home.example.org. ANY [0s] TSIG hmac-sha256. fudge=300 maclen=32 origid=5181 error=0 otherlen=0 (130)
   
   
16:48:57.248343 2c:21:31:28:a3:1e > 00:24:21:a7:25:62, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 56, id 9169, offset 0, flags [DF], proto TCP (6), length 52)
    94.192.20.152.38679 > xxx.xx.xx.7.53: Flags [.], cksum 0xc2aa (correct), seq 172, ack 133, win 237, options [nop,nop,TS val 14664630 ecr 3860542851], length 0
Ich kann leider noch nicht ersehen, warum das Update nicht klappt. IPtables/Shorewall scheinen nicht das Problem zu sein, ansonsten dürfte ich auf eth0 am Server gar nichts sniffen können.

Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

Re: BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 26.02.2018 17:03:41

In /var/log/bind/update_debug.log sehe ich gerade

Code: Alles auswählen

26-Feb-2018 16:48:57.224 info: client 94.192.20.152#35450/key home.example.org: updating zone 'example.org/IN': update failed: rejected by secure update (REFUSED)

Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

Re: BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 26.02.2018 17:31:29

Auf der Basis der letzten Fehlermeldung habe ich eine Information gefunden
Erhält man von nsupdate auf ein send nachfolgende Fehlermeldung zurück, dann deutet das entweder auf eine Fehlkonfiguration der Parameter der Konfigurationsoption update-policy in der Konfigurationsdatei /etc/named.conf bzw. /etc/bind/named.conf.local oder aber auf eine falsche Angabe innerhalb von nsupdate im Bezug auf die zu ändernden DNS-Einträge hin.
update failed: REFUSED
Meine named.conf.local sieht an dieser Stelle so aus:

Code: Alles auswählen

zone "example.org" {
        type master;
        file "db.example.org";
        allow-transfer {
                127.0.0.1;                      # localhost
                187.78.22.7;                    # Master
        };
        update-policy {
                grant Khome.example.org.+163+36107.private name home.example.org. A;
        };
        notify yes;
};
Ich habe in der update-policy den Hostnamen sowohl ohne wie auch mit abschliessenden Punkt getestet. Ich finde momentan nicht den Fehler.

Kaheto
Beiträge: 126
Registriert: 08.06.2016 22:28:50

Re: BIND9 - nsupdate "timed out"

Beitrag von Kaheto » 26.02.2018 18:43:53

Ok, ich war einer Anleitung gefolgt, in der named.conf.local

Code: Alles auswählen

update-policy {
                grant Khome.example.org.+163+36107.private name home.example.org. A;
        };
        
favorisiert. In der Dokumentation http://pig.made-it.com/ddns.html#22729 bin ich fündig geworden. Anstelle von "Khome.example.org.+163+36107.private" steht hier der Schlüsselname, wie er auch in der named.keys hinterlegt ist.
So wird der Update-Vorgang erfolgreich durchgezogen.

Antworten