Accès DNS fonctionnel mais pas de résolu

Support Debian
#1

Bonjour;
J’ai un soucis de DNS avec bind9.
Le serveur est bien vu de l’extérieur, de même que les divers services (http avec nginx,…)
Zonemaster trouve bien le serveur, ce n’est donc pas un problème de pare-feu.
À présent, le problème par lui même :
De l’extérieur de mon réseau , je ne peux pas avoir accès à mon serveur autrement que par l’IP.
Je pense à une mauvaise configuration, attendu que j’ai eu à modifier les fichiers récemment (changement de serveur, et autre)
Voila le fichier named.conf.options:

options {
  auth-nxdomain no;    # conform to RFC1035
 directory "/var/named";
 listen-on-v6 {any;};
 listen-on { any; };
 query-source address * port *;

 allow-query {
    78.214.39.5 // adresse principale
    127.0.0.0/8;
    192.168.3.0/24;
    172.0.0.0/24;
 };
 allow-recursion {
    127.0.0.0/8;
    192.168.3.0/24;
    172.0.0.0/24;
};

   allow-transfer { none; };


empty-zones-enable yes;
 version none;
 session-keyfile "/var/named/session.key";
 pid-file "/var/named/named.pid";

 managed-keys-directory "/etc/bind";

 dnssec-enable yes;
 dnssec-validation yes;
};

Je ne comprends plus rien. Ça fait 48 h que je suis dessus.
Si quelqu’un peut m’aider, je suis preneur. J’offre une bière.

Rémi.

#2

Informations insuffisantes.
Quel est le nom de la zone, l’adresse IP du serveur DNS, le nom et l’adresse du serveur web ?
Qu’est-ce qui a changé exactement ?
Le serveur web ou le serveur DNS ? L’adresse IP aussi ?

1 J'aime
#3

Par le ndd ou par l’ip ?

As-tu testé un

named-checkconf -z

?

#4

Merci pour vos réponse rapide.
Le test de zonemaster est la:

https://www.zonemaster.net/test/ed4ce388e8b30c08

C’est celui que je viens de refaire à 17h09 (je n’ai pas pu faire de réponse plus tôt, désolé)
Le test à été fait avec mon nom de domaine, pas avec l’adresse IP.
Quand a named-chekconf -z oui j’ai bien évidement

named-checkconf -z /etc/bind/named.conf
zone suinot.org/IN: loaded serial 2018091711 (DNSSEC signed)
/var/named/5.39.214.78.in-addr.arpa:13: ignoring out-of-zone data (5)
zone 5.39.214.78.in-addr.arpa/IN: loaded serial 2018021901
zone localhost/IN: loaded serial 2012120401
zone 127.in-addr.arpa/IN: loaded serial 2012120401
zone 0.in-addr.arpa/IN: loaded serial 2012120401
zone 255.in-addr.arpa/IN: loaded serial 2012120401

Voila ou j’en suis.

Petite précision: ce qui me fait dire que “tout devrait fonctionner”, c’est qu’à partir de mon réseau interne, qui utilise le serveur dns que j’ai installé, j’atteins bien:

Quand à la modif, oui, je sais, j’ai pas fait de copie de sauvegarde avant de modifier le fichier… On évitera tous commentaire, je me bouffe les c… depuis 24h .

Merci de vos avis.
#5

Je pense que tu as un problème de glue !^^

Ton ip renvoie vers deux serveurs différents : ton “master” et ton “ns1”. Côté registrar, t’as renseigné les deux en même temps avec la même ip non ? Il vaut mieux créer un chemin NS de l’un vers l’autre et ne renseigner qu’un seul avec l’ip, ou bien avoir deux ip différentes.

À mon avis, tu dois aussi avoir mis “master” en zone parente et “ns1” en zone déléguée, sans informer les zones elles-mêmes de leur autorité respective.
As-tu vérifié tes NS du coup ? Te paraissent-ils cohérents ?

#6

bonsoir,
est ce que ceci

 L'adresse IP 78.214.39.5 fait référence à plusieurs serveurs de noms (master.suinot.org; ns1.suinot.org).

explique en partie le probleme, donc?

bien, j’ai repris la config de bind9 (coté named.conf) et en fait, cétait côté zone qu’il faut aller voir…
quel boulet!!

#7

Pour qu’on y voit plus clair, il faudrait que tu nous donnes une copie de ce que tu as déclaré côté registrar pour les serveurs de noms et de ce que tu as déclaré sur bind9 en fichiers de zone (master.suinot.org et ns1.suinot.org).

Il faut qu’on puisse faire le trajet logique d’une requête de A à Z pour vérifier ta config !

#8

alors, la, je comprends pas (les fichiers de zone viendrons):
je suis sur mon boulot: j’accède à mes sites (je ne sais pas s’ils ont un cache)
je suis sur mon smartphone -> puce free mais l’appli “free mobile netstat” me dit que je suis sur l’antenne Orange -> pas d’accès

$TTL 86400        ; 1 day
@                    IN        SOA       master.suinot.org. mail.suinot.org. (
                                2018091724        ; serial
                                10800             ; refresh (3 hours)
                                3600              ; retry (1 hour)
                                604800            ; expire (1 week)
                                38400             ; minimum (10 hours 40 minutes)
                                )
;
@                    IN        NS        ns1.suinot.org.
@                    IN        NS        ns6.gandi.net.
ns6.gandi.net        IN        A         217.70.177.40
ns1                  IN        A         78.214.39.5
;
@                    IN        MX        10 mail.suinot.org.
@                    IN        MX        20 mail2.suinot.org.
;
;
master               IN        A        78.214.39.5 
mail                 IN        A        78.214.39.5 
                        HINFO      "PII 350/256Mo" "Linux 2.6.x"
                        TXT        "serveur de mail"
mail2                IN        A        78.214.39.5 
                        HINFO      "atari 256 " "config perso"
                        TXT        "serveur de secours"
www                  IN        A        78.214.39.5 
                        HINFO      "PII 350/256Mo" "Linux 2.6.x"
                        TXT        "serveur web perso & linux"
*                    IN        CNAME        www
smtp                 IN        A        78.214.39.5 
                        HINFO      "PII 350/256Mo" "Linux 2.6.x"
                        TXT        "serveur de mail"
imap                 IN        A        78.214.39.5 
mastodon             IN        A        78.214.39.5 
$INCLUDE mes_celfs_1 ;
$INCLUDE mes_clefs_2 ;

Voila pour na zone

#9

master.suinot.org ne fait pas partie de la liste des NS de la zone. Ce n’est pas invalide (dans une configuration avec hidden master par exemple) mais ici je n’en vois pas l’intérêt puisque c’est la meme adresse que ns1.suinot.org.

Je ne peux pas vérifier directement en ce moment mais d’après le rapport de zonemaster (qui n’est pas franchement le plus simple à interpréter car ce ne sont pas des données brutes) la liste des NS définis dans la zone parente org (configurée via le registrar) ne correspond pas à la liste de NS dans la zone suinot.org. La première contient master alors que la seconde contient ns1.

Normal que le numéro de série soit dans le futur (17 septembre 2018) ?

Cet enregistrement n’a rien à faire dans ce fichier de zone.
Sans le point final, le nom complet est ns6.gandi.net.suinot.org qui ne correspond à rien.
Avec le point final, ns6.gandi.net n’appartient pas à la zone.

La zone sur le NS secondaire de Gandi est-elle synchronisée ? (oui d’après le rapport de zonemaster).

#10

Bonjour,
@PascalHambourg

master.suinot.org ne fait pas partie de la liste des NS de la zone. Ce n’est pas invalide (dans une configuration avec hidden master par exemple) mais ici je n’en vois pas l’intérêt puisque c’est la même adresse que ns1.suinot.org.

Oui, je comprend!!

Pour le numéro, oui, j’ai gouré. Je modifie en ce moment que le dernier pour retomber sur mes pieds au mois de septembre.

Question: quand on modifie la zone et relance bind, combien de temps mini avant de tester?

#11

Sur le NS primaire, immédiatement.
Sur le NS secondaire, quasi-immédiatement si le NS primaire lui envoie une notification et le NS secondaire la prend en compte. Sinon le délai de refresh spécifié dans le SOA.
Sur les DNS caches récursifs, le TTL des enregistrements modifiés pour être sûr que les anciennes valeurs en cache ont expire.

#12

Ok. Donc je peux tester.
J’ai modifié mon enregistrement.
Mais zonemaster me dit à prèsent que je n’ais qu’un nos

Les serveurs de noms de la zone parente retournent suffisamment de serveurs (2) faisant autorité (master.suinot.org; ns6.gandi.net). La limite inférieure étant fixée à 2.
Les serveurs de noms de la zone ne retournent pas assez de serveurs (1) faisant autorité (master.suinot.org). La limite inférieure étant fixée à 2.

@       IN      SOA     master.suinot.org. remi.suinot.org. (                                                                                                                                    
                                2018091726      ; serial                                                                                                                                         
                                10800           ; refresh (3 hours)                                                                                                                              
                                3600            ; retry (1 hour)                                                                                                                                 
                                604800          ; expire (1 week)                                                                                                                                
                                38400           ; minimum (10 hours 40 minutes)                                                                                                                  
                                )                                                                                                                                                                
                        NS      master.suinot.org.                                                                                                                                               
master          IN      A       78.214.39.5                                                                                                                                                      
;                                                                                                                                                                                                
; @             IN      NS      ns6.gandi.net.                                                                                                                                                   
;

Le reste, pas touché.

J’ai supprime ns1 qui est redondant.

#13

Il ne fallait surtout pas commenter l’enregistrement NS pointant vers le NS secondaire de Gandi.
C’est seulement l’enregistrement A qui était de trop.

#14

et m…e :zipper_mouth_face:

#15

Pas grave, il suffit de corriger et d’incrémenter le serial.

#16

Prends ton temps. :sunglasses:

#17

c’est que je bosse en même temps…

#18

Bon ça n’empêche pas de manger.
Retour de miammian, nouveau test sur zonemaster, et la:
Tout est au vert!
Sauf dnssec

Aucun enregistrement de type "DS" n'a d'enregistrement de type "DNSKEY" correspondant (avec le même tag de clé).

Je n’ai que ça qui coince à présent .
Si vous aviez une dernière suggestion, après je ne vous embête plus (jusqu’à la prochaine fois?)

En tout ça, déjà, merci pour ce premier problème de résolu

#19

C’est pour DNSSEC (validation cryptographique des enregistrements DNS). Facultatif et je ne maîtrise pas du tout.

#20

ah, ok.

Bon, je suis apparemment bon pour zonemaster, mais je n’arrive toujours pas à attiendre depuis mon app de courrier, mon serveur imap: j’ai un android_getad
Pareil depuis firefox. il ne trouve rien…