welinux.ru/Есть вопрос! — Bind9. Master & Slave

26.08.10 23:00 beetlebum

Есть вопрос! — Bind9. Master & Slave

Slave сервера не могут скачать файлы зон с master серверов. Вопрос почему?

Теперь обо всем по порядку. Есть 2 сервера На обоих стоит BIND 9(Version: 1:9.6.ESV.R1+dfsg-0+lenny1). Оба bind'a находятся в песочнице /var/lib/named
Master сервер -- Silicium ip - a.b.c.d (Silicium находится за роутером, у которого включен DMZ, весь траффик идет всеравно на Silicium)
Slave сервер -- Krypton ip - k.l.m.n
домен -- example.com

Лог запуска Silicium (Master):

"/var/lib/named/var/log/named.log"

26-Aug-2010 21:52:42.255 general: zone 0.in-addr.arpa/IN: loaded serial 1
26-Aug-2010 21:52:42.273 general: zone 127.in-addr.arpa/IN: loaded serial 1
26-Aug-2010 21:52:42.278 general: zone 255.in-addr.arpa/IN: loaded serial 1
26-Aug-2010 21:52:42.281 general: zone localhost/IN: loaded serial 2
26-Aug-2010 21:52:42.286 general: zone example.com/IN: loaded serial 2010082601
26-Aug-2010 21:52:42.290 general: running
26-Aug-2010 21:52:42.290 notify: zone example.com/IN: sending notifies (serial 2010082601)
26-Aug-2010 21:52:44.151 general: received control channel command 'reconfig'
26-Aug-2010 21:52:44.151 general: loading configuration from '/etc/bind/named.conf'
26-Aug-2010 21:52:44.152 general: using default UDP/IPv4 port range: [1024, 65535]
26-Aug-2010 21:52:44.152 general: using default UDP/IPv6 port range: [1024, 65535]
26-Aug-2010 21:52:44.155 network: listening on IPv4 interface eth1, 192.168.1.110#53
26-Aug-2010 21:52:44.178 general: reloading configuration succeeded
26-Aug-2010 21:52:44.179 general: any newly configured zones are now loaded

"/var/log/syslog"

Aug 26 21:52:42 silicium named[2016]: starting BIND 9.6-ESV-R1 -u bind -t /var/lib/named
Aug 26 21:52:42 silicium named[2016]: built with мои_ключики_компиляции
Aug 26 21:52:42 silicium named[2016]: adjusted limit on open files from 1024 to 1048576
Aug 26 21:52:42 silicium named[2016]: found 1 CPU, using 1 worker thread
Aug 26 21:52:42 silicium named[2016]: using up to 4096 sockets
Aug 26 21:52:42 silicium named[2016]: loading configuration from '/etc/bind/named.conf'
Aug 26 21:52:42 silicium named[2016]: using default UDP/IPv4 port range: [1024, 65535]
Aug 26 21:52:42 silicium named[2016]: using default UDP/IPv6 port range: [1024, 65535]
Aug 26 21:52:42 silicium named[2016]: listening on IPv4 interface lo, 127.0.0.1#53
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: 254.169.IN-ADDR.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: D.F.IP6.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: 8.E.F.IP6.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: 9.E.F.IP6.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: A.E.F.IP6.ARPA
Aug 26 21:52:42 silicium named[2016]: automatic empty zone: B.E.F.IP6.ARPA
Aug 26 21:52:42 silicium named[2016]: command channel listening on 127.0.0.1#953

Лог запуска Krypton (Slave):
"/var/lib/named/var/log/named.log"

26-Aug-2010 21:47:17.937 general: zone 0.in-addr.arpa/IN: loaded serial 1
26-Aug-2010 21:47:17.937 general: zone 127.in-addr.arpa/IN: loaded serial 1
26-Aug-2010 21:47:17.938 general: zone 255.in-addr.arpa/IN: loaded serial 1
26-Aug-2010 21:47:17.938 general: zone localhost/IN: loaded serial 2
26-Aug-2010 21:47:17.943 general: running
26-Aug-2010 21:48:47.952 general: zone example.com/IN: refresh: retry limit for master a.b.c.d#53 exceeded (source 0.0.0.0#0)
26-Aug-2010 21:48:47.952 general: zone example.com/IN: Transfer started.
26-Aug-2010 21:51:56.952 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: failed to connect: timed out
26-Aug-2010 21:51:58.177 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: Transfer completed: 0 messages, 0 records, 0 bytes, 190.224 secs (0 bytes/sec)
26-Aug-2010 21:52:58.776 general: zone example.com/IN: refresh: skipping zone transfer as master a.b.c.d#53 (source 0.0.0.0#0) is unreachable (cached)
26-Aug-2010 21:55:16.194 general: zone example.com/IN: refresh: retry limit for master a.b.c.d#53 exceeded (source 0.0.0.0#0)

"/var/log/syslog"

Aug 26 21:47:17 kr named[30191]: starting BIND 9.6-ESV-R1 -u bind -t /var/lib/named
Aug 26 21:47:17 kr named[30191]: built with мои_ключики_компиляции
Aug 26 21:47:17 kr named[30191]: adjusted limit on open files from 1024 to 1048576
Aug 26 21:47:17 kr named[30191]: found 1 CPU, using 1 worker thread
Aug 26 21:47:17 kr named[30191]: using up to 4096 sockets
Aug 26 21:47:17 kr named[30191]: loading configuration from '/etc/bind/named.conf'
Aug 26 21:47:17 kr named[30191]: using default UDP/IPv4 port range: [1024, 65535]
Aug 26 21:47:17 kr named[30191]: using default UDP/IPv6 port range: [1024, 65535]
Aug 26 21:47:17 kr named[30191]: listening on IPv4 interface lo, 127.0.0.1#53
Aug 26 21:47:17 kr named[30191]: listening on IPv4 interface venet0:0, k.l.m.n#53
Aug 26 21:47:17 kr named[30191]: automatic empty zone: 254.169.IN-ADDR.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: D.F.IP6.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: 8.E.F.IP6.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: 9.E.F.IP6.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: A.E.F.IP6.ARPA
Aug 26 21:47:17 kr named[30191]: automatic empty zone: B.E.F.IP6.ARPA
Aug 26 21:47:17 kr named[30191]: command channel listening on 127.0.0.1#953

Сама ошибка в логах на сервере Krypton (Slave)

26-Aug-2010 21:48:47.952 general: zone example.com/IN: Transfer started.
26-Aug-2010 21:51:56.952 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: failed to connect: timed out
26-Aug-2010 21:51:58.177 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: Transfer completed: 0 messages, 0 records, 0 bytes, 190.224 secs (0 bytes/sec)
26-Aug-2010 21:52:58.776 general: zone example.com/IN: refresh: skipping zone transfer as master a.b.c.d#53 (source 0.0.0.0#0) is unreachable (cached)
26-Aug-2010 21:55:16.194 general: zone example.com/IN: refresh: retry limit for master a.b.c.d#53 exceeded (source 0.0.0.0#0)

Все цепочки iptables поставлены на ACCEPT.

А теперь конфигурационные файлы. Они почти одинаковы, расходятся только файлы named.conf.local и named.conf.options.
Ключи ns0.example.com и ns1.example.com на обоих серверах одинаковы. rndc-key разные, и rndc на обоих серверах работает.

Файлы конфигурации сервера Silicium:
"named.conf.options"

include "/etc/bind/rndc.key";
include "/etc/bind/key/ns0.example.com.key";
include "/etc/bind/key/ns1.example.com.key";

server a.b.c.d { keys { ns0.example.com; }; };
server k.l.m.n { keys { ns1.example.com; }; };

acl trusted-dns { 127.0.0.1; key ns0.example.com; key ns1.example.com; };

options {
directory "/var/cache/bind";
pid-file "/var/run/bind/named.pid";
dump-file "/var/run/bind/named.dump";
statistics-file "/var/run/bind/named.stats";
version "unknown";
port 53;
listen-on { any; };
listen-on-v6 { none; };
recursion yes;

allow-recursion { any; };
allow-query { any; };
allow-transfer { trusted-dns; };
allow-update { none; };

auth-nxdomain no; # conform to RFC1035
};

controls {
inet 127.0.0.1 port 953 allow {127.0.0.1; } keys { "rndc-key"; };
};

logging {
channel default_ch {
file "/var/log/named.log" versions 3 size 1024k;
severity info;
print-time yes;
print-category yes;
};

channel security_ch {
file "/var/log/security.log" versions 3 size 1024k;
severity info;
print-time yes;
print-category yes;
};

category default { default_ch; };
category security{security_ch; };
};

"named.conf.local"

zone "example.com" {
type master;
file "/etc/bind/master/example.com";
notify yes;
allow-transfer {k.l.m.n};
};

Файлы конфигурации сервера Krypton:
"named.conf.options"

include "/etc/bind/rndc.key";
include "/etc/bind/key/ns0.example.com.key";
include "/etc/bind/key/ns1.example.com.key";

server a.b.c.d { keys { ns0.example.com; }; };
server k.l.m.n { keys { ns1.example.com; }; };

acl trusted-dns { 127.0.0.1; key ns0.example.com; key ns1.example.com; };

options {
directory "/var/cache/bind";
pid-file "/var/run/bind/named.pid";
dump-file "/var/run/bind/named.dump";
statistics-file "/var/run/bind/named.stats";
version "unknown";
port 53;
listen-on { any; };
listen-on-v6 { none; };
recursion yes;

allow-recursion { any; };
allow-query { any; };
allow-transfer { trusted-dns; };
allow-update { none; };

forwarders { a.b.c.d; };

auth-nxdomain no; # conform to RFC1035
};

controls {
inet 127.0.0.1 port 953 allow {127.0.0.1; } keys { "rndc-key"; };
};

logging {
channel default_ch {
file "/var/log/named.log" versions 3 size 1024k;
severity info;
print-time yes;
print-category yes;
};

channel security_ch {
file "/var/log/security.log" versions 3 size 1024k;
severity info;
print-time yes;
print-category yes;
};

category default { default_ch; };
category security{security_ch; };
};

"named.conf.local"

zone "example.com" {
type slave;
file "/etc/bind/slave/example.com";
masters {a.b.c.d;};
};

Общие файлы:
"named.conf"

include "/etc/bind/named.conf.options";

// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};

zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};

include "/etc/bind/named.conf.local";

"Зона example.com"

$TTL 1D
@ IN SOA ns0.example.com. admin.ya.ru. ( 2010082601 ;serial
3H ;refresh
15M ;retry
1W ;expiry
1D) ;minimum
...
IN NS ns0.example.com.
IN NS ns1.example.com.
...
ns0 IN A a.b.c.d ;Silicium NS
ns1 IN A k.l.m.n ;Krypton NS

В целом топик получился довольно громоздким, сори%) Вторые сутки бьюсь*wall*.

Подозреваю что грешит роутер, но вообще, слабо в это верится. Asus WL500gP v2 (Прошивка WL500gpv2-1.9.2.7-d-r1825 от энтузиастов)
P.S. Оригинальные названия доменов, ip адреса и ключи скрыты

Похожие +1–

Теги: bind

: dr_magnus 26.08.10 23:35 # +0–

попробуй присмотреться к RNDC-ключам. такое ощущение, что не проходит соглосование. попробуй вообще убрать ключи. это на первый взгляд.
второе. если ты засовуешь сервера в песочницу - убедись, что они действительно подхватывают свои конфигурационные файлы из нужного места, а не откуда-нить типа /var/named/etc/.../и_т.д.
ну и на последок (а доложно быть первым) - убедись, что сервера корректно обрабатывают запросы (например nslookup mail.ru). убедись, что они действительно обращаются сами к себе.
ну, примерно так.

dr_magnus 26.08.10 23:39 # +0–

listening on IPv4 interface lo, 127.0.0.1#53

ага.. смотри.. у тебя master слушает запросы только на lo-интерфейсе. это так и надо?
т.е. он обрабатывет запросы только локального хоста

beetlebum 26.08.10 23:42 # ↑ +0–

сории, пост ниже

: beetlebum 26.08.10 23:43 # ↑ +0–

Ааа, syslog говорит что только 127.0.0.1
Хотя ответ с ns0.example.com есть, если я не локальной сети сервера.

beetlebum 26.08.10 23:41 # +0–

во первых файл named.conf.options

listen-on { any; };

Лог из загрузки silicium

26-Aug-2010 21:52:44.155 network: listening on IPv4 interface eth1, 192.168.1.110#53

: dr_magnus 26.08.10 23:55 # ↑ +0–

хз. может потому что песочница?
а попробуй полностью убрать ключи - может получится?

dr_magnus 26.08.10 23:42 # +1–

а в логах слайва пишется, что роутер, как бы пропустил соединение на мастер, но мастер не ответил.
попробуй явно указать на мастере прослушиваемые интерфейсы.
сорри, что растянул камменты - я через мобилку

beetlebum 26.08.10 23:57 # ↑ +0–

Хм, теперь интересней! Указал явно интерфейсы и теперь авторизация прошла, насколько я понимаю

26-Aug-2010 23:50:46.939 general: running
26-Aug-2010 23:50:59.474 notify: client a.b.c.d#40207: received notify for zone 'example.com': TSIG 'ns1.example.com'
26-Aug-2010 23:50:59.474 general: zone example.com/IN: notify from a.b.c.d#40207: refresh in progress, refresh check queued
26-Aug-2010 23:51:02.037 general: zone example.com/IN: Transfer started.
26-Aug-2010 23:54:11.036 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: failed to connect: timed out
26-Aug-2010 23:54:11.036 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: Transfer completed: 0 messages, 0 records, 0 bytes, 188.999 secs (0 bytes/sec)
26-Aug-2010 23:54:11.638 general: zone example.com/IN: refresh: skipping zone transfer as master a.b.c.d#53 (source 0.0.0.0#0) is unreachable (cached)

: beetlebum 26.08.10 23:58 # ↑ +0–

Кстати говоря, в syslog интерфейс 192.168.1.110 тоже появился, что не может не радовать

dr_magnus 27.08.10 00:02 # ↑ +0–

а теперь еще в трансфере укажи не rndc-key, а явный ip-шник слэйва

beetlebum 27.08.10 00:33 # ↑ +0–

убрал rndc, оставил все по ip

27-Aug-2010 00:22:06.186 general: zone 0.in-addr.arpa/IN: loaded serial 1
27-Aug-2010 00:22:06.187 general: zone 127.in-addr.arpa/IN: loaded serial 1
27-Aug-2010 00:22:06.187 general: zone 255.in-addr.arpa/IN: loaded serial 1
27-Aug-2010 00:22:06.188 general: zone localhost/IN: loaded serial 2
27-Aug-2010 00:22:06.188 general: running
27-Aug-2010 00:22:06.282 general: zone example.com/IN: Transfer started.
27-Aug-2010 00:22:19.711 notify: client a.b.c.d#44590: received notify for zone 'example.com'
27-Aug-2010 00:22:19.711 general: zone example.com/IN: notify from a.b.c.d#44590: refresh in progress, refresh check queued
27-Aug-2010 00:25:15.282 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: failed to connect: timed out
27-Aug-2010 00:25:15.282 xfer-in: transfer of 'example.com/IN' from a.b.c.d#53: Transfer completed: 0 messages, 0 records, 0 bytes, 188.999 secs (0 bytes/sec)
27-Aug-2010 00:25:15.878 general: zone example.com/IN: refresh: skipping zone transfer as master a.b.c.d#53 (source 0.0.0.0#0) is unreachable (cached)

кажется, это правда роутер(

cppmm 27.08.10 03:37 # ↑ +0–

Скорее всего роутер. Пишет же явно - по таймауту отпадает. Проще говоря, то ли слейв не может до мастера достучаться(скорее всего), то ли мастер ответить ему. На рутере не включены никакие dns-proxy и прочие связанные с ним вещи?

P.S. У меня похожая железка: WL520-GC. Правда, прошивка dd-wrt.

beetlebum 27.08.10 11:55 # ↑ +0–

нет, никаких dns-proxy не включены

beetlebum 27.08.10 14:16 # ↑ +0–

Вообщем данная проблема является еще одним из весомых аргументов, поставить сервер перед роутером.

Просто не совсем уверен, что смогу обслуживать потом такую сеть, не один я пользуюсь интернет-соединением

: dr_magnus 27.08.10 19:09 # ↑ +0–

да не парься - ставь этот серверок вместо роутера, конфигуряй его правильно и все будет ништяк. у меня у самого Арчик стоит как роутер; и инет раздает, и ДНС, и DHCP, и прокси, и ВПН-сервер для удаленных юзеров, и торренты качает. вобщем - все в одном флаконе. да и работает без глюков, в отличие от всех этих роутеров.

: cppmm 27.08.10 19:34 # ↑ +0–

Тогда tcpdump'ы в помощь и смотреть на обоих dns'ах, что творится между ними при попытке соединиться.

—

wat_che — « Tips & tricks / Установка кеширующего DNS сервер для локальной сети BIND 9 на Mandriva Linux» time2die — « Tips & tricks / Установка кеширующего DNS сервер для локальной сети BIND 9 на Mandriva Linux» wat_che — « Tips & tricks / Установка кеширующего DNS сервер для локальной сети BIND 9 на Mandriva Linux» Zend — « Tips & tricks / Установка кеширующего DNS сервер для локальной сети BIND 9 на Mandriva Linux» time2die — « Tips & tricks / Установка кеширующего DNS сервер для локальной сети BIND 9 на Mandriva Linux» ( 1 ) imn — « Есть вопрос! / [РЕШЕНО] Изменение размера корневого раздела в lvm.» gen1s — « Есть вопрос! / [РЕШЕНО] Изменение размера корневого раздела в lvm.» imn — « Есть вопрос! / [РЕШЕНО] Изменение размера корневого раздела в lvm.» xT — « welinux / Решим наконец проблемы с хостингом?» uscr — « Есть вопрос! / [РЕШЕНО] Изменение размера корневого раздела в lvm.» imn — « Есть вопрос! / [РЕШЕНО] Изменение размера корневого раздела в lvm.» ksn135 — « welinux / Решим наконец проблемы с хостингом?» konkere — « Linux Games / Амнезия. Призрак прошлого» mutantcornholio — « Я рекомендую. / Hotot - няшный твиттер клиент» razum2um — « Есть вопрос! / [РЕШЕНО] Изменение размера корневого раздела в lvm.» razum2um — « Переводы / Десять советов для увеличения производительности сети» ( 1 )
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 141) Tips & tricks (33) Есть вопрос! (25) Archlinux (24) How-to`s (22) Vim (21) Мой рабочий стол. (18) Linux Games (17) KDE (17) Скрипты (16) Debian (15)
Элита (все 2810 из 215 городов) muhas (255.9) Shtsh (149.3) Aesdana (132.1) cppmm (129.3) ZogG (125.45) h0rr0rr_drag0n (120.25) digiwhite (108.3) Minoru (98.45) ner_uto (98.4) LeniH (92.45)

В сети: Lights, dr_magnus, wat_che, s.c.o.r.p.i.o.n., Vzlom, SDSWanderer, doraneko, Popeye, DEViANCE, Shtsh

Новенькие: Lights, stent0r, feanor, kosmass_zt, ddos