Seltsames IPv6 DNS Verhalten

  • Moin,

    ich bin gerade dabei meinem vServer eine IPv6 zuzuordnen wie hier beschrieben.

    Soweit, so gut. Da ich allerdings einen lokalen DNS Server (unbound) nutze, habe ich die Spalte in in der netplan-Config

    Code
    nameservers:
            addresses: [46.38.225.230, 46.38.252.230, "2a03:4000:0:1::e1e6", "2a03:4000:8000::fce6"]

    durch

    Code
    nameservers:
            addresses: [127.0.0.20]

    ersetzt. Danach netplan apply und ab diesem Zeitpunkt kamen nur noch DNS Timeouts, d.h. Abfragen waren nicht mehr möglich (was vorher ging mit diesem DNS Server). Weder mit v4 noch v6.


    Wenn ich jetzt allerdings

    Code
    nameservers:
            addresses: [127.0.0.20, "2a03:4000:0:1::e1e6"]

    eintrage, sind DNS Abfragen ohne Probleme möglich. Bei einem nslookup wird mir aber trotzdem 127.0.0.20 als abgefragter Server angezeigt.


    Aus welchem Grund ist dann der Eintrag mit dem externen IPv6 DNS nötig?

  • nslookup ist kein Tool mit dem man sinnvoll DNS Probleme debuggen kann.


    Hast Du unbound wirklich von Hand an 127.0.0.20 gebunden? Default Setups dürften 127.0.0.1 verwenden.


    Installiere mal dnsutils, damit das dig Kommando zur Verfügung steht.


    dig @127.0.0.20 netcup.de


    sollte eine Antwort liefern.

  • Läuft den Unbound und hat die richtigen DNSSEC Schlüssel?

    Wenn unbound den Key nicht hätte oder nicht validieren könnte, würde es SERVFAIL Antworten ausliefern. Die Version in Ubuntu 18.04/18.10 sollte man nur mit einer manuellen Fehlkonfiguration von der korrekten Validierung abhalten können.


    Ein Alternative wäre noch, dass im unbound verboten wurde alles IPs zu antworten.


    DatAres Hast Du irgendwas an der unbound Default Konfiguration geändert?

  • Unbound läuft in einem Docker-Container, also wurde nicht von mir konfiguriert.


    Der Output von dig ist:



    Der Inhalt von /etc/resolv.conf ist ebenfalls nameserver 127.0.0.20


    Ich meine an sich ist es mir ja egal ob der v6 Server da jetzt in netplan stehen bleibt oder nicht, solange es funktioniert. Ich fand es nur komisch bzw. wollte sicherstellen, dass der DNS für den Mailserver auch wirklich lokal aufgelöst wird, damit es keine Probleme gibt bzgl. Spam.

  • Scho

    addresses: [127.0.0.20, "2a03:4000:0:1::e1e6"]

    Ich kenne zwar nicht die Antwort, hätte aber eine Frage:

    addresses: [127.0.0.20, "::1"]


    respektive

    addresses: [127.0.0.1, "::1"]


    tut was?


    Und dann würde ich gerne noch wissen, woher netplan weiß, welche der IPv6-Adressen es für Anfragen überhaupt nehmen soll?

    Gibt ip -6 a s für irgendeine der Adressen ein preferred_lft 0 aus?

  • Ich kenne zwar nicht die Antwort, hätte aber eine Frage:

    addresses: [127.0.0.20, "::1"]


    respektive

    addresses: [127.0.0.1, "::1"]

    tut was?

    Endet beides in einem Timeout bzw.

    Temporary failure in name resolution mit Ping und

    connection timed out; no servers could be reached mit nslookup

    Und dann würde ich gerne noch wissen, woher netplan weiß, welche der IPv6-Adressen es für Anfragen überhaupt nehmen soll?

    Gibt ip -6 a s für irgendeine der Adressen ein preferred_lft 0 aus?

    Ich versteh die Frage nicht ganz. Die v6 Adressen aus meinem Subnetz? Die ist ja statisch in der netplan Config hinterlegt. Ansonsten steht preferred_lft bei eigentlich allen IPs in ip a dabei.

  • Unbound läuft in einem Docker-Container, also wurde nicht von mir konfiguriert.

    Um welches Image handelt es sich? Auf Docker Hub findet man einige unbound. Wie wurde der Container gestartet? Gibt der Container UDP und TCP nach außen? Hast Du/der Container das auch entsprechend konfiguriert?


    Rein aus Interesse: warum nimmst Du nicht das Ubuntu Paket?

  • Um welches Image handelt es sich? Auf Docker Hub findet man einige unbound. Wie wurde der Container gestartet? Gibt der Container UDP und TCP nach außen? Hast Du/der Container das auch entsprechend konfiguriert?


    Rein aus Interesse: warum nimmst Du nicht das Ubuntu Paket?

    Oh, jetzt wirds noch interessanter ^^ ...

    Ich benutze den Unbound Container von mailcow. Ich habe den Nameserver in Netplan jetzt auf auf die 172.22er IP aus dem Mailcow Netzwerk gesetzt und jetzt funktioniert der Spaß auch ohne v6 Adresse. Allerdings wird mir bei einem nslookup immer noch die 127.0.0.20#53 als antwortender Server angezeigt. Bevor ich die IPs mit dem Tutorial oben statisch gesetzt habe, habe ich eben geschaut, welche DNS Server momentan verwendet werden und da ist überall die 0.20 aufgetaucht, weshalb ich die auch in Netplan wieder gesetzt habe.

  • preferred_lft bei eigentlich allen IPs in ip a dabei.

    Die Frage bezog sich auf den Zahlenwert „0“. Es geht um „deprecated addresses“.

    Woher weiss nämlich ein Knoten, der mehrere öffentliche IPv6-Adressen konfiguriert hat, welche „Absenderadresse“ er verwenden soll, wenn sein Gateway fe80::1 - also eine Linklokale Adresse ist?