Beiträge von SebTM

Ping 6 - oder habe ich was übersehen?

Hallo,

bei mir trat das Problem nach der Installation des "Ubuntu 20.04 LTS - Minimal" - Images ebenfalls auf. Folgendes habe ich gemacht um das Problem zu analysieren:

Zitat

W: Fehlschlag beim Holen von http://de.archive.ubuntu.com/ubuntu/dists/focal/InRelease Temporärer Fehlschlag beim Auflösen von »de.archive.ubuntu.com

Die Meldung weist darauf hin, das die Namensauflösung also DNS nicht funktioniert hat, das wird bei dieser Ubuntu-Version (bei älteren Versionen/je nach OS kann das abweichen) per systemd-resolve gemacht.¹

resolvectl query de.archive.ubuntu.com
systemd-resolve de.archive.ubuntu.com

Über die o.g. Befehle (die im Grunde das selbe tun) kann man nun überprüfen, was bei der Namensauflösung wirklich passiert:

Zitat

de.archive.ubuntu.com: resolve call failed: DNSSEC validation failed: no-signature

Über den Befehl "resolvectl" ohne weitere Parameter bekommt man ausserdem eine Kurzübersicht der aktuellen globalen und per Interface-Konfiguration erhalten:

Zitat

Global

LLMNR setting: no

MulticastDNS setting: no

DNSOverTLS setting: no

DNSSEC setting: allow-downgrade

DNSSEC supported: yes

Current DNS Server: 46.38.225.230

DNS Servers: 46.38.225.230

46.38.252.230

2a03:4000:8000::fce6

2a03:4000:0:1::e1e6

DNSSEC NTA: 10.in-addr.arpa

16.172.in-addr.arpa

168.192.in-addr.arpa

17.172.in-addr.arpa

18.172.in-addr.arpa

19.172.in-addr.arpa

20.172.in-addr.arpa

21.172.in-addr.arpa

22.172.in-addr.arpa

23.172.in-addr.arpa

24.172.in-addr.arpa

25.172.in-addr.arpa

26.172.in-addr.arpa

27.172.in-addr.arpa

28.172.in-addr.arpa

29.172.in-addr.arpa

30.172.in-addr.arpa

31.172.in-addr.arpa

corp

d.f.ip6.arpa

home

internal

intranet

lan

local

private

test

Link 2 (eth0)

Current Scopes: none

DefaultRoute setting: no

LLMNR setting: yes

MulticastDNS setting: no

DNSOverTLS setting: no

DNSSEC setting: allow-downgrade

DNSSEC supported: yes

Alles anzeigen

Dort sieht man, das standardmäßig DNS-Resolver von Netcup genutzt werden und DNSSEC so konfiguriert ist, das es nur genutzt wird, wenn der Server es unterstützt.² Die Nameserver von Netcup werden per "/etc/systemd/resolved.conf" unter "DNS" global gesetzt, in meinen Tests hat es z.B. mit den DNS-Servern von Cloudflare bzw, Google wieder funktioniert. Nach einer Änderung habe ich per

systemctl restart systemd-resolved

den Service neu gestartet und die Änderungen per "resolvectl" (Übersicht) verifiziert, dann noch per

resolvectl reset-server-features
resolvectl flush-caches

mögliche Altlasten (Cache) explizit entfernt.

Der oben genutzte Befehl zur Namensabfrage ergibt nun folgendes:

Zitat

resolvectl query de.archive.ubuntu.com

de.archive.ubuntu.com: 141.30.62.22 -- link: eth0

141.30.62.26 -- link: eth0

141.30.62.23 -- link: eth0

141.30.62.25 -- link: eth0

141.30.62.24 -- link: eth0

(ubuntu.mirror.tudos.de)

-- Information acquired via protocol DNS in 6.6ms.

-- Data is authenticated: no

Alles anzeigen

Zusammenfassung: Auf andere DNS-Server zur Auflösung auszuweichen hat bei mir funktioniert, im Link (1 - s.u.) wird auch erklärt wie man die DNS-Server statt global auch nur für das per Netplan konfigurierte Interface ändert (Konfigurationsdatei: /etc/netplan/50-cloud-init.yaml). Warum es nun genau mit den Netcup DNS-Servern nicht funktioniert, kann ich mir bisher nicht erklären - habe aber auch keine weitere Zeit in investiert - ggf. ein guter Hinweis an die Technik da nochmal drauf zuschauen.

Grüße

1) https://www.ricmedia.com/set-c…rvers-on-ubuntu-18-or-20/

2) https://wiki.archlinux.org/title/Systemd-resolved#DNSSEC