Sada je: 22 lip 2021, 06:27.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Pozdrav,
Jako dugo sam smišljao kako da nazovem temu, pa da započnem. Imam kućni poslužitelj na linux mintu 19.3 kojem držim svašta: od lamp-a, bind9, nfs, vbox virtualne (hmailserver), cloud9, nextcloud, web torent klijent itd. Sve to radi već dugo jako dobro, služi kao razvojna platforma te za testiranje i učenje. Pojavio se čudan problem. Ranije kad pokrenem naredbu dig google.com @192.168.2.33 (ip od poslužitelja) na svom računalu (kubuntu 20.04) dobijem odgovor. Sada dobijem samo ovo:
Kod: Označi sve
dig google.com @192.168.2.33
; <<>> DiG 9.16.1-Ubuntu <<>> google.com @192.168.2.33
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 64742
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 733cc2607ff216c44bdfbece6079e4e7b8907ecf42a4bd23 (good)
;; QUESTION SECTION:
;google.com.                    IN      A

;; Query time: 0 msec
;; SERVER: 192.168.2.33#53(192.168.2.33)
;; WHEN: Pet Apr 16 21:26:31 CEST 2021
;; MSG SIZE  rcvd: 67


A za ping na poslužitelju
Kod: Označi sve
ping google.com
ping: google.com: Ime ili usluga nisu poznati


Pretpostavio sam da bind9 ne prosljeđuje upite dalje ako nema zapisa o toj domeni, iako su postavke uredu. Osim toga sve je bilo uredu, sve usluge i aplikacije su radile najnormalnije. Dok nisam primijetio da ne mogu update izvršiti niti mogu izvršiti ping na google.com na poslužitelju kad se na njega povežem preko ssh. Čaprkao sam malo po postavkama od bind9 za prosljeđivanje upita postavljao sam tu adresu routera, kao i dns server 8.8.8.8 i 1.1.1.1, nije bilo od pomoći. Čudna je stvar da mi poslužitelj ne može 100% pingati router (192.168.2.1), niti google.com (172.217.16.110). Za to vrijeme svi servisi najnormalnije rade i dostupni su kako lokalno tako i izvana. Nekada iz nejasnog razloga dig i ping prorade, te dobijem odgovore.

Da napomenem kako moje računalo koje je u istoj lan mreži bez ikakvi problema dobiva odgovore na dig i ping. Provjeravao sam kablove priključivanjem laptopa, sve je u redu, ne bi rekao da je do njih s obzirom na to da mogu biti povezan ssh-om na poslužitelj stalno.

Restartom rutera su stvari riješene, nažalost privremeno. Kako sam svakako bio u planu mijenjati lokalne statičke adrese opet je privremeno problem bio riješen. Više mi ne pada na pamet ništa, što bi mogao biti problem. Na netu sam našao kako je potrebno unijeti nameservere u /etc/resolv.conf i/ili u /run/systemd/resolve/resolv.conf koliko sam skužio daljnjim istraživanjem te se datoteke i ne smiju dirati. Ipak sam pokušao dodati razne kombinacije poznatih DNS poslužitelja nije bilo od pomoći, vratio sam staru konfiguraciju, tj. vrati se same pri restartu network-manager servisa. Ponovo sam čak i mrežu podesio, ni to nije pomoglo.

Nadam se kako neko ima neku ideju što bi pomoglo.
Avatar
Postovi: 11
Postovi: 11
Pridružen/a: 09 srp 2019, 17:01
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Linux Mint 19 Xfce
Pozdrav!
Nisam ekspert ali ovo mi zvuči kao da imaš konflikt IP adresa na mreži. Odnosno da poslužitelj može slati ping i dns upite ali odgovori stižu na neki drugi stroj koji slučajno ima istu IP adresu.

Da li si provjerio na DHCP serveru (pretpostavljam na routeru) da li je postavljen range IP adresa za dinamičku dodjelu?
Ja sam kod sebe postavio range od 192.168.2.100 do 192.168.2.254 da DHCP dodjeljuje automatski. Tako da mi ostaje rezervirano prvih 100 adresa za fiksnu dodjelu (pretpostavljam da kod tebe poslužitelj ima fiksnu adresu).

E sad vezano za /etc/resolv.conf
Slobodno možeš mijenjati ali...
Kada se računalo koje nema statički dodjeljenu adresu spoji na mrežu prvo pita DHCP server za podatke o mreži i DHCP server uz IP adresu može vratiti još hrpu postavki uključujući i adresu DNS servera (router obićno vraća svoju adresu) koji se upisuje u /etc/resolv.conf i zato se prebrišu tvoje postavke.
Ako želiš trajno postaviti svoj poslužitelj kao DNS server to trebaš namjestiti na DHCP serveru (routeru).
Dok za računala koja imaju fiksnu adresu, DNS možeš postaviti u conf. datoteci gdje si postavio fixnu IP adresu.

Ali prvo tvoj DNS treba proraditi pa prvo vidi ovo sa konfliktom ip adresa.
Avatar
Postovi: 131
Postovi: 131
Pridružen/a: 09 sij 2015, 17:24
Podijelio/la zahvalu: 50 puta
Primio/la zahvalu: 30 puta
Spol: M
OS: Debian bullseye
Nisam siguran iz tvog prvog posta: radi li ti ping po IP-ju, npr. ping 1.1.1.1?
Avatar
Site Admin
Postovi: 4604
Site Admin
Postovi: 4604
Pridružen/a: 07 ožu 2009, 17:00
Podijelio/la zahvalu: 99 puta
Primio/la zahvalu: 207 puta
Spol: M
OS: fedora 34
ako već koristiš dig, pogledaš što ti da dig tracert da vidiš kako traži podatke kojim redosljedom i da li ti vraća ikakve druge, a i nisi sigurno pogledao bind log, jelda?
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 10209
Moderator
Postovi: 10209
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 175 puta
Primio/la zahvalu: 294 puta
Spol: Y
OS: utuntu 19.10
Nema konflikta ip adresa, provjerio sve uređaje u mreži (osim iptv-a pošto od tog box-a nikako ne mogu saznati ip). Postavio sam range i podesio sve. Radilo je jedno vrijeme te ponovno počelo po starom. Poslije sam iskopčao sve uređaje s mreže: tv, mobilne, video nadzor, ostao je samo poslužitelj i moje računalo, što je radilo jedno dva sata i ponovo isti problem.
Ispisi na poslužitelju:

Kod: Označi sve
dig google.com

; <<>> DiG 9.11.3-1ubuntu1.14-Ubuntu <<>> google.com
;; global options: +cmd
;; connection timed out; no servers could be reached


Kod: Označi sve
dig tracert google.com

; <<>> DiG 9.11.3-1ubuntu1.14-Ubuntu <<>> tracert google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58308
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;tracert.                       IN      A

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Mon Apr 19 16:03:03 CEST 2021
;; MSG SIZE  rcvd: 36

;; connection timed out; no servers could be reached


Možda je bolje dig +trace google.com
Kod: Označi sve
dig +trace google.com

; <<>> DiG 9.11.3-1ubuntu1.14-Ubuntu <<>> +trace google.com
;; global options: +cmd
;; Received 51 bytes from 127.0.0.53#53(127.0.0.53) in 5 ms


Dok na računalu imam:

Kod: Označi sve
dig +trace google.com   

; <<>> DiG 9.16.1-Ubuntu <<>> +trace google.com
;; global options: +cmd
.                       137591  IN      NS      d.root-servers.net.
.                       137591  IN      NS      b.root-servers.net.
.                       137591  IN      NS      l.root-servers.net.
.                       137591  IN      NS      g.root-servers.net.
.                       137591  IN      NS      m.root-servers.net.
.                       137591  IN      NS      h.root-servers.net.
.                       137591  IN      NS      i.root-servers.net.
.                       137591  IN      NS      f.root-servers.net.
.                       137591  IN      NS      a.root-servers.net.
.                       137591  IN      NS      k.root-servers.net.
.                       137591  IN      NS      j.root-servers.net.
.                       137591  IN      NS      c.root-servers.net.
.                       137591  IN      NS      e.root-servers.net.
;; Received 262 bytes from 127.0.0.53#53(127.0.0.53) in 23 ms

com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      i.gtld-servers.net.
com.                    172800  IN      NS      a.gtld-servers.net.
com.                    86400   IN      DS      30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.                    86400   IN      RRSIG   DS 8 1 86400 20210502050000 20210419040000 14631 . gneNz3y/lWeY/G8e+cqiqDuNb25W9NwHSZv4wetJ5L1BCzoWybnkkbhe 8kI9TRVX1Gnzogx8J+UDmD0UmbEI2et9/zZtcb9djfsX8YelMS1vtWpE lpDnJLwGl4bRZ7cGtI4glwZ/yhglVGiWI/cSOm8LsSYZgvaQvGft29KT lFR7BnjWEhFKnEjBnA9zZAST2eRGO38LXut50/ECrszfD1qNc4GgHajs ox4DRlA8mLQ35YlEgZv0RlzwPTnjUs2+CmDYGECYXt71MNjACQhaDBe1 G5DqIk6bQTSE1CC47rvFqUV/hrSDX7NebJcR3ANKP9VTXF9gQtJW7u/C VJ3LRQ==
;; Received 1198 bytes from 192.33.4.12#53(c.root-servers.net) in 43 ms

google.com.             172800  IN      NS      ns2.google.com.
google.com.             172800  IN      NS      ns1.google.com.
google.com.             172800  IN      NS      ns3.google.com.
google.com.             172800  IN      NS      ns4.google.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20210426042416 20210419031416 54714 com. Wwo/+05fEnf8Ywn0IPtdw1sWncPWPMMWKkHLi06c0sL+Mi/2TBt0ZYQ7 3HVxdyWI0ULwP+KpL0/TOo6toY663Xb5y8fIZ8MVWrQOca48bvysBna2 A1Y1jQfD7RiWTOO/9lcjFxLdDXEyb6+iRyUULtRWj6vWuCNi6AJpJR92 DmkKFzVEfc5rQVNiuIpFa2l4B9x9dDf85WiHWOX1Grx2kA==
S84BDVKNH5AGDSI7F5J0O3NPRHU0G7JQ.com. 86400 IN NSEC3 1 1 0 - S84BUO64GQCVN69RJFUO6LVC7FSLUNJ5 NS DS RRSIG
S84BDVKNH5AGDSI7F5J0O3NPRHU0G7JQ.com. 86400 IN RRSIG NSEC3 8 2 86400 20210423042132 20210416031132 54714 com. nbbQ3hZOG/OenlNdpKoUCXy/JtXYZKXoob3fHMTWrxZsA7vc01QgYAwz FDaR0jdIVJmRoxCOHCEO4+oTLXXlYlQ2AI0FKLl5mlK7cckvBs3opCxJ XcV6Oy+KYXs2DZoW/dIR3N2TOJBfZ4oPjHciAZPGyIfsm8mzFjYsRE7q NraX5uO5S+QrpBGWqo0mqLZA4omej8t5lcuq6wIS3vflgw==
;; Received 836 bytes from 192.52.178.30#53(k.gtld-servers.net) in 59 ms

google.com.             300     IN      A       172.217.20.14
;; Received 55 bytes from 216.239.32.10#53(ns1.google.com) in 55 ms


Također ni ping ka ip adresi ne radi

Kod: Označi sve
ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
^C
--- 1.1.1.1 ping statistics ---
9 packets transmitted, 0 received, 100% packet loss, time 8199ms


Nažalost logova od bind-a nemam. Koliko vidim na netu, naknadno se moraju podesiti, a ja to nisam uradio. Zanimljivo je da svi servisi i dalje rade. Ono što sam primijetio da nakon svakog restarta routera ne bude ovih problema, čim prođe neko vrijeme oni se pojave.
Avatar
Postovi: 11
Postovi: 11
Pridružen/a: 09 srp 2019, 17:01
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Linux Mint 19 Xfce
Da, pa nije tracert (krivo je ispalo, ti si shvatio to kao opciju ja sam misilio više kao traceroute koncept, sori) vidiš da je to probao rezolvati. Ako ti ne radi ni "ping 1.1.1.1" znači da imaš nekakvih mrežnih problema a ne sa DNS-om jer ping uopće ne koristi DNS. Trecaroute/mtr ti može za mrežu pokazati di šteka. Jel koristiš IP iz DHCP rangea ili si stavio van? Ako ti je server lokalni onda bi ipak trebao van DHCP range staviti statičku.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 10209
Moderator
Postovi: 10209
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 175 puta
Primio/la zahvalu: 294 puta
Spol: Y
OS: utuntu 19.10
Naravno postavio sam statičku lan ip adresu servera van DHCP ranga. I dalje se događa isto. Što se tiče traceroute ispis je:

Kod: Označi sve
traceroute google.com
google.com: Ime ili usluga nisu poznati
Cannot handle "host" cmdline arg `google.com' on position 1 (argc 1)


A ako stavim google.com ip
Kod: Označi sve
traceroute 216.58.214.206
traceroute to 216.58.214.206 (216.58.214.206), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  85.94.145.1 (85.94.145.1)  58.173 ms * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  195.29.110.145 (195.29.110.145)  117.813 ms 195.29.110.117 (195.29.110.117)  117.986 ms *
 9  * * *
10  72.14.204.128 (72.14.204.128)  140.048 ms * *
11  74.125.242.225 (74.125.242.225)  140.111 ms * *
12  72.14.233.75 (72.14.233.75)  63.802 ms  63.622 ms 72.14.233.181 (72.14.233.181)  58.847 ms
13  * * *
14  * * *
15  * * *
16  216.58.214.206 (216.58.214.206)  81.477 ms * *


Ovaj zadnji traceroute je trajao predugo.
Poslije sam bootabilnim usb-om iz live načina držao podignutim kubuntu 20.04.01 na serveru kako bi provjerio da nije nešto s postavkama na sustavu. I bio je tako uključen oko 3 h, te nije došlo do problema. Danas ću ga držati duže.
Avatar
Postovi: 11
Postovi: 11
Pridružen/a: 09 srp 2019, 17:01
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Linux Mint 19 Xfce
Problem je riješen. Deluge daemon iz nekog razloga i na neki način blokirao upite. Uglavnom sad je onemogućen i stvar je riješena.

Hvala svima na pomoći.
Avatar
Postovi: 11
Postovi: 11
Pridružen/a: 09 srp 2019, 17:01
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Linux Mint 19 Xfce
deluge je sjebao čitavi tcp/ip stack i dns?
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 10209
Moderator
Postovi: 10209
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 175 puta
Primio/la zahvalu: 294 puta
Spol: Y
OS: utuntu 19.10
Da mislim da je tcp/ip stack bio blokiran. DNS je radio za domene koje postoje u zapisima, ali nije kada nema zapise o nekoj domeni već je trebao proslijediti upite na neki drugi DNS (Google i Cloudflare), a to nije funkcioniralo. Zato sam ja i pomislio da je u pitanju DNS.
Avatar
Postovi: 11
Postovi: 11
Pridružen/a: 09 srp 2019, 17:01
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: Linux Mint 19 Xfce

Na mreži
Trenutno korisnika/ca: / i 1 gost.