[Fli4l_dev] [r30947] DNS-Forwarding funktioniert nicht

Christoph Schulz fli4l at kristov.de
Mi Mai 21 21:02:47 CEST 2014 

Hallo!

Heinz-Peter Faasen schrieb:

> nach (gefühlt) mindestens 50 Reboots ist die Problematik m.E. gelöst.

Schön!

> Für mich stellt sich die Sache nunmehr so dar:
> 
> 1. Das Fallback, das ja im eigentlichen Sinne gar keines ist, arbeitet
> korrekt.

Gut.

> 
> 2. In meiner Kette war ein Server, der zwar schnell antwortete, aber nur
> wenige Adressen korrekt auflösen konnte und deshalb die bekannte
> Fehlermeldung brachte.

Nur der Vollständigkeit halber: Der DNS-Upstream-Server hat also ein 
NXDOMAIN zurückgeliefert, obwohl es im (globalen) DNS eine oder mehrere 
Adressen für den Namen gibt?

> Offensichtlich hat sich die Verarbeitung durch den dnsmasq jetzt
> dahingehend geändert, dass diese Ergebnisse weitergereicht werden,
> obwohl sie unbrauchbar sind. Bei frühere Versionen wurden sie wohl
> ignoriert und auf sinnvolle Ergebnisse der anderen Server gewartet.

Nun ja, woher weiß der dnsmasq, dass das Ergebnis unbrauchbar ist? Wenn du 
"abcquq12examfooltest.com" [1] auflöst, bekommst du schließlich auch 
NXDOMAIN zurück, nur halt von jedem DNS-Server.

http://www.dnsknowledge.com/whatis/nxdomain-non-existent-domain-2/

> 
> Ich habe jetzt die Server jeweils einzeln in die Konfiguration
> eingetragen und damit die Spreu vom Weizen getrennt. Nun läuft alles
> sehr stabil und deutlich schneller als vorher.

Weißt du denn, welche Namen dein "halb-kaputter" DNS-Server auflöst und 
welche nicht? Sprich: Setzt dieser DNS-Server evtl. nur Namen um, die zu 
einer bestimmten (Sub-)Domäne gehören? Dann kann man ihn weiterhin nutzen, 
aber nur mit entsprechenden DNS_ZONE_DELEGATION-Einstellungen. Oder _soll_ 
dieser Server alle Namen auflösen, nur _kann_ er es nicht? Dann sollte man 
diesen DNS-Server entweder gar nicht nutzen oder reparieren. Denn das ist 
schon ein seltsames bzw. "kaputtes" Verhalten. Der dnsmasq geht schon davon 
aus, dass seine Upstream-Server rekursive Abfragen unterstützen, und zwar 
für den vollen Namensraum und nicht nur für Teile davon.

Aber es ist schön zu hören, dass jetzt wieder alles läuft!


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4l_dev