[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

connectivité DNS secondaire et transfert de zones impossible



bonjour,

après avoir fait, il y a un mois environ, une migration de jessie vers
stretch sur deux serveurs DNS, 

    - un primaire (dns.etilem.net) et 
    - un secondaire (ns1.etilem.net), 

je rencontre un problème de connectivité du service DNS secondaire.

j'ai l'habitude de me servir du site web 'zonemaster.net' pour tester
telle ou telle zone et voici ce qu'il est rapporté :

    Le serveur de noms ns1.etilem.net n'a pas répondu.
    
    Le serveur de noms ns1.etilem.net n'est pas accessible via TCP sur
    le port 53.

    Le serveur de noms ns1.etilem.net n'est pas accessible via UDP sur
    le port 53.

pourtant, à partir d'une machine différente de ces deux serveurs,
j'arrive bien à obtenir les informations de résolution de nom en
interrogeant le serveur secondaire avec cette commande (exemple pour la
zone etilem.net) :

    $ host etilem.net ns1.etilem.net
    
je précise que ces deux tests (zonemaster.net et host) ont été réalisés
avec le pare-feu désactivé temporairement sur le serveur secondaire.

en ce qui concerne named.conf, il contient pourtant la directive :

    listen-on-v6 { any; };
    
dans la section 'options'.

pour chaque zone, j'ai sur le serveur secondaire le paramètrage suivant :

    zone "domain.tld" {
    type slave;
    notify no;
    masters { IPv4-dns.etilem.net; IPv6-dns.etilem.net; };
    allow-transfer { none; };

bien sûr, 'domain.tld', 'IPv4-dns.etilem.net' et 'IPv6-dns.etilem.net'
sont à remplacer par des valeurs réelles.

mon named.conf est découpé en deux sections 'view', une 'internal' et
une 'external' :

view "internal" {
    match-clients {
        local;
    };
    recursion yes;
    zone "domain.tld" {
    --8<--
    
view "external" {
    match-clients {
        any;
    };
    recursion no;
    zone "domain.tld" {    
    --8<--
    
j'ai vérifié les acls et elles me semblent correctes :

acl local {
    127.0.0.1;
    ::1;
    IPv4-ns1.etilem.net;
    IPv6-ns1.etilem.net;
};

c'était le premier problème... j'ai aussi un souci de transfert de
zones du serveur primaire vers le serveur secondaire : tous les matins,
j'ai un avertissement via le logiciel 'logwatch' comme quoi le
transfert des zones du serveur primaire vers le serveur secondaire a
échoué avec un timeout, par exemple : 

    transfer of 'domain.tld/IN/external' from IPv6-dns.etilem.net#53:
    Transfer status: timed out: 6 Time(s)

    transfer of 'domain.tld/IN/internal' from
    IPv6-dns.etilem.net#53: Transfer status: timed out: 7 Time(s) 

pourtant, lorsque je lance la commande suivante sur le serveur
secondaire :

    /etc/init.d/bind9 restart && tail -f /var/log/syslog
    
le transfert des zones s'effectue sans problème.

voilà, j'ai besoin de vos lumières car j'avoue ne rien y comprendre !

--
Etilem


Reply to: