DNS Aufloesung klappt nicht

Felix · Beitrag von **Felix** » 26.10.2006 13:34:22

Hallo,

Ich habe in einem Intranet 2 Debian-Rechner und einen DNS Server. Der eine kann ueber den DNS Server IPs aufloesen, der andere nicht. Woran kann das liegen? Wo muss ich anfangen zu suchen?

Hier funktionierts:

Code: Alles auswählen

felix@marx:~$ dig 192.168.25.254

; <<>> DiG 9.3.2-P1 <<>> 192.168.25.254
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 19820
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;192.168.25.254.                        IN      A

;; AUTHORITY SECTION:
.                       10800   IN      SOA     A.ROOT-SERVERS.NET. NSTLD.VERISIGN-GRS.COM. 2006102501 1800 900 604800 86400

;; Query time: 304 msec
;; SERVER: 192.168.2.1#53(192.168.2.1)
;; WHEN: Thu Oct 26 13:28:56 2006
;; MSG SIZE  rcvd: 107

Und hier nicht:

Code: Alles auswählen

root@BladeBSN:~# dig 192.168.25.254

; <<>> DiG 9.3.2 <<>> 192.168.25.254
;; global options:  printcmd
;; connection timed out; no servers could be reached

Anpingen kann ich den DNS Server allerdings von beiden Maschienen. Mir gehen nur langsam die Ideen aus was ich noch versuchen koennte. Bitte um Hilfe!

herrchen · Beitrag von **herrchen** » 26.10.2006 13:49:30

Felix hat geschrieben: Hier funktionierts:
Code: Alles auswählen
felix@marx:~$ dig 192.168.25.254
[...]
ANSWER: 0,

das sieht mir nicht danach aus.

was steht denn in der "/etc/resolv.conf" des zweiten rechners?

herrchen

Felix · Beitrag von **Felix** » 26.10.2006 14:03:11

Hmm, ok, da muss ich wohl noch etwas weiter ausholen. Der Rechner wo es nicht geht steht in einem Rechenzentrum. Der andere haengt ueber ein VPN an diesem Rechenzentrum. Alle IPs die mit 192.168.25.xxx beginnen werden aber definitiv ueber das Rechenzentrum geroutet:

Code: Alles auswählen

marx:/home/felix# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.25.250  *               255.255.255.255 UH    0      0        0 ppp0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.25.0    *               255.255.255.0   U     0      0        0 ppp0
default         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

Wobei ppp0 die VPN Verbindung ist.

Das heisst wenn ich ein von meinem Rechner zu Hause ein:

Code: Alles auswählen

dig 192.168.25.254

mache, wird der Rechner im Rechenzentrum angesprochen. Das funktioniert auch problemlos. Von dem Rechner im Rechenzentrum geht es nicht.
Ok, lange Rede, kurzer Sinn, die /etc/resolv.conf sollte auf den dig Befehl doch keine Auswirkungen haben, oder? Der Rechner wo es nicht geht hat schon allemoeglichen IPs in der /etc/resolv.conf gehabt. Auch externe IPs, die von diesem Rechner alle anpingbar sind. Aktuell steht dort:

Code: Alles auswählen

# search BladeBSN
nameserver 192.168.25.254

Auf meinem Rechner zu Hause steht allerdings mein Router von hier zu Hause drin. Das wird jetzt nicht unbedingt weiterhelfen oder?

Da ich keinerlei DNS Anfragen von dem Rechner im Rechenzentrum aus machen kann, vermute ich das dort irgendetwas falsch konfiguriert ist. Ich kann aber beim Besten willen nicht rausfinden was die Ursache ist.

herrchen · Beitrag von **herrchen** » 26.10.2006 14:31:21

Felix hat geschrieben:Hmm, ok, da muss ich wohl noch etwas weiter ausholen. Der Rechner wo es nicht geht steht in einem Rechenzentrum.

nochmal:
auf dem anderen geht es auch nicht. s.o.
"marx" ist dein rechner zuhause, richtig?
bei dem steht der router in der "/etc/resolv.conf", richtig?
läuft denn darauf überhaupt ein nameserver, der diese interne IP auflösen kann?

Das heisst wenn ich ein von meinem Rechner zu Hause ein:
Code: Alles auswählen
dig 192.168.25.254
mache, wird der Rechner im Rechenzentrum angesprochen. Das funktioniert auch problemlos.

nein. s.o.

die /etc/resolv.conf sollte auf den dig Befehl doch keine Auswirkungen haben, oder?

"man dig" ist da anderer meinung.

Der Rechner wo es nicht geht hat schon allemoeglichen IPs in der /etc/resolv.conf gehabt. Auch externe IPs, die von diesem Rechner alle anpingbar sind. Aktuell steht dort:
Code: Alles auswählen
# search BladeBSN
nameserver 192.168.25.254

läuft denn darauf ein nameserver?

herrchen

Felix · Beitrag von **Felix** » 26.10.2006 15:06:54

Also in man dig steht bei mir folgendes:

Code: Alles auswählen

 If no server argument is provided, dig consults /etc/resolv.conf and queries the name servers listed there. The reply from the name server that responds is displayed.

Das heisst fuer mich das ich bei dig nen Nameserver (wie beschrieben ueber die IP) angebe und dieser dann benutzt wird. nur wenn ich kein Argument angebe wird die /etc/resolv.conf ausgewertet. Aber ich kann mich auch irren.

Zu deinen Fragen:

Jap, marx ist der Rechner zu Hause wo alles klappt. Bei dem steht der Router den ich hier zu Hause hab als Nameserver drin. Der Router ist ein SMC Barricade. Das der da drin steht macht mich auch stutzig, denn ich denke nicht das der nen DNS Server zur Verfuegung stellt. Aber hier funktionierte bisher immer alles. Ich vermute Debian hat den bei der Installation als Gateway erkannt und daher in die /etc/resolv.conf eingetragen.

Laut Admin vom Rechenzentrum stellt 192.168.25.254 einen DNS Server zur Verfuegung. Das muss nicht heissen das dies auch so ist. Diese IP ist auch gleichzeitig das Gateway nach draussen.

herrchen · Beitrag von **herrchen** » 26.10.2006 15:22:34

Felix hat geschrieben:Also in man dig steht bei mir folgendes:

das steht bei mir auch. allerdings steht bei mir auch, dass ein bestimmter server so angesprochen wird:

Code: Alles auswählen

dig @194.25.0.60 www.google.de

so wie es oben für mich aussah, wolltest du die IP 192.168.25.254 auflösen ...

herrchen

Felix · Beitrag von **Felix** » 26.10.2006 19:33:47

Hmm, ok, dann hab ich wohl die Funktionalitaet von dig falsch verstanden. Ich dachte immer damit kann man irgendwie pruefen ob ein bestimmter DNS Server funktioniert. Danke fuer den Hinweiss. Aber was mach ich nun?

P.S.: Ich bin von Freitag bis Dienstag unterwegs, es kann also sein das es lange dauert bis ich antworte. Aber ich werde antworten

herrchen · Beitrag von **herrchen** » 26.10.2006 19:48:21

Felix hat geschrieben:Aber was mach ich nun?

du kannst ja auf dem rechner im RZ mal folgendes testen:

Code: Alles auswählen

dig @192.168.25.254 www.google.de

wenn du ihn anpingen kannst, aber trotzdem kein ergebnis bekommst, testest du mit "netcat", ob der rechner ein nameserver ist:

Code: Alles auswählen

nc -uvv 192.168.25.254 53

herrchen

Felix · Beitrag von **Felix** » 03.11.2006 05:53:23

Erstmal ein riesen Sorry, das es so lang gedauert hat. Aber wie gesagt, ich war ne Weile unterwegs.
Ein

Code: Alles auswählen

dig @192.168.25.254 www.google.de

hat wie du wahrscheinlich schon erwartet hast nicht funktioniert. Der Rechner im Rechenzentrum reagiert darauf garnicht. Anschliessend habe ich mal einen freien Nameserver getestet der von mir zu Hause aus wunderbar erreichbar ist:

Code: Alles auswählen

felix@marx:~$ dig @194.25.2.129 www.google.de

; <<>> DiG 9.3.2-P1 <<>> @194.25.2.129 www.google.de
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14800
;; flags: qr rd; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.de.                 IN      A

;; ANSWER SECTION:
www.google.de.          20110   IN      CNAME   www.google.com.
www.google.com.         20108   IN      CNAME   www.l.google.com.
www.l.google.com.       209     IN      A       72.14.221.147
www.l.google.com.       209     IN      A       72.14.221.99
www.l.google.com.       209     IN      A       72.14.221.104

;; Query time: 34 msec
;; SERVER: 194.25.2.129#53(194.25.2.129)
;; WHEN: Fri Nov  3 05:36:59 2006
;; MSG SIZE  rcvd: 127

Der Rechner im Rechenzentrum kann diese IP problemlos anpingen bringt aber keinerlei Ergebnis:

Code: Alles auswählen

root@BladeBSN:/home/felix# dig @194.25.2.129 www.google.de

; <<>> DiG 9.3.2 <<>> @194.25.2.129 www.google.de
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

Eine merkwuerdige Sache ist mir dabei aber aufgefallen. Wenn ich nun die Firewall des Servers mal deaktiviere bekomme ich folgende Fehlermeldung:

Code: Alles auswählen

root@BladeBSN:/home/felix# dig @194.25.2.129 www.google.de
;; reply from unexpected source: 192.168.25.250#53, expected 194.25.2.129#53

Ich denke damit sind wir der Ursache des Problems ein Stueck naeher. Laut Betreiber des Rechenzentrums verbirgt sich hinter dieser IP die FIrewall des Unternehmens. Aber wieso kommt die Antwort auf einen DNS Request von dieser IP zurueck? Das kann ich mir nicht erklaeren. Wie dem auch sei. Ich dachte mir, wenn die Antwort auf meinen Request eh ueber diese IP zurueck kommt, vielleicht kann ich auch die Anfrage dorthin schicken. Und siehe da, das funktioniert sofort. Im Grunde habe ich damit einen Workaround fuer das Problem und kann erstmal weiterarbeiten. Aber warum ist das so?

Felix · Beitrag von **Felix** » 03.11.2006 06:36:16

Ein Zusatz noch. Ich kann zwar nun Domains aufloesen und ein

Code: Alles auswählen

ping debian.org

funktioniert problemlos, aber ich kann trotzdem keine Updates mit dselect ziehen. Er kann nun keine Verbindung aufbauen, was ich aber langsam mehr als Merkwuerdig finde.

debianforum.de

DNS Aufloesung klappt nicht

DNS Aufloesung klappt nicht

Re: DNS Aufloesung klappt nicht