Discussion :

[alextoch]

Bonjour à tous !

J'ai suivi de nombreux tutos sur internet mais le serveur DNS que j'essaye de mettre en place est en erreur (SERVFAIL).

Pourtant, tout semble être correct (fichier de zones OK, bind est bien actif, la zone fonctionne bien en local...) et j'ai passé beaucoup de temps à tout vérifier mais rien ne fonctionne alors je fais appel à votre expertise !

Pour information, je suis sur un serveur dédié Kimsufi, et j'ai installé la distribution Debian 10 Buster dessus.

Pour commencer, le problème est le suivant (dig) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
alextoch@ns50XXXX ~ % dig mondomaine.fr
 
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> mondomaine.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 53406
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mondomaine.fr.                    IN      A
 
;; Query time: 193 msec
;; SERVER: 213.186.33.99#53(213.186.33.99)
;; WHEN: Fri Apr 03 10:01:47 CEST 2020
;; MSG SIZE  rcvd: 39

dig de mon domaine en local --> on voit ici que c'est OK.
--------------------------------

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
alextoch@ns50XXXX ~ % dig mondomaine.fr @127.0.0.1
 
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> mondomaine.fr @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2654
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: e6f4de23ff420e02475d0e005e86edcb7230eac793a7e98a (good)
;; QUESTION SECTION:
;mondomaine.fr.                    IN      A
 
;; ANSWER SECTION:
mondomaine.fr.             3600    IN      A       198.100.XXX.Y
 
;; AUTHORITY SECTION:
mondomaine.fr.             3600    IN      NS      ns1.mondomaine.fr.
mondomaine.fr.             3600    IN      NS      sdns2.ovh.ca.
 
;; ADDITIONAL SECTION:
ns1.mondomaine.fr.         3600    IN      A       198.100.XXX.Y
 
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Apr 03 10:03:23 CEST 2020
;; MSG SIZE  rcvd: 143

Vérification de la zone
---------------------------

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
alextoch@ns50XXXX ~ % named-checkconf -z
zone mondomaine.fr/IN: loaded serial 2020040210
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
alextoch@ns50XXXX ~ % named-checkzone mondomaine.fr /etc/bind/mondomaine.fr/db.mondomaine.fr
zone mondomaine.fr/IN: loaded serial 2020040210
OK

==> A priori ma zone est OK.

Logs de bind
----------------------------------

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
alextoch@ns50XXXX ~ % cat /var/lib/bind/bind.log
02-Apr-2020 20:00:18.251 general: notice: all zones loaded
02-Apr-2020 20:00:18.252 general: notice: running

Statut de bind9
----------------------------------

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
alextoch@ns50XXXX ~ % sudo service bind9 status
● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-04-02 20:00:18 CEST; 14h ago
     Docs: man:named(8)
  Process: 15408 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=0/SUCCESS)
 Main PID: 15410 (named)
    Tasks: 7 (limit: 4915)
   Memory: 20.8M
   CGroup: /system.slice/bind9.service
           └─15410 /usr/sbin/named -u bind
 
Apr 02 20:00:18 ns50XXXX named[15410]: automatic empty zone: B.E.F.IP6.ARPA
Apr 02 20:00:18 ns50XXXX named[15410]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Apr 02 20:00:18 ns50XXXX named[15410]: automatic empty zone: EMPTY.AS112.ARPA
Apr 02 20:00:18 ns50XXXX named[15410]: automatic empty zone: HOME.ARPA
Apr 02 20:00:18 ns50XXXX named[15410]: none:106: 'max-cache-size 90%' - setting to 7097MB (out of 7885MB)
Apr 02 20:00:18 ns50XXXX named[15410]: configuring command channel from '/etc/bind/rndc.key'
Apr 02 20:00:18 ns50XXXX named[15410]: command channel listening on 127.0.0.1#953
Apr 02 20:00:18 ns50XXXX named[15410]: configuring command channel from '/etc/bind/rndc.key'
Apr 02 20:00:18 ns50XXXX named[15410]: command channel listening on ::1#953
Apr 02 20:00:18 ns50XXXX systemd[1]: Started BIND Domain Name Server.

Mes fichiers bind / zone

resolv.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
alextoch@ns50XXXX ~ % cat /etc/resolv.conf
nameserver 213.186.33.99
nameserver 127.0.0.1

/etc/bind/named.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

/etc/bind/named.conf.options

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
options {
        directory "/var/cache/bind";
 
        auth-nxdomain no;    # conform to RFC1035
        listen-on { any; };
        listen-on-v6 { any; };
 
        // hide version number from clients for security reasons.
        version "not currently available";
 
        // disable recursion on authoritative DNS server.
        recursion no;
 
        // enable the query log
        querylog yes;
 
        // disallow zone transfer
        allow-transfer { none; };
};
 
logging {
    channel bind.log {
        file "/var/lib/bind/bind.log" versions 10 size 20m;
        severity notice;
        print-category yes;
        print-severity yes;
        print-time yes;
    };
 
        category queries { bind.log; };
        category default { bind.log; };
        category config { bind.log; };
};

/etc/bind/named.conf.local

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
zone "mondomaine.fr" {
        type master;
        allow-transfer {167.114.154.31;};
        also-notify {167.114.154.31;};
        allow-update {167.114.154.31;};
        file "/etc/bind/mondomaine.fr/db.mondomaine.fr";
};

/etc/bind/named.conf.default-zones

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/usr/share/dns/root.hints";
};
 
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
 
zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};
 
zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};
 
zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};
 
zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

/etc/bind/mondomaine.fr/db.mondomaine.fr

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
$TTL 3600
@       IN      SOA     ns1.mondomaine.fr. admin.mondomaine.fr. (
                        2020040205       ; serial, todays date + todays serial #
                        14400              ; refresh, seconds
                        3600              ; retry, seconds
                        604800              ; expire, seconds
                        3600 )            ; minimum, seconds
;
 
mondomaine.fr. 3600 A 198.100.XXX.Y
mail 3600 A 198.100.XXX.Y
ns1 3600 A 198.100.XXX.Y
 
mondomaine.fr. 3600 MX 10 mail.mondomaine.fr.
mondomaine.fr. 3600 NS ns1.mondomaine.fr.
mondomaine.fr. 3600 NS sdns2.ovh.ca.
 
 
Y.XXX.100.198.in-addr.arpa 3600 PTR mondomaine.fr.
 
mondomaine.fr. 3600 TXT "v=spf1 mx a ~all"
_dmarc.mondomaine.fr. 3600 TXT "v=DMARC1; p=none"

Vu que tout semble "ok" dans la conf, que la zone est bien chargée par bind et qu'elle fonctionne en local. Je me suis dit que c'était peut être le pare feu qui bloquait le port 53 mais en fait non :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
alextoch@ns50XXXX ~ % sudo nmap -sS -sU 198.100.XXX.Y
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-03 10:27 CEST
Stats: 0:00:02 elapsed; 0 hosts completed (1 up), 1 undergoing UDP Scan
UDP Scan Timing: About 1.00% done; ETC: 10:28 (0:01:39 remaining)
Nmap scan report for ns50XXXX.ip-198-100-XXX.net (198.100.XXX.Y)
Host is up (0.000032s latency).
Not shown: 1996 closed ports
PORT    STATE         SERVICE
53/tcp  open          domain
53/udp  open          domain
68/udp  open|filtered dhcpc
123/udp open          ntp
 
Nmap done: 1 IP address (1 host up) scanned in 4.30 seconds

J'ai même désactivé iptables pour être bien sûr, mais cela ne change absolument rien.

Aussi, toute idée est la bienvenue !! Avez-vous des pistes ? Ce problème commence à me rendre fou

Merci beaucoup d'avance pour votre aide !

[becket]

Salut,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
zone "mondomaine.fr" {
        type master;
        allow-transfer {167.114.154.31;};
        also-notify {167.114.154.31;};
        allow-update {167.114.154.31;};
        file "/etc/bind/mondomaine.fr/db.mondomaine.fr";
};

Tu fais ton dig depuis 167.114.154.31 ?

[alextoch]

Salut,



Tu fais ton dig depuis 167.114.154.31 ?

Salut becket !

167.114.154.31 est l'IP du DNS que m'a fournit Kimsufi pour mon domaine.

Si je fais le dig à partir de cette adresse, cela fonctionne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 alextoch@ns50XXXX~ % dig mondomaine.fr @167.114.154.31
 
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> mondomaine.fr @167.114.154.31
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12724
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mondomaine.fr.                    IN      A
 
;; ANSWER SECTION:
mondomaine.fr.             3600    IN      A       198.100.XXX.Y
 
;; Query time: 0 msec
;; SERVER: 167.114.154.31#53(167.114.154.31)
;; WHEN: Fri Apr 03 11:12:50 CEST 2020
;; MSG SIZE  rcvd: 55

[becket]

Salut

Ce que tu fais avec dig, tu demande un transfert de zone

Tu dois soit autoriser les machines qui font la demande ( et ce n'est recommandé que pour les serveur slave de ton domaine ) ou tu changes la requête pour vérifier que ton serveur répond

Equivalent du dig :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
 nslookup -querytype=axfr mondomaine.Fr 167.114.154.31

Qui sont les serveur mail pour le domaine :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
 nslookup -querytype=mx mondomaine.fr 167.114.154.31

Qui sont les serveur de nom pour le domaine :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
 nslookup -querytype=ns mondomaine.fr 167.114.154.31

[alextoch]

Merci pour les explications.

Voici le résultat :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
12:11 alextoch@ns50XXXX ~ %  nslookup -querytype=axfr mondomaine.fr 167.114.154.31
Server:         167.114.154.31
Address:        167.114.154.31#53
 
** server can't find mondomaine.fr: REFUSED
; Transfer failed.

=> ca semble être un problème.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
12:11 alextoch@ns50XXXX ~ % nslookup -querytype=mx mondomaine.fr 167.114.154.31
Server:         167.114.154.31
Address:        167.114.154.31#53
 
mondomaine.fr      mail exchanger = 10 mail.mondomaine.fr.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
12:12 alextoch@ns50XXXX ~ % nslookup -querytype=ns mondomaine.fr 167.114.154.31
Server:         167.114.154.31
Address:        167.114.154.31#53
 
mondomaine.fr      nameserver = sdns2.ovh.ca.
mondomaine.fr      nameserver = ns1.mondomaine.fr.

[becket]

Bon ben, il fonctionne ton serveur

[alextoch]

Bon ben, il fonctionne ton serveur

J'aimerai bien Malheureusement non, je ne peux pas accéder à mon serveur via ssh grâce à mon nom de domaine par exemple. Alors que par IP cela fonctionne.
Mes autres services types sites, ne répondent pas non plus avec mon nom de domaine (par contre ça répond en local...).

Il ne faudrait pas creuser ce point là ? :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
12:11 alextoch@ns50XXXX ~ %  nslookup -querytype=axfr mondomaine.fr 167.114.154.31
Server:         167.114.154.31
Address:        167.114.154.31#53
 
** server can't find mondomaine.fr: REFUSED
; Transfer failed.

Ca veut dire quoi exactement ?

[alextoch]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
alextoch@ns50XXXX ~ % nslookup -querytype=ns mondomaine.fr 8.8.4.4
Server:         8.8.4.4
Address:        8.8.4.4#53
 
** server can't find mondomaine.fr: SERVFAIL

Si je requête les NS à partir du DNS de google, j'ai bien également SERVFAIL

[alextoch]

Autre précision : J'ai bien configuré les DNS de mon hébergeur de nom de domaine pour qu'ils pointent vers le ns1.mondomaine.fr et le sdns2.ovh.ca.

[becket]

C'est différent.

C'est quoi le "vrai" domaine ?

[alextoch]

C'est différent.

C'est quoi le "vrai" domaine ?

maymail.fr

[becket]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
bashhar@kiss:~$  host -t ns maymail.fr 198.100.145.9
Using domain server:
Name: 198.100.145.9
Address: 198.100.145.9#53
Aliases:
 
maymail.fr name server sdns2.ovh.ca.
maymail.fr name server ns1.maymail.fr.
bashhar@kiss:~$ host -t ns maymail.fr 167.114.154.31
Using domain server:
Name: 167.114.154.31
Address: 167.114.154.31#53
Aliases:
 
maymail.fr name server ns1.maymail.fr.
maymail.fr name server sdns2.ovh.ca.

1 - Tes deux serveurs répondent des choses différentes
2 - 167.114.154.31 n'est pas repris en slave
3 - Il faut que tu commences par regarder la config sur 198.100.145.9 car c'est elle qui est reprise dans le DNS mondial

[alextoch]

Merci !

Par rapport à ton 3ème point :
3 - Il faut que tu commences par regarder la config sur 198.100.145.9 car c'est elle qui est reprise dans le DNS mondial

Quand tu parles de config ? Tu parles desquels ? Concernant bind, j'ai tout mis dans le post. Je ne sais pas quoi regarder d'autres.

[becket]

Merci !

Par rapport à ton 3ème point :
3 - Il faut que tu commences par regarder la config sur 198.100.145.9 car c'est elle qui est reprise dans le DNS mondial

Quand tu parles de config ? Tu parles desquels ? Concernant bind, j'ai tout mis dans le post. Je ne sais pas quoi regarder d'autres.

Quand je parle de config, je parle de la configuration du serveur DNS de 198.100.145.9 pour le domaine en question.
C'est lui qui a autorité, ton serveur sur 167.114.154.31 ne sert à rien si l'autre ne le renseigne pas ou qu'il ne lui permet pas de faire un transfert de zone en tant que slave

[alextoch]

D'accord mais justement ce n'est pas le rôle de /etc/bind/named.conf.local ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
zone "mondomaine.fr" {
        type master;
        allow-transfer {167.114.154.31;};
        also-notify {167.114.154.31;};
        allow-update {167.114.154.31;};
        file "/etc/bind/mondomaine.fr/db.mondomaine.fr";
};

J'ai oublié quelque chose ? Il y a peut être d'autre conf à réaliser mais je ne sais pas quoi.
J'ai retourné les sites qui expliquent bind dans tous les sens et il me semble que j'ai bien tout respecté mais là je ne vois pas :'(

[becket]

Ce que tu mets dans etc/bind/named.conf.local sur 167.114.154.31, le dns mondial il s'en fou carrément.
Tu peix te faire des zone facebook.com et google.Fr si tu veux, cela ne change absolument rien.

Tu dois changer la configuration sur 198.100.145.9 ou chez ton registar DNS. Point final !

[alextoch]

La configuration sur 198.100.145.9, c'est la configuration que j'ai mis dans le post. C'est mon serveur dédié.

Voici la conf de mon nom de domaine au niveau de mon registrar :

[becket]

Bon ben, tu n'aurais pas su modifier quoi que ce soit directement sur 167.114.154.31 , C'est un serveur OVH ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
 host -v -t ns maymail.fr
Trying "maymail.fr"
Host maymail.fr not found: 2(SERVFAIL)
Received 28 bytes from 213.186.33.99#53 in 531 ms

Tu as fait un changement récemment ? C'est cdns.ovh.net qui répond par défaut et il ne répond pas bien

[alextoch]

Oui, j'ai réinstallé entièrement mon serveur kimsufi.

Avant, mon DNS était géré par ISPConfig (mais j'avais récupéré mes fichiers de zones et la conf associée).
Puis à la réinstallation, j'ai décidé de le faire à la mano car j'utilisais uniquement ISPConfig pour le DNS à vrai dire donc cela ne servait pas à grand chose à part alourdir mon serveur inutilement.

Du coup, je ne vois pas trop où ça bloque car en comparant mes anciennes conf. bind générées par ISPConfig et celle que j'ai maintenant, il n'y a pas de différence (et cela fonctionnait pourtant...)

Aussi, je n'ai effectué aucun changement au niveau de mon registrar (capture de mon post précédent), c'est donc bien configuré.

J'avoue que je ne comprend pas du tout d'où peut provenir le problème :'(

[becket]

D'ou vient ce 213.186.33.99 / cdns.ovh.net alors ?