Что за чертовщина с резолвом домена?

Question

[Михаил]

Всем привет!
Есть VPS на Хетцнере.
Крутится до 10 сайтов, все нормально

Сегодня приспичило пропиногвать с локальной консоли на сервере test.mysite.ru - ответ сервера нет записей днс
Пытаюсь корневой сайт пингануть mysite.ru - тоже самое!
Черт!
Из инета все эти сайты работают нет проблем и видно их со всего мира, а этот как заколдованный!
Уже и запись А у хостера напрямую записал test.mysite.ru его IP
один фиг - не работает!
Парни куда копать? Всю голову сломал..

PS Ubuntu 16.04 minimal

Answer 1

[Михаил]

Проблема разрешилась. Косяк был на стороне регистратора, привожу дословную цитату из их тех поддержки:

Здравствуйте!

Дело в том, что для домена в разделе "DNSSEC" указаны записи, которые предполагают цепочку доверия, но она обрывается ввиду того, что на наших DNS-серверах нет возможности создать записи типа RRSIG.

Если Вы перейдите в личный кабинет.
В разделе "Домены" слева от домена нажмете на иконку в виде карандаша, далее, в поле "DNSSEC" удалите данные и нажмете кнопку "Далее", тем самым отправив задание на выполнение, то запись будет удалена с корневых серверов и информация о домене корректно обновится на всех серверах, в том числе, конечно же, на публичных, таких как 8.8.8.8

Информация обновится после означенного Вами действия где-то в течение суток.

Answer 2

[dom1n1k]

Не оно ли?
https://habr.com/ru/company/cisco/blog/436662/
https://habr.com/ru/company/qrator/blog/437334/

Comments

[Михаил]

В курсе этой проблемы, только что снова проверил - Ок - зеленый по всем параметрам

[Михаил]

Есть какие то локальные сервачные утилиты проверить из консоли где затык?
ping и whois не работают (именно по этому домену)

[Дмитрий]

dig @8.8.8.8 +short test.mysite.ru

[Михаил]

Похоже что мой домен и его субдомен Никто кроме самого регистратора не знает :(((
Имя этой гребанной конторы r01.ru
я этим доменом столько уже мучаюсь что дешевле было зарегить новый и сразу на reg.ru например...
root@mysite ~ # dig @8.8.8.8 test.mysite.ru

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @8.8.8.8 test.mysite.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49944
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;test.mysite.ru. IN A

;; Query time: 116 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Feb 02 23:40:50 MSK 2019
;; MSG SIZE rcvd: 45

Answer 3

[Владимир]

1) Проверить какие неймсервера используются (cat /etc/resolv.conf должно помочь)
2) dig на неймсервер, чтобы посмотреть что он отдает (man dig)
Для первого пункта возможно нужно выполнить
https://unix.stackexchange.com/questions/28941/wha...

Comments

[Михаил]

Спасибо! Чуть помогло найти концы.

В /etc/resolv.conf были прописаны Хетцнеровские днс сервера, вставил первой строкой тот ИП регистратора который ведает моим злополучным доменом - стало резолвится.

Теперь отвалился letsencrypt из превышения лимита плохих запросов типа того...

PS наверное плохая будет идея прописать гугловские IP? :)))
Как в серверах поступают правильно?

[Владимир]

Михаил, По идее хетцнеровские ДНС должны нормально резолвить домены, разве что после смены зон на своих ДНС серверах им нужно время (около 72 часов) для того, чтобы подтянуть изменения, но это в нормальных условиях. Кроме того, вы вполне в праве ставить гугловые ДНС в качестве основных на своем сервере, и это не должно было повлиять никоим образом на Letsencrypt
Единственный случай, когда не стоит менять ДНС на сервере - если у вас не одиночный ВПС а кластер (например Kubernetes) и ноді между собой, должні общаться по внутренней подсети.

Answer 4

[ky0]

Вполне возможно, что внешние адреса, выданные вам изнутри не будут доступны. Это нормально, в общем-то. Изнутри нужно обращаться по локальным адресам. Пропишите в /etc/hosts или настройки split-view DNS.

Comments

[Михаил]

Не вариант - так я смогу обмануть свой сервер, не проблема но при получении SSL сертификата сервис Let’s Encrypt пытается зайти на определенную скрытую папку на сайте что бы убедится что я это я и говорит об ошибке... Вот в чем проблема.
Буду пинать хостера r01, похоже их косяк....