Buenos días

Gracias sus respuestas, ya esta resuelto con las recomendaciones de Mauricio y Sebastián

Saludos

Cristóbal Espinosa Muñoz
RedesEcuador
0984267814


El mié., 24 jun. 2020 a las 20:32, <dns-esp-request@listas.nic.cl> escribió:
Envíe los mensajes para la lista dns-esp a
        dns-esp@listas.nic.cl

Para subscribirse o anular su subscripción a través de la WEB
        https://listas.nic.cl/mailman/listinfo/dns-esp

O por correo electrónico, enviando un mensaje con el texto "help" en
el asunto (subject) o en el cuerpo a:
        dns-esp-request@listas.nic.cl

Puede contactar con el responsable de la lista escribiendo a:
        dns-esp-owner@listas.nic.cl

Si responde a algún contenido de este mensaje, por favor, edite la
linea del asunto (subject) para que el texto sea mas especifico que:
"Re: Contents of dns-esp digest...". Además, por favor, incluya en la
respuesta sólo aquellas partes del mensaje a las que está
respondiendo.


Asuntos del día:

   1. Problema con dnssec (Cristobal Alejandro Espinosa Muñoz)
   2. Re: Problema con dnssec (Mauricio Vergara Ereche)
   3. Re: Problema con dnssec (Sebastian Castro)


----------------------------------------------------------------------

Message: 1
Date: Wed, 24 Jun 2020 19:48:52 -0500
From: Cristobal Alejandro Espinosa Muñoz        <cespinosa@redesecuador.com>
To: dns-esp@listas.nic.cl
Subject: Problema con dnssec
Message-ID:
        <CANWi4z6-7TFxeNi7sPfj0Fa9wkGt1fP+fQbMuFYUTt5AzL1aQA@mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Buenas noches

Quería pedir su ayuda con un problema que tengo con dnssec, al momento
tengo 5 servidores dns para mi dominio redesecuador.com un master y los
otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que
es diferente al resto, la configuración en los slave son todas iguales, e
reiniciado varias veces y no hay forma de que los 5 servidores tengan el
mismo SOA, el que tiene diferente es siempre el mismo

Looks like your nameservers do not agree on the SOA serial. Ths SOA records
as reported by your nameservers:
*192.73.243.153 ->  2020060815*
*209.177.156.190 ->  2020060823*
*107.161.30.224 ->  2020060815*
*209.177.145.237 ->  2020060815*
*168.235.108.34 ->  2020060815*

Estoy trabajando con bind-chroot en la version 9.x

Si me pueden ayudar con este inconveniente


Saludos

Cristóbal Espinosa Muñoz
RedesEcuador
0984267814
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/5cbaff56/attachment-0001.html>

------------------------------

Message: 2
Date: Wed, 24 Jun 2020 18:06:15 -0700
From: Mauricio Vergara Ereche <mave@cero32.cl>
To: Cristobal Alejandro Espinosa Muñoz  <cespinosa@redesecuador.com>,
        DNS en español <dns-esp@listas.nic.cl>
Subject: Re: [dns-esp] Problema con dnssec
Message-ID:
        <CAAk_VVhxdox9xu4QRAMi9TWUHFLFLa4en00ZDVVQ9hvh4MEkcQ@mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Hola Cristobal,

Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC, sino
con cómo se están comunicando tus servidores autoritativos entre el master
y los slaves y entre medio se desincronizó uno de ellos.

Tu query se puede ver de la misma manera que tienes en tu ejemplo:

dig redesecuador.com +nssearch
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060823 3600 600
1209600 3600 from server 209.177.156.190 in 46 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
1209600 3600 from server 107.161.30.224 in 52 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
1209600 3600 from server 192.73.243.153 in 67 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
1209600 3600 from server 168.235.108.34 in 72 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
1209600 3600 from server 209.177.145.237 in 74 ms.

Esto significa que tu servidor autoritativo secundario ns2.redesecuador.com.
tiene una zona más nueva.

El fix más rápido:

Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy
2020062400) en tu servidor primario y fuerza una recarga de zona (con BIND
sería `rndc reload redesecuador.com`, en NSD sería `nsd-control reload
redesecuador.com`, en Knot-DNS sería `knotc zone-reload redesecuador.com`)
eso va a forzar un NOTIFY a los secundarios y ellos deberían actualizarse.

Saludos!



On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via
dns-esp <dns-esp@listas.nic.cl> wrote:

>
>
>
> ---------- Forwarded message ----------
> From: "Cristobal Alejandro Espinosa Muñoz" <cespinosa@redesecuador.com>
> To: dns-esp@listas.nic.cl
> Cc:
> Bcc:
> Date: Wed, 24 Jun 2020 19:48:52 -0500
> Subject: Problema con dnssec
> Buenas noches
>
> Quería pedir su ayuda con un problema que tengo con dnssec, al momento
> tengo 5 servidores dns para mi dominio redesecuador.com un master y los
> otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que
> es diferente al resto, la configuración en los slave son todas iguales, e
> reiniciado varias veces y no hay forma de que los 5 servidores tengan el
> mismo SOA, el que tiene diferente es siempre el mismo
>
> Looks like your nameservers do not agree on the SOA serial. Ths SOA
> records as reported by your nameservers:
> *192.73.243.153 ->  2020060815*
> *209.177.156.190 ->  2020060823*
> *107.161.30.224 ->  2020060815*
> *209.177.145.237 ->  2020060815*
> *168.235.108.34 ->  2020060815*
>
> Estoy trabajando con bind-chroot en la version 9.x
>
> Si me pueden ayudar con este inconveniente
>
>
> Saludos
>
> Cristóbal Espinosa Muñoz
> RedesEcuador
> 0984267814
>
>
>
> ---------- Forwarded message ----------
> From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <
> dns-esp@listas.nic.cl>
> To: dns-esp@listas.nic.cl
> Cc:
> Bcc:
> Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)
> Subject: [dns-esp] Problema con dnssec
> _______________________________________________
> dns-esp mailing list
> dns-esp@listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>


--
Mauricio Vergara Ereche
about.me/mave
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/6b66a416/attachment-0001.html>

------------------------------

Message: 3
Date: Thu, 25 Jun 2020 13:32:10 +1200
From: Sebastian Castro <sebas@requin.cl>
To: Mauricio Vergara Ereche <mave@cero32.cl>, DNS en español
        <dns-esp@listas.nic.cl>
Cc: Cristobal Alejandro Espinosa Muñoz  <cespinosa@redesecuador.com>
Subject: Re: [dns-esp] Problema con dnssec
Message-ID:
        <CAD4ck1Y4ec6op+2VTGjrvPmrrWM38gH83V7H1AnCushb17k9Yw@mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Hola Cristobal:

Sumando a lo que comento Mauricio, seria util saber cual es el maestro y
cuales los esclavos. Yo sospecho que, dado que ns5.redesecuador.com es el
unico con el serial mas alto, que ese es el maestro.

Durante la operacion normal de un esquema de maestro y esclavos, un cambio
en el maestro con el correspondiente ajuste en el serial, y la recarga de
la zona (rndc reload) deberia enviar mensajes NOTIFY a los esclavos para
que transfieran la zona nueva.

Puedes intentar conectandote a uno de los servidores con el serial atrasado
y ejecutar *rndc retransfer redesecuador.com <http://redesecuador.com>* y
ver si eso fuerza la actualizacion. Dependiendo de este resultado, habria
que ver si hay errores de comunicaciones entre el esclavo y el maestro, o
error de configuracion, o falla de los NOTIFY.


Buena suerte!

On Thu, 25 Jun 2020 at 13:06, Mauricio Vergara Ereche via dns-esp <
dns-esp@listas.nic.cl> wrote:

> Hola Cristobal,
>
> Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC, sino
> con cómo se están comunicando tus servidores autoritativos entre el master
> y los slaves y entre medio se desincronizó uno de ellos.
>
> Tu query se puede ver de la misma manera que tienes en tu ejemplo:
>
> dig redesecuador.com +nssearch
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060823 3600 600
> 1209600 3600 from server 209.177.156.190 in 46 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 107.161.30.224 in 52 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 192.73.243.153 in 67 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 168.235.108.34 in 72 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 209.177.145.237 in 74 ms.
>
> Esto significa que tu servidor autoritativo secundario
> ns2.redesecuador.com. tiene una zona más nueva.
>
> El fix más rápido:
>
> Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy
> 2020062400) en tu servidor primario y fuerza una recarga de zona (con BIND
> sería `rndc reload redesecuador.com`, en NSD sería `nsd-control reload
> redesecuador.com`, en Knot-DNS sería `knotc zone-reload redesecuador.com`)
> eso va a forzar un NOTIFY a los secundarios y ellos deberían actualizarse.
>
> Saludos!
>
>
>
> On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via
> dns-esp <dns-esp@listas.nic.cl> wrote:
>
>>
>>
>>
>> ---------- Forwarded message ----------
>> From: "Cristobal Alejandro Espinosa Muñoz" <cespinosa@redesecuador.com>
>> To: dns-esp@listas.nic.cl
>> Cc:
>> Bcc:
>> Date: Wed, 24 Jun 2020 19:48:52 -0500
>> Subject: Problema con dnssec
>> Buenas noches
>>
>> Quería pedir su ayuda con un problema que tengo con dnssec, al momento
>> tengo 5 servidores dns para mi dominio redesecuador.com un master y los
>> otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que
>> es diferente al resto, la configuración en los slave son todas iguales, e
>> reiniciado varias veces y no hay forma de que los 5 servidores tengan el
>> mismo SOA, el que tiene diferente es siempre el mismo
>>
>> Looks like your nameservers do not agree on the SOA serial. Ths SOA
>> records as reported by your nameservers:
>> *192.73.243.153 ->  2020060815*
>> *209.177.156.190 ->  2020060823*
>> *107.161.30.224 ->  2020060815*
>> *209.177.145.237 ->  2020060815*
>> *168.235.108.34 ->  2020060815*
>>
>> Estoy trabajando con bind-chroot en la version 9.x
>>
>> Si me pueden ayudar con este inconveniente
>>
>>
>> Saludos
>>
>> Cristóbal Espinosa Muñoz
>> RedesEcuador
>> 0984267814
>>
>>
>>
>> ---------- Forwarded message ----------
>> From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <
>> dns-esp@listas.nic.cl>
>> To: dns-esp@listas.nic.cl
>> Cc:
>> Bcc:
>> Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)
>> Subject: [dns-esp] Problema con dnssec
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp@listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>
>
>
> --
> Mauricio Vergara Ereche
> about.me/mave
>
> _______________________________________________
> dns-esp mailing list
> dns-esp@listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20200625/ce627917/attachment.html>

------------------------------

_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp


Fin de Resumen de dns-esp, Vol 70, Envío 3
******************************************