[dns-esp] Consulta: ¿Que eventos desencadenan una transferencia de zona maestro / esclavo ?
Hola,
tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se corresponde con un hecho observado en la realidad.
Tengo una zona (labs.lacnic.net) la cual tiene dos NS (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual normalmente incremento el serial manualmente y vuelvo a correr el script que firma.
Ahora, a guisa de experimento, puse el script en el crontab, y como el script no incrementa el serial, en mi cabeza al menos, el secundario no se iba a transferir la zona ya que el serial no cambia.
Ahora, la realidad me indica que el secundario obendientemente SI se transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a pesar de que el serial no cambia.
Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo que está pasando. Hugo, te estoy mirando fijamente :-)
Abrazo,
~Carlos
Hola Carlos: La teoría que yo manejo está en la misma linea de lo que tu esperabas. Puedes darnos más información sobre qué software estás usando? tal vez haya algún feature especial de alguna versión especial y/o tal vez como un comportamiento especial para el uso de DNSSEC?
Atte.
CR
Carlos M. Martinez wrote:
Hola,
tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se corresponde con un hecho observado en la realidad.
Tengo una zona (labs.lacnic.net) la cual tiene dos NS (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual normalmente incremento el serial manualmente y vuelvo a correr el script que firma.
Ahora, a guisa de experimento, puse el script en el crontab, y como el script no incrementa el serial, en mi cabeza al menos, el secundario no se iba a transferir la zona ya que el serial no cambia.
Ahora, la realidad me indica que el secundario obendientemente SI se transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a pesar de que el serial no cambia.
Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo que está pasando. Hugo, te estoy mirando fijamente :-)
Abrazo,
~Carlos _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Nada especial, BIND 9.7.3 en ambos servidores, firma con dnssec-signzone
On 9/2/13 1:03 PM, Cristian Rojas R. wrote:
Hola Carlos: La teoría que yo manejo está en la misma linea de lo que tu esperabas. Puedes darnos más información sobre qué software estás usando? tal vez haya algún feature especial de alguna versión especial y/o tal vez como un comportamiento especial para el uso de DNSSEC?
Atte. CRCarlos M. Martinez wrote:
Hola,
tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se corresponde con un hecho observado en la realidad.
Tengo una zona (labs.lacnic.net) la cual tiene dos NS (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual normalmente incremento el serial manualmente y vuelvo a correr el script que firma.
Ahora, a guisa de experimento, puse el script en el crontab, y como el script no incrementa el serial, en mi cabeza al menos, el secundario no se iba a transferir la zona ya que el serial no cambia.
Ahora, la realidad me indica que el secundario obendientemente SI se transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a pesar de que el serial no cambia.
Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo que está pasando. Hugo, te estoy mirando fijamente :-)
Abrazo,
~Carlos _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola Carlos,
En el script que mencionas, al momento de re-firmar cómo es posible que puedas re-cargar la zona con bind sin que te arroje un error?
En los logs debería decirte algo como:
error: zone labs.lacnic.net/IN: zone serial (2013082100) unchanged. zone may fail to transfer to slaves.
Estás ocupando las herramientas de bind para firmar? Estás seguro que no estás ocupando "-N increment" por ahí entremedio?
Saludos!
El 02-09-13 12:04, Carlos M. Martinez escribió:
Nada especial, BIND 9.7.3 en ambos servidores, firma con dnssec-signzone
On 9/2/13 1:03 PM, Cristian Rojas R. wrote:
Hola Carlos: La teoría que yo manejo está en la misma linea de lo que tu esperabas. Puedes darnos más información sobre qué software estás usando? tal vez haya algún feature especial de alguna versión especial y/o tal vez como un comportamiento especial para el uso de DNSSEC?
Atte. CRCarlos M. Martinez wrote:
Hola,
tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se corresponde con un hecho observado en la realidad.
Tengo una zona (labs.lacnic.net) la cual tiene dos NS (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual normalmente incremento el serial manualmente y vuelvo a correr el script que firma.
Ahora, a guisa de experimento, puse el script en el crontab, y como el script no incrementa el serial, en mi cabeza al menos, el secundario no se iba a transferir la zona ya que el serial no cambia.
Ahora, la realidad me indica que el secundario obendientemente SI se transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a pesar de que el serial no cambia.
Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo que está pasando. Hugo, te estoy mirando fijamente :-)
Abrazo,
~Carlos _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
No... no estoy usando -N, y lo que estoy haciendo es reiniciar todo el bind cada vez que se re-firma la zona (si, ya se, medio bestia, pero como es un servidor que no usa casi mas nadie, y las zonas son pequeñas, funciona perfectamente).
A grosso modo el script hace lo siguiente:
- programa alertas para el futuro (envia mails avisando que la zona debe
refirmarse), at -q
- llama al dnssec-signzone
- llama /etc/init.d/bind9 restart
s2
~Carlos
On 9/2/13 1:45 PM, Mauricio Vergara Ereche wrote:
Hola Carlos,
En el script que mencionas, al momento de re-firmar cómo es posible que puedas re-cargar la zona con bind sin que te arroje un error?
En los logs debería decirte algo como:
error: zone labs.lacnic.net/IN: zone serial (2013082100) unchanged. zone may fail to transfer to slaves.
Estás ocupando las herramientas de bind para firmar? Estás seguro que no estás ocupando "-N increment" por ahí entremedio?
Saludos!
El 02-09-13 12:04, Carlos M. Martinez escribió:
Nada especial, BIND 9.7.3 en ambos servidores, firma con dnssec-signzone
On 9/2/13 1:03 PM, Cristian Rojas R. wrote:
Hola Carlos: La teoría que yo manejo está en la misma linea de lo que tu esperabas. Puedes darnos más información sobre qué software estás usando? tal vez haya algún feature especial de alguna versión especial y/o tal vez como un comportamiento especial para el uso de DNSSEC?
Atte. CRCarlos M. Martinez wrote:
Hola,
tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se corresponde con un hecho observado en la realidad.
Tengo una zona (labs.lacnic.net) la cual tiene dos NS (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual normalmente incremento el serial manualmente y vuelvo a correr el script que firma.
Ahora, a guisa de experimento, puse el script en el crontab, y como el script no incrementa el serial, en mi cabeza al menos, el secundario no se iba a transferir la zona ya que el serial no cambia.
Ahora, la realidad me indica que el secundario obendientemente SI se transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a pesar de que el serial no cambia.
Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo que está pasando. Hugo, te estoy mirando fijamente :-)
Abrazo,
~Carlos _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
On 03/09/13 03:35, Carlos M. Martinez wrote:
Hola,
tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se corresponde con un hecho observado en la realidad.
Tengo una zona (labs.lacnic.net) la cual tiene dos NS (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual normalmente incremento el serial manualmente y vuelvo a correr el script que firma.
Ahora, a guisa de experimento, puse el script en el crontab, y como el script no incrementa el serial, en mi cabeza al menos, el secundario no se iba a transferir la zona ya que el serial no cambia.
Debe haber logs de toda esta actividad: reinicio del servidor, recarga de la zona, envio de NOTIFY, recibo de NOTIFY en el esclavo, inicio de transferencia de zona, fin de transferencia de zona.
Ahora, la realidad me indica que el secundario obendientemente SI se transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a pesar de que el serial no cambia.
Esto es bastante extra~no, porque la ultima vez que mire el codigo, el esclavo hace mas o menos lo siguiente:
- Recibe NOTIFY
- Envia consulta SOA via UDP al maestro por la zona para la cual recibio
el NOTIFY
- Si hay respuesta, verifica que el serial recibido sea mayor al serial
local. Si es asi, inicia transferencia.
- Si no hay respuesta, reintenta tres veces. Si todo eso falla, intenta
consultando el serial via TCP(!). Por esto, si usan dos maestros y el primero de la lista esta inalcanzable, va a tomar muchos segundos en intentar el segundo. Les recomiendo que deshabiliten explicitamente tcp-try-refresh
Si tienes los logs, puedes compartirlos?
Saludos!
Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo que está pasando. Hugo, te estoy mirando fijamente :-)
Abrazo,
~Carlos _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
He tratado de reproducir el ambiente que Carlos menciona y todavía no he logrado replicar el comportamiento mencionado.
¿Alguna nueva idea ha salido de los logs?
El 2 de septiembre de 2013 16:30, Sebastian Castro sebas@requin.clescribió:
On 03/09/13 03:35, Carlos M. Martinez wrote:
Hola,
tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se corresponde con un hecho observado en la realidad.
Tengo una zona (labs.lacnic.net) la cual tiene dos NS (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual normalmente incremento el serial manualmente y vuelvo a correr el script que firma.
Ahora, a guisa de experimento, puse el script en el crontab, y como el script no incrementa el serial, en mi cabeza al menos, el secundario no se iba a transferir la zona ya que el serial no cambia.
Debe haber logs de toda esta actividad: reinicio del servidor, recarga de la zona, envio de NOTIFY, recibo de NOTIFY en el esclavo, inicio de transferencia de zona, fin de transferencia de zona.
Ahora, la realidad me indica que el secundario obendientemente SI se transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a pesar de que el serial no cambia.
Esto es bastante extra~no, porque la ultima vez que mire el codigo, el esclavo hace mas o menos lo siguiente:
- Recibe NOTIFY
- Envia consulta SOA via UDP al maestro por la zona para la cual recibio
el NOTIFY
- Si hay respuesta, verifica que el serial recibido sea mayor al serial
local. Si es asi, inicia transferencia.
- Si no hay respuesta, reintenta tres veces. Si todo eso falla, intenta
consultando el serial via TCP(!). Por esto, si usan dos maestros y el primero de la lista esta inalcanzable, va a tomar muchos segundos en intentar el segundo. Les recomiendo que deshabiliten explicitamente tcp-try-refresh
Si tienes los logs, puedes compartirlos?
Saludos!
Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo que está pasando. Hugo, te estoy mirando fijamente :-)
Abrazo,
~Carlos _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
No, no mucha cosa... y en realidad ahora de-comisioné el setup con 9.7.3 y pasé todo a 9.9.3, con lo que tampoco tengo ahora para probar.
Misterios... :-)
~C.
On 9/5/13 12:10 PM, Mauricio Vergara Ereche wrote:
He tratado de reproducir el ambiente que Carlos menciona y todavía no he logrado replicar el comportamiento mencionado.
¿Alguna nueva idea ha salido de los logs?
El 2 de septiembre de 2013 16:30, Sebastian Castro <sebas@requin.cl mailto:sebas@requin.cl> escribió:
On 03/09/13 03:35, Carlos M. Martinez wrote: > Hola, > > tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se > corresponde con un hecho observado en la realidad. > > Tengo una zona (labs.lacnic.net <http://labs.lacnic.net>) la cual tiene dos NS > (mvuy.labs.lacnic.net <http://mvuy.labs.lacnic.net> y spbr.labs.lacnic.net <http://spbr.labs.lacnic.net>). La zona está firmada con > DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual > normalmente incremento el serial manualmente y vuelvo a correr el script > que firma. > > Ahora, a guisa de experimento, puse el script en el crontab, y como el > script no incrementa el serial, en mi cabeza al menos, el secundario no > se iba a transferir la zona ya que el serial no cambia. > Debe haber logs de toda esta actividad: reinicio del servidor, recarga de la zona, envio de NOTIFY, recibo de NOTIFY en el esclavo, inicio de transferencia de zona, fin de transferencia de zona. > Ahora, la realidad me indica que el secundario obendientemente SI se > transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a > pesar de que el serial no cambia. Esto es bastante extra~no, porque la ultima vez que mire el codigo, el esclavo hace mas o menos lo siguiente: - Recibe NOTIFY - Envia consulta SOA via UDP al maestro por la zona para la cual recibio el NOTIFY - Si hay respuesta, verifica que el serial recibido sea mayor al serial local. Si es asi, inicia transferencia. - Si no hay respuesta, reintenta tres veces. Si todo eso falla, intenta consultando el serial via TCP(!). Por esto, si usan dos maestros y el primero de la lista esta inalcanzable, va a tomar muchos segundos en intentar el segundo. Les recomiendo que deshabiliten explicitamente tcp-try-refresh Si tienes los logs, puedes compartirlos? Saludos! > > Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo > que está pasando. Hugo, te estoy mirando fijamente :-) > > Abrazo, > > ~Carlos > _______________________________________________ > dns-esp mailing list > dns-esp@listas.nic.cl <mailto:dns-esp@listas.nic.cl> > https://listas.nic.cl/mailman/listinfo/dns-esp > _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl <mailto:dns-esp@listas.nic.cl> https://listas.nic.cl/mailman/listinfo/dns-esp-- Mauricio Vergara Ereche +56 99 1241718 Viña del Mar/Santiago - CHILE http://mave.cero32.cl
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
-
Carlos M. Martinez -
Cristian Rojas R. -
Mauricio Vergara Ereche -
Mauricio Vergara Ereche -
Sebastian Castro