Ubuntu MAAS DNS не перенаправляет запрос

Я пробую MAAS, но у меня возникают проблемы с получением узла для доступа в Интернет. Это моя установка:

3 физические машины, одна из которых имеет две сетевые карты, выступающие в качестве шлюза, кластерные контроллеры и региональные контроллеры. Шлюз / контроллер настроен так, чтобы один интерфейс получал IP из корпоративной сети, а другой управлял MAAS (как DHCP, так и DNS).

От шлюза у меня нет проблем с выходом, но узлы не могут. Я посмотрел на контроллер / шлюз, я вижу, что bind9 работает.

$ service bind9 status
 * bind9 is running

дела dig ubuntu.com дай мне результаты. Но если я сделаю dig @127.0.0.1 ubuntu.comЯ не получаю возврата. Я также просматриваю конфигурацию bind, и, кажется, все в порядке (пересылка настроена). Что мне не хватает?

Вот соответствующие конфиги связывания

$ cat /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

$ cat /etc/bind/named.conf.options
options { directory "/var/cache/bind";
dnssec-validation auto;
include "/etc/bind/maas/named.conf.options.inside.maas";
auth-nxdomain no;
listen-on-v6 { any; }; };

$ cat /etc/bind/maas/named.conf.options.inside.maas 
    forwarders {
        172.24.3.136;
    };

2 ответа

Решение

Похоже, проблема заключается в "небезопасном ответе". Нашел это решение от StackOverflow: https://stackoverflow.com/a/14923549/1692452

Это связано с новой функцией DNSSEC, которая теперь включена по умолчанию. Это может указывать на то, что используемые вами средства разрешения / пересылки DNS не поддерживают DNSSEC, поэтому ответ кажется небезопасным для вашего сервера.

Вы можете использовать средства распознавания, которые поддерживают DNSSEC, или временно отключить эту функцию на вашем сервере. Чтобы отключить его, просто используйте эти параметры в вашем named.conf:

dnssec-enable no; dnssec-validation no;

Помимо вопросов dnssec, о которых сообщается в ответе ОП (no valid RRSIG resolving ...), У меня также были проблемы с IPv6, которые проявлялись так:

maas1 named[1532]: network unreachable resolving './NS/IN': 2001:503:c27::2:30#53

Решение было начать bind9 только в режиме v4. Чтобы добиться этого, я использовал эту статью (я использую MAAS 2.1 на Xenial, который работает под управлением systemd):

  1. sudo systemctl cat bind9.service | grep ExecStart, Это обеспечивает текущую командную строку, используемую для запуска bind9 демон.
  2. sudo systemctl edit bind9.service, Появляется пустой редактор, который позволяет переопределить необходимые аспекты определения сервиса.
  3. Добавить -4 флаг к ExecStart cmdline отмечен ранее при сохранении файла. В моем случае это выглядит так:

    [Service]
    ExecStart=
    ExecStart=/usr/sbin/named -4 -f -u bind
    

    (NB: первый пробел ExecStart= предназначен - см. вышеупомянутую статью).

  4. Если вы хотите проверить, что ваше переопределение установлено, вы можете выполнить повторно: systemctl cat bind9.service
  5. systemctl restart bind9.service
  6. Выполните несколько запросов от узлов и проверьте, все ли в порядке с: systemctl status bind9.service - ранее это было переполнено ошибками, упомянутыми выше.
Другие вопросы по тегам