Готовится статья о DNS сервере Unbound

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mistic1282
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-03-21 14:03:45

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение mistic1282 » 2013-03-22 19:46:19

С доступом разобрался. Не сообразил соответствующую строку в фаервол добавить. А вот с unbount-control накак не удаеться разобраться. Выдает все то же сообщение.

Код: Выделить всё

net# unbound-control stats
error: Error setting up SSL_CTX client key and cert
675825608:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY
675825608:error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib:ssl_rsa.c:669:
В чем проблема может быть? Пробовал пересобирать сертификаты, не помогает.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mistic1282
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-03-21 14:03:45

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение mistic1282 » 2013-03-23 21:34:53

Никто не знает в чем проблема?

C2H5OH
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение C2H5OH » 2013-03-25 15:50:15

mistic1282 писал(а):Никто не знает в чем проблема?
вы выполняли генерацию ключей? в той же директории где расположен uynbound.conf (/usr/local/etc/unbound/) надо выполняить

Код: Выделить всё

unbound-control-setup 
chown unbound:wheel ./unbound_*
chmod 440 ./unbound_*

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2013-07-29 13:45:26

Каким параметром регулируется время кеширования?
Бывает дохнут авторитарки, гугловский кеш еще помнит, а мой анбоунд быстро забывает. Статью давно читал, разбираться и вспоминать не совсем хочется.
Помню, что делал давно трассировки с анбоунда и он как будто каждый запрос до авторитарного посылает. Может ошибаюсь.

терминус
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение терминус » 2013-07-29 14:48:29

helpdesk писал(а):Каким параметром регулируется время кеширования?
Бывает дохнут авторитарки, гугловский кеш еще помнит, а мой анбоунд быстро забывает. Статью давно читал, разбираться и вспоминать не совсем хочется.
Помню, что делал давно трассировки с анбоунда и он как будто каждый запрос до авторитарного посылает. Может ошибаюсь.

параметром

Код: Выделить всё

cache-max-ttl: 86400
при очень большом желании можно еще выставить cache-min-ttl, но тогда данные кеша могут долго оставаться неактуальными так как не будет проводится обновление пока не истечет ТТЛ.

man unbound.conf

Код: Выделить всё

       cache-max-ttl: <seconds>
              Time  to  live  maximum  for  RRsets  and messages in the cache.
              Default is 86400 seconds (1  day).  If  the  maximum  kicks  in,
              responses  to  clients  still get decrementing TTLs based on the
              original (larger) values.  When the internal  TTL  expires,  the
              cache  item has expired.  Can be set lower to force the resolver
              to query for data often, and not trust (very large) TTL values.

       cache-min-ttl: <seconds>
              Time to live minimum for  RRsets  and  messages  in  the  cache.
              Default  is  0.  If the the minimum kicks in, the data is cached
              for longer than the domain owner intended, and thus less queries
              are  made  to look up the data.  Zero makes sure the data in the
              cache is as the domain owner intended, higher values, especially
              more  than an hour or so, can lead to trouble as the data in the
              cache does not match up with the actual data any more.

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2013-07-30 7:16:27

cache-min-ttl - это перезапись параметра ttl с которым отдает авторитарный?

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение neurobomman » 2013-09-25 17:03:32

Здравствуйте!
Пытаюсь запускать unbound, установленный и настроенный по статье... Получаю

Код: Выделить всё

[1252766592] unbound[2325:0] error: bind: address already in use
[1252766592] unbound[2325:0] fatal error: could not open ports
На сервере нет ни bind ни nsd.
Freebsd 9.2 , unbound 1.4.20 из пакета. Подскажите, куда копать? Спасибо
атсыпте man'офф.только их курю

terminus_
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение terminus_ » 2013-09-26 15:57:09

что у вас указано в
interface: 0.0.0.0
port: 53

remote-control:
control-enable: yes
control-interface: 127.0.0.1
control-port: 953
не может быть так что кто-то слушает на 53;953 TCP/UDP ?
не может быть так что адрес указаный в interface: несоответствует?

Аватара пользователя
DevZone
рядовой
Сообщения: 41
Зарегистрирован: 2012-04-14 8:04:05

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение DevZone » 2013-11-09 0:30:06

Код: Выделить всё

# /etc/rc.d/devfs restart
devfs ruleset: ioctl DEVFSIO_SUSE: Inappropriate ioctl for device
/etc/rc.d/devfs: WARNING: devfs_set_ruleset: unable to set ruleset 20 to /usr/local/etc/unbound/dev
devfs rule: ioctl DEVFSIO_SAPPLY: Inappropriate ioctl for device
/etc/rc.d/devfs: WARNING: devfs_apply_ruleset: unable to apply ruleset 20 to /usr/local/etc/unbound/dev
Пойду тут попробую http://www.prado.it/2012/04/23/how-to-c ... eebsd-9-0/


Аватара пользователя
DevZone
рядовой
Сообщения: 41
Зарегистрирован: 2012-04-14 8:04:05

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение DevZone » 2013-11-09 1:31:07

Кому удалось подружить nsd+unbound без jail на одной машине?

nsd листает все интерфейсы ipv4/ipv6

Аватара пользователя
DevZone
рядовой
Сообщения: 41
Зарегистрирован: 2012-04-14 8:04:05

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение DevZone » 2013-11-18 13:21:37

На ZFS была проблема загрузки и монтирования /usr/local решилась добавлением в fstab параметра late

Код: Выделить всё

devfs   /usr/local/etc/unbound/dev      devfs      rw,late      0 0

karavan
рядовой
Сообщения: 16
Зарегистрирован: 2012-11-27 10:30:51
Контактная информация:

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение karavan » 2014-03-25 20:23:40

Спасибо за инструкции по настройке NSD и Unbound.
В небольшой сети (до 15 клиентов) на одной машине поднял связку NSD+Unbound.
Unbound висит на интерфейсе 'lan' , обслуживает рекурсивные запросы к '.' и форвардит запросы к 'localzone.lo.' и '0.168.192.in-addr.arpa.' демону NSD, который в свою очередь слушает 127.0.0.1 (тут я не понял тех, кто пытался вешать NSD на интерфейсе видимом для клиентов)
Для работы связки из конфигов, приведенных в упомянутых инструкциях, изменил 'do-not-query-localhost: no'
Но долго воевал с резолвом обратных записей, запросы от клиентов к '0.168.192.in-addr.arpa.' возвращались с ошибкой без падения в лог. Спасибо mrAli за это сообщение. Только я пользую forward-zone вместо stub-zone.

Кусок конфига Unbound отвечающий за резолв внутренней зоны:

Код: Выделить всё

local-zone: "0.168.192.in-addr.arpa." transparent

forward-zone:
       name: "0.168.192.in-addr.arpa."
       forward-addr: 127.0.0.1

forward-zone:
       name: "localzone.lo."
       forward-addr: 127.0.0.1

karavan
рядовой
Сообщения: 16
Зарегистрирован: 2012-11-27 10:30:51
Контактная информация:

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение karavan » 2014-03-25 20:31:49

Так и не смог понять почему строчка 'local-zone: "0.168.192.in-addr.arpa." transparent' нужна, а 'localzone.lo.' прекрасно работает без нее.

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение doker » 2014-07-07 16:42:49

здравствуйте !
помогите пжл с непоняткой
10.0-RELEASE FreeBSD unbound 1.4.20
устанавливаю по топику в /var/unbound , пишет unbound-checkconf[21097:0] error: Could not open /usr/local/etc/unbound/unbound.conf: No such file or directory
стартует но конфиг не подхватывает
переделываю на /usr/local/etc/unbound/ - ругается что нет в /var/unbound конфига...
запускаю руками с -c , всё ок
вариант конечно переписать стартовый скрипт.. но может есть решение каноническое ..
заранее благодарен

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2015-02-17 16:18:20

Периодически нападают вирусные абоненты, посылая дофига днс пакетов в секунду.
Есть ли средства какие-нить для unbound, чтоб фильтровать их? например добавлять в ipfw правило

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение kharkov_max » 2015-02-19 8:39:53

helpdesk писал(а):Периодически нападают вирусные абоненты, посылая дофига днс пакетов в секунду.
Есть ли средства какие-нить для unbound, чтоб фильтровать их? например добавлять в ipfw правило
limit включи в ipfw на правиле с днс.

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2015-02-20 7:56:53

этот вариант пробовал. А есть еще решения?

Аватара пользователя
Kashin
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-04-02 2:52:17
Контактная информация:

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Kashin » 2015-04-13 11:48:24

Интересно, а где нибудь эту статью можно будет скачать? Для более детального так сказать ознакомления и осмысления))

Аватара пользователя
DevZone
рядовой
Сообщения: 41
Зарегистрирован: 2012-04-14 8:04:05

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение DevZone » 2015-04-13 11:53:58

helpdesk писал(а):этот вариант пробовал. А есть еще решения?
https://github.com/ahupowerdns/pdns/blo ... dnsdist.md

Игорь
проходил мимо

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Игорь » 2015-09-20 12:39:26

doker писал(а):здравствуйте !
помогите пжл с непоняткой
10.0-RELEASE FreeBSD unbound 1.4.20
устанавливаю по топику в /var/unbound , пишет unbound-checkconf[21097:0] error: Could not open /usr/local/etc/unbound/unbound.conf: No such file or directory
стартует но конфиг не подхватывает
переделываю на /usr/local/etc/unbound/ - ругается что нет в /var/unbound конфига...
запускаю руками с -c , всё ок
вариант конечно переписать стартовый скрипт.. но может есть решение каноническое ..
заранее благодарен
На FreeBSD 10 Unbound есть в системе. Из портов его ставить не надо. /etc/rc.d/local_unbound
https://calomel.org/unbound_dns.html :pardon:

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2016-04-12 10:45:09

Воткнул шаблоны в какти, все импортировались как надо, без ошибок. Но в графике Queries by type упорно не рисуется тип запросов: А.
У кого нить была такая проблема? Не могу понять в чем проблема. В поллере в колонке output данные есть.

"num_q_t_A:60648 num_q_t_AAAA:6683 num_q_t_CNAME:2 num_q_t_MX:108 num_q_t_NS:54 num_q_t_PTR:9435 num_q_t_SOA:70 num_q_t_SRV:171 num_q_t_TXT:221 num_q_t_other:0

А в графике - nan.

терминус
проходил мимо

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение терминус » 2016-04-12 22:16:50

Я эти шаблоны 100 лет не обновлял :( Может быть кактус как-то криво заимпортировал их... Шутки ради проверьте через snmpwalk - есть выхлоп на oid-ах или нет?

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2016-04-13 8:26:11

Правильно все кактус заимпортил. Я вам вывод snmpwalk дал. Проблема в кавычке :)
В файлах статистике данные лежат без кавычек. А в SNMP отдаются с кавычками.
Решил очень тупо.

queues_by_type=\
"hui:"0\
" num_q_t_A:"$num_query_type_A\
" num_q_t_AAAA:"$num_query_type_AAAA\
" num_q_t_CNAME:"$num_query_type_CNAME\
" num_q_t_MX:"$num_query_type_MX\
" num_q_t_NS:"$num_query_type_NS\
" num_q_t_PTR:"$num_query_type_PTR\
" num_q_t_SOA:"$num_query_type_SOA\
" num_q_t_SRV:"$num_query_type_SRV\
" num_q_t_TXT:"$num_query_type_TXT\
" num_q_t_other:"$num_query_type_other\

quicktrick
рядовой
Сообщения: 19
Зарегистрирован: 2017-11-26 9:26:29

Готовится статья о DNS сервере Unbound

Непрочитанное сообщение quicktrick » 2018-01-31 18:09:19

Ребята, подскажите, пожалуйста, как правильно сделать. У меня сервер на openSUSE Tumbleweed в локальной сети за NATом. На нем почтовый сервер с Rspamd, которому для работы нужен Unbound. Всё вроде работает нормально (уже несколько месяцев), но есть одна... ну, как бы непонятность для меня (я, честно говоря, новичок в этих делах).

Если я в /etc/resolv.conf указываю:

Код: Выделить всё

nameserver 127.0.0.1
то сервер не резолвит локальные хосты (например, samba-серверы). Резолвятся они только если в /etc/resolv.conf прописано:

Код: Выделить всё

nameserver 192.168.1.1
nameserver 127.0.0.1
причем именно в такой последовательности.

Как в конфиге Unbound правильно прописать резолвер имен локальной сети, чтобы не указывать его в /etc/resolv.conf ?