DNSで苦労した話 – オレオレアドベントカレンダー17日目

みんなDNSサーバくらい持ってるよね

なんだか、DNSでの調子が悪い。特にUbuntuということで調べてみると、NASで動かしていたUnboundでエラーが出ていた。

エラー

unboundのログに、こんなのがいっぱい出ている。

[1545023804] unbound[6966:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN

調べてみると、DNSSECのエラーっぽい。forward の設定を変えると治るらしいので、foward-addr の設定を以下のように修正して、unboundを再起動。

forward-zone:
        name: "."
        forward-addr:XXX.XXX.XXX.XXX
        forward-addr:XXX.XXX.XXX.XXX@853#unicast.censurfridns.dk

すると、エラーが止まり、dig でDNSSECを有効にして調べてみるとこうなる。エラーも出なくなった。

# dig . SOA +dnssec

; <<>> DiG 9.9.5-9+deb8u16-Debian <<>> . SOA +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60871
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 27

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;.                              IN      SOA

;; ANSWER SECTION:
.                       1021    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2018121700 1800 900 604800 86400

;; AUTHORITY SECTION:
.                       102     IN      NS      m.root-servers.net.
.                       102     IN      NS      g.root-servers.net.
.                       102     IN      NS      f.root-servers.net.
.                       102     IN      NS      i.root-servers.net.
.                       102     IN      NS      k.root-servers.net.
.                       102     IN      NS      h.root-servers.net.
.                       102     IN      NS      a.root-servers.net.
.                       102     IN      NS      l.root-servers.net.
.                       102     IN      NS      j.root-servers.net.
.                       102     IN      NS      c.root-servers.net.
.                       102     IN      NS      b.root-servers.net.
.                       102     IN      NS      d.root-servers.net.
.                       102     IN      NS      e.root-servers.net.

;; ADDITIONAL SECTION:
a.root-servers.net.     2869    IN      AAAA    2001:503:ba3e::2:30
b.root-servers.net.     2869    IN      AAAA    2001:500:200::b
c.root-servers.net.     2056    IN      AAAA    2001:500:2::c
d.root-servers.net.     1556    IN      AAAA    2001:500:2d::d
e.root-servers.net.     2221    IN      AAAA    2001:500:a8::e
f.root-servers.net.     1740    IN      AAAA    2001:500:2f::f
g.root-servers.net.     1738    IN      AAAA    2001:500:12::d0d
h.root-servers.net.     2880    IN      AAAA    2001:500:1::53
i.root-servers.net.     189     IN      AAAA    2001:7fe::53
j.root-servers.net.     3183    IN      AAAA    2001:503:c27::2:30
k.root-servers.net.     2883    IN      AAAA    2001:7fd::1
l.root-servers.net.     2221    IN      AAAA    2001:500:9f::42
m.root-servers.net.     1134    IN      AAAA    2001:dc3::35
a.root-servers.net.     64      IN      A       198.41.0.4
b.root-servers.net.     2912    IN      A       199.9.14.201
c.root-servers.net.     280     IN      A       192.33.4.12
d.root-servers.net.     101     IN      A       199.7.91.13
e.root-servers.net.     1743    IN      A       192.203.230.10
f.root-servers.net.     189     IN      A       192.5.5.241
g.root-servers.net.     280     IN      A       192.112.36.4
h.root-servers.net.     280     IN      A       198.97.190.53
i.root-servers.net.     280     IN      A       192.36.148.17
j.root-servers.net.     3105    IN      A       192.58.128.30
k.root-servers.net.     2333    IN      A       193.0.14.129
l.root-servers.net.     282     IN      A       199.7.83.42
m.root-servers.net.     355     IN      A       202.12.27.33

Ubuntuのresolverの不思議

それはそれとして、不思議なのがUbuntu18.04のresolver。
なぜか、/etc/resolv.conf がこんなふうになっている。

nameserver 127.0.0.53

なんで、これで名前解決できるんだ?と思い調べてみたら、ubuntuのresolverは、systemd-resolvedが解決しているらしい。そして、DNSの設定はsystemd-resolvedが/etc/systemd/resolved.confで設定できて、sudo systemd-resolve –status で設定が見れる。

$ sudo systemd-resolve --status
Global
         DNS Servers: XXX.XXX.XXX.XXX
          DNS Domain: test.local
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 7 (br-dec95fe1688f)
      Current Scopes: none
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no

Link 6 (br-be77ddbd6c30)
      Current Scopes: none
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no

Link 5 (br-610ef4cc00bb)
      Current Scopes: none
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no

Link 4 (docker0)
      Current Scopes: none
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no

Link 3 (wlp1s0)
      Current Scopes: none
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no

Link 2 (enp2s0)
      Current Scopes: DNS
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
         DNS Servers: XX.XX.XX.XX
                      XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
          DNS Domain: flets-east.jp
                      iptvf.jp

なるほど納得

Ubuntuはしばらく触ってなかったので、昔とは大分変わってるのが分かります。WSLとも違うしね。

Follow me!

Leave a Reply

Your email address will not be published. Required fields are marked *