abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Vývoj webového prohlížeče Ladybird (12/2025 a 01/2026)
    dnes 05:11 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za prosinec 2025 a leden 2026 (YouTube). Zajímavé, že i v roce 2026 celou řadu problémů vyřeší zfalšování řetězce User-Agent.

    Ladislav Hagara | Komentářů: 0
    Linux From Scratch (LFS) už pouze se systemd
    včera 20:11 | Komunita

    Bylo rozhodnuto, že Linux From Scratch (LFS) končí s podporou System V init. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů už budou pouze se systemd.

    Ladislav Hagara | Komentářů: 0
    ScummVM 2026.1.0 "Like a Version"
    včera 17:00 | Nová verze

    Byla vydána nová verze 2026.1.0 "Like a Version" svobodného softwaru ScummVM (Wikipedie) umožňujícího bezproblémový běh mnoha klasických adventur na zařízeních, pro které nebyly nikdy určeny. Přehled novinek v poznámkách k vydání a na GitHubu. Změněno bylo číslování verzí. Předchozí verze byla 2.9.1.

    Ladislav Hagara | Komentářů: 0
    Ve Firefoxu půjde snáz vypnout AI
    včera 14:55 | IT novinky

    Internetový prohlížeč Firefox bude mít nové ovládací prvky pro umělou inteligenci, které umožní uživatelům vypnout vestavěné AI funkce přímo v nastavení prohlížeče. Jednotlivě půjde vypnout nebo zapnout automatické překlady stránek, generovaní popisného textu k obrázkům v otevřených PDF dokumentech, samoorganizaci tabů do skupin, náhledy odkazů s krátkým shrnutím a boční panel s chatbotem. Tyto možnosti v nastavení prohlížeče

    … více »
    NUKE GAZA! 🎆 | Komentářů: 1
    KDE Plasma Login Manager vyžaduje systemd
    včera 14:44 | IT novinky

    Desktopové prostředí KDE Plasma 6.6, která je právě ve fázi beta, nahrazuje stávající SDDM novým Plasma Login Managerem, který je ale pevně navázán na systemd. Plasma Login Manager využívá systemd-logind a další součásti systemd, které nejsou dostupné v operačních systémech bez systemd, jako je například FreeBSD, případně jsou linuxové distribuce Gentoo, Void Linux anebo Alpine Linux. Pro uživatele zatím stále ještě existuje možnost používat SDDM.

    NUKE GAZA! 🎆 | Komentářů: 3
    Záznamy přednášek ze setkání CSNOG 2026 jsou dostupné online
    včera 14:33 | Komunita

    Na webu komunitního setkání CSNOG 2026 jsou dostupné prezentace v PDF, jejich videozáznamy a fotografie z lednové akce ve Zlíně. CSNOG 2026 se zúčastnilo téměř 300 zájemců o vystoupení věnovaných správě sítí, legislativním a regulačním tématům nebo projektům z akademické sféry. Letos byly prezentace rozdělené do dvou treků, ve kterých se představilo 35 přednášejících. Setkání komunity CSNOG organizují společně sdružení CESNET, CZ.NIC a NIX.CZ.

    VSladek | Komentářů: 0
    Muskova vesmírná firma SpaceX koupila jeho další firmu xAI
    včera 11:33 | IT novinky

    Americká vesmírná společnost SpaceX miliardáře Elona Muska koupila další Muskovu firmu xAI, která se zabývá vývojem umělé inteligence (AI). Informovala o tom na svém účtu na síti 𝕏. Musk tímto krokem propojí několik ze svých služeb, včetně chatbota s prvky umělé inteligence Grok, sociální sítě 𝕏 či satelitního internetového systému Starlink. Tržní hodnota společnosti SpaceX dosahuje jednoho bilionu dolarů (20,6 bilionu Kč), hodnota xAI pak činí 250 miliard dolarů.

    Ladislav Hagara | Komentářů: 3
    Hack Notepad++
    2.2. 23:22 | Bezpečnostní upozornění

    Byl odhalen supply chain attack na Notepad++: útočníci kompromitovali hosting Notepad++ a vybrané dotazy na aktualizace přesměrovávali na servery pod jejich kontrolou. Doporučuje se stáhnout instalátor a přeinstalovat.

    a1bert | Komentářů: 6
    Videokonferenční nástroj LaSuite Meet
    2.2. 13:22 | Zajímavý projekt

    Francouzská veřejná správa má v rámci vládní iniciativy LaSuite Numérique ('Digitální sada') v plánu od roku 2027 přestat používat Microsoft Teams a Zoom a přejít na videokonferenční platformu Visio, hostovanou na vlastním hardwaru. Konkrétně se jedná o instance iniciativou vyvíjeného open-source nástroje LaSuite Meet, jehož centrální komponentou je LiveKit. Visio nebude dostupné pro veřejnost, nicméně LaSuite Meet je k dispozici pod licencí MIT.

    NUKE GAZA! 🎆 | Komentářů: 5
    Další zdražení počítačů Raspberry Pi
    2.2. 12:11 | IT novinky

    Eben Upton oznámil další zdražení počítačů Raspberry Pi: 2GB verze o 10 dolarů, 4GB verze o 15 dolarů, 8GB verze o 30 dolarů a 16GB verze o 60 dolarů. Kvůli růstu cen pamětí. Po dvou měsících od předchozího zdražení.

    Ladislav Hagara | Komentářů: 18
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (18%)
     (6%)
     (0%)
     (10%)
     (25%)
     (3%)
     (5%)
     (2%)
     (12%)
     (30%)
    Celkem 746 hlasů
     Komentářů: 25, poslední včera 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Unbound problém s DNS servery ČEZu
    Štítky: distribuce

    Dotaz: Unbound problém s DNS servery ČEZu

    15.8.2025 18:28 xxl | skóre: 26
    Unbound problém s DNS servery ČEZu
    Přečteno: 1645×
    Narazil jsem na problém, že Unbound nedokáže zjistit potřebné údaje z DNS serverů ČEZu. Především MX.

    Dokáže to právě jednou - po startu stroje. Potom to má nějakou dobu v keši, ale poté, co uplyne TTL, už znovu údaje nezjistí. Restart unboudu nepomůže.

    Vypadá to, že je tam problém v komunikaci. Unbound posílá dotazy, ale ČEZ je ignoruje.

    Bind ani knot-resolver tyto problémy nemají, mají jinak formulované dotazy. Dig přímo na jejich nameservery funguje, pokládá dotazy také jinak, než unbound.

    Přišel jsem na to v unbound verzi 1.22, pak jsem nainstaloval 1.23-1 a skončil jsem u verze z gitu. A vyzkoušel jsem i verzi 1.17. Nefunguje ani jedna.

    Ale ono to dřív úplně bez problémů fungovalo. Normálně s nimi komunikujeme, proto se taky na to přišlo, když to fungovat přestalo.

    Dokáže někdo, kdo se v tom vyzná, říct, proč to nefunguje?

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    15.8.2025 18:51 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Ten rozdil v dotazech je jaky?
    15.8.2025 19:17 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    To nedokážu přesně popsat, protože to už je na mě už poněkud složité. Ale když se ptám 'dig cez.cz. mx +dnssec' a poslouchám tu komunikaci, která probíhá se servery ČEZu, tak unbound pošle dotaz po udp na mx a okamžitě vzápětí pošle také dotaz na dnssec. Hned se také ptá druhého nameserveru. Dostane po udp nějakou odpověď a pak se ptá po tcp, ale na ten dotaz už odpověď nepřijde. Opakuje dotazy, zkouší další nameservery, po ipv4 po ipv6, ale odpovědi nechodí.

    Když pustím knot-resolver a položím mu stejný dotaz, tak ta komunikace se servery ČEZu je trochu jiná. knot zvolí jeden se z nameserverů a vyřídí s ním veškerou komunikaci. A ten sled paketů je prostě jiný.

    Když položím dotaz digem přímo nameserveru ČEZu, tak se ta komunikace podobá té, co dělá knot.

    Ale znamená to, že se nejedná o žádnou ip blokaci nebo něco takového, ale spíš to, že ty jejich servery nemají rády agresivní způsob validace, kterou provádí unbound.
    15.8.2025 21:12 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Celou tu komunikaci bych odchytil tcpdumpem do pcap souboru a rozebral ve Wiresharku. Tam buede prehledne videt vsechno co se deje.
    15.8.2025 21:19 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No však to jsem udělal. Ale nezmoudřel jsem z toho. Prostě to nefunguje. Můžeš si to jednoduše vyzkoušet. Nahoď si unbound na 127.0.0.1, dej si to do do resolv.conf a pusť si 'watch dig cez.cz. mx'. A běž si udělat kafe. Po 5 nebo 10 minutách to přestane fungovat.

    16.8.2025 13:38 otrok
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Muzeme k tobe vyslat tym 50 lidi, aby to vyresili, abys nemusel hnout prstem? Dekujeme moc (muzou privezt i hodnotne dary)
    16.8.2025 13:41 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Aspoň sis to vyzkoušel? Nevyzkoušel. A evidentně tomu ani nerozumíš.

    Já to vyřešit umím. Ale chci vědět, proč to nefunguje.
    16.8.2025 14:43 otrok
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Vydrz, uz jsem to otestoval na prvnich trech linuxovych distribucich. Jedu dal jak fretka.
    16.8.2025 16:19 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Kecáš.

    Jinak bys už musel přijít na to, že například na Debianu Trixie to nefunguje.
    16.8.2025 16:39 otrok
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Fakt si myslis, ze si nekdo bude neco instalovat a odchytavat, aby uhodl tvoje prostredi, kdyz ty nejsi ochotny sem dat neco, co uz mas?
    16.8.2025 17:19 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Evidentně tady jenom frajeříš, protože kdybys někde unbound používal, tak by tě mohlo zajímat, jestli nemůžeš mít problém i ty a stačilo by ti ověřit na tvé instalaci, že TOBĚ to funguje. Ale tebe to patrně nezajímá.

    --

    Čistá instalace Debianu Trixie s veřejnými ipv4/6 adresami, bez firewallu, se spuštěným unboundem na 127.0.0.1. resolv.conf nastavený na 127.0.0.1. 'dig cez.cz. mx +dnssec; unbound-control reload; dig cez.cz. mx +dnssec'. A máš to, vytimeoutuje se to. Ale ani ten unbound nemusíš pouštět, stačí mít nainstalovaný unbound-host a ověřit si to tím - 'unbound-host -vddD -t mx cez.cz.'. Akorát to bude dýl trvat. Zato uvidíš, jak ty servery ČEZu neodpovídají. A upozorňuji, že poprvé po spuštění mašiny to funguje. Pak už ne.

    Čistá instalace Debianu Trixie s ipv4 adresou za dvěma NATy, atd. Chová se to úplně stejně.

    Kdybys chtěl vědět, co je tam za kernel, tak 6.12.41. A unbound je 1.22.

    Kromě toho jsem to zkoušel na různých jiných Debianech, s různými kombinacemi kernelu a unboundu. Taky jsem zkoušel unbound 1.17, 1.23, z posledního gitu...

    Nikde to nefunguje. Nicméně to dřív na těch různých kombinacích debianu fungovalo, protože kdyby to nefungovalo, tak by se na to přišlo běžným používáním, jako se na to přišlo teďka.

    Akorát jsem zjistil, že na Debianu Bullseye, nějaká zkušební zapomenutá instalace, kernel 6.0.12 a unbound 1.13, to funguje.
    16.8.2025 18:09 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    ... stačí mít nainstalovaný unbound-host a ověřit si to tím ... Zato uvidíš, jak ty servery ČEZu neodpovídají ...

    Nechcem sa ti zbytočne pliesť do života, ale ty si naozaj myslíš že namotáš niekoho aby si sám u seba nasimuloval prostredie ktoré je podobné tvojmu, a získal tak aspoň približné logy ktoré ty nechceš poskytnúť na riešenie tvojho problému?
    16.8.2025 18:18 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Příloha:
    Tady máš to, co vrací unbound-host.
    18.8.2025 22:06 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Nemam to ted jak otestovat. Jaky je rozdil, kdyz to porovnas na urovni paketu s funkcni situaci?
    MMMMMMMMM avatar 16.8.2025 19:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Mám starší server s unbound-1.6.6-5.el7_8.x86_64, překlad MX u ČEZu funguje bez problému. 
    ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.16 <<>> cez.cz. mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49506
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;cez.cz.                                IN      MX

;; ANSWER SECTION:
cez.cz.                 125     IN      MX      10 smtp12.cez.cz.
cez.cz.                 125     IN      MX      10 smtp22.cez.cz.
cez.cz.                 125     IN      MX      10 smtp21.cez.cz.
cez.cz.                 125     IN      MX      10 smtp11.cez.cz.

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: So srp 16 19:27:59 CEST 2025
;; MSG SIZE  rcvd: 127
    Linux Dokumentační Projekt - PDF ke stažení
    16.8.2025 23:07 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Díky. Tuhle verzi nainstalovat nemůžu.

    Ale mám ověřeno, že čistá instalace Debianu Bullseye funguje, zatímco čistá instalace Bookworm a Trixie blbne. Unbound v těch Debianech je 1.13.1, 1.17.1 a 1.22.0. Chodí tedy jenom ta 1.13.1.

    Ona ale chodila i ta verze 1.22. Ještě 18.7.2025 to fungovalo. A první problém jsem zaznamenal až 22.7.2025. Mezitím nevím.

    Podle mě se něco změnilo na serverech ČEZu a kupodivu to rozbilo ty novější verze unboundu.
    16.8.2025 23:06 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Kdyz se podivam na ty logy vidim:
    validation failure cez.cz. MX IN: No DNSKEY record [all servers for this domain failed, at zone cez.cz. from 2a01:a040:2004:8100::1 upstream server timeout] for key cez.cz. while building chain of trust
    Host cez.cz. not found: 2(SERVFAIL). (error)
    Hadam, nejaka blokace. Taky to muze byt uplne mimo ten server.. Dokzes to overit?
    16.8.2025 23:16 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Když se ptá unbound (nebo unbound-host), tak nepřicházejí odpovědi na tcp dotazy. Ale když se vzápětí zeptám digem přímo serveru ČEZu, tak tu odpověď dostanu. A komunikace jde také (i) po tcp. Takže v těch dotazech je prostě nějaký rozdíl, kvůli kterému ty servery neodpovídají.
    16.8.2025 23:36 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Teď jsem v Debianu Trixie/Unstable downgradnul unbound na verzi 1.13 z Bullseye. A okamžitě to začalo fungovat.
    18.8.2025 21:17 Xerces
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Mám sid, ale moc to nerestartuju, takže mi asi běžela starší verze unbound, kterou mám nakonfigurovanou jako rekurzivní cache. Normálně mi to www.cez.cz načetlo. Když jsem udělal restart, tak nic, vše ostatní ok. Takže té novější (1.22) verzi asi nechutná nějaké nastavení cez.cz. Ale skoro bych řekl, že by bylo lepší, kdyby se koukli na nastavení DNS na cez.cz, než zkoumat který patch to v unbound zaříznul.
    17.8.2025 13:19 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No tohle vypadá na chyby v DNSSEC. A starý unbound ověřování DNSSEC nedělá.
    17.8.2025 13:56 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    I ta verze 1.13 dělá ověření DNSSEC. Aspoň to tvrdí. 
    root@debian-bullseye:~# unbound-host -vDt mx cez.cz.
cez.cz. mail is handled by 10 smtp21.cez.cz. (secure)
cez.cz. mail is handled by 10 smtp12.cez.cz. (secure)
cez.cz. mail is handled by 10 smtp22.cez.cz. (secure)
cez.cz. mail is handled by 10 smtp11.cez.cz. (secure)
root@debian-bullseye:~# unbound-host -vDt mx nic.cz.
nic.cz. mail is handled by 10 mail.nic.cz. (secure)
nic.cz. mail is handled by 20 mx.nic.cz. (secure)
    17.8.2025 13:22 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    SOA záznam má adresu na správce DNS tak zdokumentovat a poslat.
    17.8.2025 13:27 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Ale nefunguje. 
    netmaster@cez.cz: host smtp21.cez.cz[89.111.73.164] said: 550 #5.1.0 Address
    rejected. (in reply to RCPT TO command)
    18.8.2025 22:58 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    OK tak cez na to asi dost prdí. Tak se rozmysli co vlastně chceš. Když chceš ohnout unbound tak základní radu jsi už dostal. Odchytit tcpdumpem pro starou funkční i novou nefunkční verzi. Vyfiltrovat na DNS packety a porovnat, jak se ptá stará verze a co dostane, a jak se ptá nová a co dostane. popřípadě to postnout sem. Pokud se chceš bavit s IT čezu o DNS a proč to tak je: Na whois je nějaký kontakt s emailem. Zkus ten.
    19.8.2025 09:11 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Ten kontakt z whois a postmastra jsem zkusil taky. Neobtěžovali se ani odpovědět. Signály o tom, že to mají nějak blbě, dostali.
    19.8.2025 09:26 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Porovnat to, jak se ptá stará a nová verze nebo jak odpovídá dns server, to je věc pro vývojáře. Protože tam je taková spousta možností, kde se to může lišit a přesto to být správně, že jako uživatel nemám vůbec šanci přijít na to, co je blbě.

    Já vidím, že jedna verze unboundu dostává od serverů ČEZu odpovědi a druhá je nedostává, protože si nějak nerozumějí. Nejspíš jedna strana nedodržuje nějaké standardy, přičemž bych se vsadil, že to je ČEZ. A dál vidím, bind a knot-resolver s tím nemají problém.

    Jo a vývojáři jsem taky napsal.
    19.8.2025 11:39 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No pokud nejsi ochoten se podívat fakticky na to, jak se ty verze ptají, tak asi není o čem se bavit. Měl jsi to hned na první reakci. Pak má smysl řešit proč a jak to změnit.
    19.8.2025 11:51 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No pokud nejsi ochoten se podívat fakticky na to, jak se ty verze ptají, tak asi není o čem se bavit.
    Promiň, ale já se fakt nevyznám ve všem.

    A jenom se zeptám, používáš unbound? A víš přesně jak má nebo může vypadat komunikace s DNS serverem? Já to nevím, ale vidím, že to nefunguje. Buď za to může unbound nebo za to může ČEZ. A to je to, co v tuto chvíli nevím.
    19.8.2025 12:13 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu

    A víš přesně jak má nebo může vypadat komunikace s DNS serverem?
    No vím, ale i když bych nevěděl, jsem schopen najít. Za 3 minuty dotazů do googlu jsem našel zde. Navíc dostal jsi doporučení na wireshark. Ten ti paket zanalyzuje a popíše jaký dotaz nebo odpověď, co tam přímo obě strany pošlou. Ty jen chceš, aby ti tu analýzu, co je špatně někdo udělal. Používám ho často když na siti něco nefunguje. Bez analýzy paketů to prostě nejde. když si nerozumí, někdo musí se zahloubit do dialog, A odešle, B odpoví, A zareaguje. Načíst kdo se odchylí od protokolu. Alespoň sem ty záchyty poslat at ti to někdo vysvětli.
    19.8.2025 12:34 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    OK. Jsi lepší.

    Fakt se nehodlám učit RFC vztahující se ke komunikaci DNS serverů.

    Já za ten problém nemůžu. Podle mě za něj může ČEZ, protože, jak už jsem psal, s verzí unboudu 1.22 to nejprve fungovalo a poté to fungovat přestalo.
    19.8.2025 14:49 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Skoda,ze jsi to vzdal.
    21.8.2025 19:46 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    http://www.dnsflagday.net/2020/

    https://ednscomp.isc.org/ednscomp/b47c041886
    21.8.2025 22:36 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Zeptam se blbe, ale proc to cele vlastne resis? K cemu diagnostikujeme DNS nejake "cizi" soukrome firmy?
    21.8.2025 22:57 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Protože nám pro tu cizí soukromou firmu zůstávaly viset maily na poštovním serveru a korespondenti si stěžovali, že jim to nechodí.

    Také jsem následně zjistil, že se nedostanu do svého účtu na jejich webu, protože doma také resolvuji unboundem. Jsem totiž jejich zákazníkem, jako milióny dalších.
    22.8.2025 14:13 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    A keď to zinvestiguješ, a vydokladuješ kde majú chybu, tak im ten výsledok ako doručíš?

    Spomínal si že email nečítajú. Plánuješ im zaslať kolkovanú žiadosť?
    19.8.2025 12:24 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Od oka staci: 
    tcpdump -i tvuj_inteface -n -p -s0 -w cez_bad.pcap port 53
    Ukladani prerusis a pustis znova pro cez_ok.pcap.

    Vylezou dva soubry, ktere otevres ve Wiresharku a muzes snadno a detailne videt co se presne stalo.

    Kdys sem soubory posles tak ti nekdo poradi.
    Heron avatar 19.8.2025 19:10 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Neprdí.
    Heron
    18.8.2025 15:42 marek
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu

    Dobry den

    https://dnsviz.net/d/cez.cz/dnssec/ hlasi tolik chyb a varovani, ze bych se na jakoukoli cache, ktera to odmitne odpovedet, nehneval:

    cez.cz/AAAA has errors; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CDS has errors; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CNAME has errors; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CDNSKEY has errors; select the "Denial of existence" DNSSEC option to see them.
2amnh.1bxz3.cez.cz/A has errors; select the "Denial of existence" DNSSEC option to see them.
Warnings (63)
RRSIG cez.cz/A alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
cez.cz/CDS has warnings; select the "Denial of existence" DNSSEC option to see them.
2amnh.1bxz3.cez.cz/A has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/AAAA has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CNAME has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/DNSKEY has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CDNSKEY has warnings; select the "Denial of existence" DNSSEC option to see them.

    marek

    Heron avatar 18.8.2025 16:08 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Tohle nejsou žádné chyby ale warningy a vše se točí kolem velikosti šifrování, což ČEZ nijak ovlivnit nemůže, protože má své klíče u nadřízené organizace.
    Heron
    18.8.2025 17:08 marek
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu

    Ano, vsechny "chyby" a warningy souvisi s algoritmem 10, nemelo by to byt smrtelne(ale velikost odpovedi, obzvlaste kdyz jsou tam zrovna dva klice, muze hrat roli).

    Nemyslim, ze je pravdepodobne, ze by ksk daval do cznic nekdo jiny, nez cez.

    marek
    Řešení 2× (Heron, xxl (tazatel))
    22.8.2025 23:54 tv | skóre: 3
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Melo by na stroji s Unboundem stacit vypnout tcp fastopen: sysctl -w net.ipv4.tcp_fastopen=0

    23.8.2025 07:39 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Super!! Opravdu to funguje.

    Díky.

    Akorát že default hodnota je 1 a jsem si jist, že to s ní dřív chodilo. Takže to na dns serverech ČEZu museli změnit na 0.
    23.8.2025 09:55 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Smutne.
    RFC 9210 4.1:
    TCP Fast Open (TFO) [RFC7413] allows TCP clients to shorten the handshake for subsequent connections to the same server. TFO saves one round-trip time in the connection setup. DNS servers SHOULD enable TFO when possible.
    26.8.2025 13:36 Petr
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Měl jsem stejný problém, nakonec jsem to vyřešil přidáním volby do konfigurace unbound

    edns-buffer-size: 4096

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.