abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    EK udělila Googlu pokutu 2,95 miliardy eur za porušení antimonopolní legislativy
    včera 23:44 | IT novinky

    Evropská komise potrestala Google ze skupiny Alphabet pokutou 2,95 miliardy eur (71,9 miliardy Kč) za porušení antimonopolní legislativy. Podle EK, která mimo jiné plní funkci antimonopolního orgánu EU, se Google dopustil protisoutěžních praktik ve svém reklamním byznysu. Google v reakci uvedl, že rozhodnutí považuje za chybné a hodlá se proti němu odvolat. EK ve věci rozhodovala na základě stížnosti Evropské rady vydavatelů. Podle

    … více »
    Ladislav Hagara | Komentářů: 3
    Podpora 32bitového Firefoxu pro Linux skončí v roce 2026
    včera 23:11 | Komunita

    Podpora 32bitového Firefoxu pro Linux skončí v roce 2026. Poslední podporované 32bitové verze budou Firefox 144 a Firefox 140 s rozšířenou podporou, jehož podpora skončí v září 2026.

    Ladislav Hagara | Komentářů: 1
    1TB Raspberry Pi SSD za 70 dolarů
    včera 19:33 | IT novinky

    Společnost Raspberry Pi nově nabízí Raspberry Pi SSD s kapacitou 1 TB za 70 dolarů.

    Ladislav Hagara | Komentářů: 3
    Microsoft BASIC pro mikroprocesor 6502 na GitHubu
    včera 15:55 | Zajímavý software

    Microsoft BASIC pro mikroprocesor 6502 byl uvolněn jako open source. Zdrojový kód je k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 5
    NÚKIB se připojil k mezinárodnímu dokumentu „A Shared Vision of Software Bill of Materials for Cybersecurity“
    včera 15:33 | IT novinky

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil k dokumentu „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“, který vydala americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) s Národní bezpečnostní agenturou (NSA), spolu s dalšími mezinárodními partnery. Dokument vznikl v rámci globálního expertního fóra pro SBOM, které má za cíl motivovat k širšímu využívání … více »

    Ladislav Hagara | Komentářů: 3
    Otevřený AI model Apertus
    4.9. 21:22 | IT novinky

    Švýcarská AI centra EPFL, ETH Zurich a CSCS představila otevřený vícejazyčný velký jazykový model (LLM) s názvem Apertus. Vyzkoušet lze na stránce Public AI Inference Utility.

    Ladislav Hagara | Komentářů: 22
    Linux Mint 22.2 Zara
    4.9. 17:22 | Nová verze

    Byl vydán Linux Mint 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.

    Ladislav Hagara | Komentářů: 1
    Licence AI modelu HunyuanWorld-Voyager nedovoluje jeho používání na území EU
    4.9. 12:55 | IT novinky

    Čínská společnost Tencent uvolnila svůj AI model HunyuanWorld-Voyager pro generování videí 3D světů z jednoho obrázku a určené trajektorie kamery. Licence ale nedovoluje jeho používání na území Evropské unie, Spojeného království a Jižní Koreje.

    Ladislav Hagara | Komentářů: 1
    Blender Studio se spojilo s kapelou OK Go a výsledkem je videoklip k písni Impulse Purchase
    4.9. 12:11 | Komunita

    Blender Studio se spojilo s kapelou OK Go a výsledkem je videoklip k písni Impulse Purchase. Stejně jako samotný 3D software Blender je i ve videoklipu použitý animovaný chlápek open source. Kdokoli si jej může stáhnout a upravovat.

    Ladislav Hagara | Komentářů: 0
    Finanční zpráva Zig Software Foundation za rok 2024
    4.9. 01:33 | Komunita

    Zig Software Foundation stojící za programovacím jazykem Zig publikovala finanční zprávu za rok 2024. Současně s prosbou o finanční příspěvek.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (82%)
     (7%)
     (2%)
     (3%)
     (3%)
     (2%)
    Celkem 147 hlasů
     Komentářů: 11, poslední 4.9. 16:12
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Unbound problém s DNS servery ČEZu
    Štítky: bez, BIND, DNS, Internet, nameservery, problém, restart, tom

    Dotaz: Unbound problém s DNS servery ČEZu

    15.8. 18:28 xxl | skóre: 26
    Unbound problém s DNS servery ČEZu
    Přečteno: 1177×
    Narazil jsem na problém, že Unbound nedokáže zjistit potřebné údaje z DNS serverů ČEZu. Především MX.

    Dokáže to právě jednou - po startu stroje. Potom to má nějakou dobu v keši, ale poté, co uplyne TTL, už znovu údaje nezjistí. Restart unboudu nepomůže.

    Vypadá to, že je tam problém v komunikaci. Unbound posílá dotazy, ale ČEZ je ignoruje.

    Bind ani knot-resolver tyto problémy nemají, mají jinak formulované dotazy. Dig přímo na jejich nameservery funguje, pokládá dotazy také jinak, než unbound.

    Přišel jsem na to v unbound verzi 1.22, pak jsem nainstaloval 1.23-1 a skončil jsem u verze z gitu. A vyzkoušel jsem i verzi 1.17. Nefunguje ani jedna.

    Ale ono to dřív úplně bez problémů fungovalo. Normálně s nimi komunikujeme, proto se taky na to přišlo, když to fungovat přestalo.

    Dokáže někdo, kdo se v tom vyzná, říct, proč to nefunguje?

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    15.8. 18:51 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Ten rozdil v dotazech je jaky?
    15.8. 19:17 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    To nedokážu přesně popsat, protože to už je na mě už poněkud složité. Ale když se ptám 'dig cez.cz. mx +dnssec' a poslouchám tu komunikaci, která probíhá se servery ČEZu, tak unbound pošle dotaz po udp na mx a okamžitě vzápětí pošle také dotaz na dnssec. Hned se také ptá druhého nameserveru. Dostane po udp nějakou odpověď a pak se ptá po tcp, ale na ten dotaz už odpověď nepřijde. Opakuje dotazy, zkouší další nameservery, po ipv4 po ipv6, ale odpovědi nechodí.

    Když pustím knot-resolver a položím mu stejný dotaz, tak ta komunikace se servery ČEZu je trochu jiná. knot zvolí jeden se z nameserverů a vyřídí s ním veškerou komunikaci. A ten sled paketů je prostě jiný.

    Když položím dotaz digem přímo nameserveru ČEZu, tak se ta komunikace podobá té, co dělá knot.

    Ale znamená to, že se nejedná o žádnou ip blokaci nebo něco takového, ale spíš to, že ty jejich servery nemají rády agresivní způsob validace, kterou provádí unbound.
    15.8. 21:12 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Celou tu komunikaci bych odchytil tcpdumpem do pcap souboru a rozebral ve Wiresharku. Tam buede prehledne videt vsechno co se deje.
    15.8. 21:19 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No však to jsem udělal. Ale nezmoudřel jsem z toho. Prostě to nefunguje. Můžeš si to jednoduše vyzkoušet. Nahoď si unbound na 127.0.0.1, dej si to do do resolv.conf a pusť si 'watch dig cez.cz. mx'. A běž si udělat kafe. Po 5 nebo 10 minutách to přestane fungovat.

    16.8. 13:38 otrok
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Muzeme k tobe vyslat tym 50 lidi, aby to vyresili, abys nemusel hnout prstem? Dekujeme moc (muzou privezt i hodnotne dary)
    16.8. 13:41 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Aspoň sis to vyzkoušel? Nevyzkoušel. A evidentně tomu ani nerozumíš.

    Já to vyřešit umím. Ale chci vědět, proč to nefunguje.
    16.8. 14:43 otrok
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Vydrz, uz jsem to otestoval na prvnich trech linuxovych distribucich. Jedu dal jak fretka.
    16.8. 16:19 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Kecáš.

    Jinak bys už musel přijít na to, že například na Debianu Trixie to nefunguje.
    16.8. 16:39 otrok
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Fakt si myslis, ze si nekdo bude neco instalovat a odchytavat, aby uhodl tvoje prostredi, kdyz ty nejsi ochotny sem dat neco, co uz mas?
    16.8. 17:19 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Evidentně tady jenom frajeříš, protože kdybys někde unbound používal, tak by tě mohlo zajímat, jestli nemůžeš mít problém i ty a stačilo by ti ověřit na tvé instalaci, že TOBĚ to funguje. Ale tebe to patrně nezajímá.

    --

    Čistá instalace Debianu Trixie s veřejnými ipv4/6 adresami, bez firewallu, se spuštěným unboundem na 127.0.0.1. resolv.conf nastavený na 127.0.0.1. 'dig cez.cz. mx +dnssec; unbound-control reload; dig cez.cz. mx +dnssec'. A máš to, vytimeoutuje se to. Ale ani ten unbound nemusíš pouštět, stačí mít nainstalovaný unbound-host a ověřit si to tím - 'unbound-host -vddD -t mx cez.cz.'. Akorát to bude dýl trvat. Zato uvidíš, jak ty servery ČEZu neodpovídají. A upozorňuji, že poprvé po spuštění mašiny to funguje. Pak už ne.

    Čistá instalace Debianu Trixie s ipv4 adresou za dvěma NATy, atd. Chová se to úplně stejně.

    Kdybys chtěl vědět, co je tam za kernel, tak 6.12.41. A unbound je 1.22.

    Kromě toho jsem to zkoušel na různých jiných Debianech, s různými kombinacemi kernelu a unboundu. Taky jsem zkoušel unbound 1.17, 1.23, z posledního gitu...

    Nikde to nefunguje. Nicméně to dřív na těch různých kombinacích debianu fungovalo, protože kdyby to nefungovalo, tak by se na to přišlo běžným používáním, jako se na to přišlo teďka.

    Akorát jsem zjistil, že na Debianu Bullseye, nějaká zkušební zapomenutá instalace, kernel 6.0.12 a unbound 1.13, to funguje.
    16.8. 18:09 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    ... stačí mít nainstalovaný unbound-host a ověřit si to tím ... Zato uvidíš, jak ty servery ČEZu neodpovídají ...

    Nechcem sa ti zbytočne pliesť do života, ale ty si naozaj myslíš že namotáš niekoho aby si sám u seba nasimuloval prostredie ktoré je podobné tvojmu, a získal tak aspoň približné logy ktoré ty nechceš poskytnúť na riešenie tvojho problému?
    16.8. 18:18 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Příloha:
    Tady máš to, co vrací unbound-host.
    18.8. 22:06 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Nemam to ted jak otestovat. Jaky je rozdil, kdyz to porovnas na urovni paketu s funkcni situaci?
    MMMMMMMMM avatar 16.8. 19:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Mám starší server s unbound-1.6.6-5.el7_8.x86_64, překlad MX u ČEZu funguje bez problému. 
    ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.16 <<>> cez.cz. mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49506
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;cez.cz.                                IN      MX

;; ANSWER SECTION:
cez.cz.                 125     IN      MX      10 smtp12.cez.cz.
cez.cz.                 125     IN      MX      10 smtp22.cez.cz.
cez.cz.                 125     IN      MX      10 smtp21.cez.cz.
cez.cz.                 125     IN      MX      10 smtp11.cez.cz.

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: So srp 16 19:27:59 CEST 2025
;; MSG SIZE  rcvd: 127
    Linux Dokumentační Projekt - PDF ke stažení
    16.8. 23:07 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Díky. Tuhle verzi nainstalovat nemůžu.

    Ale mám ověřeno, že čistá instalace Debianu Bullseye funguje, zatímco čistá instalace Bookworm a Trixie blbne. Unbound v těch Debianech je 1.13.1, 1.17.1 a 1.22.0. Chodí tedy jenom ta 1.13.1.

    Ona ale chodila i ta verze 1.22. Ještě 18.7.2025 to fungovalo. A první problém jsem zaznamenal až 22.7.2025. Mezitím nevím.

    Podle mě se něco změnilo na serverech ČEZu a kupodivu to rozbilo ty novější verze unboundu.
    16.8. 23:06 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Kdyz se podivam na ty logy vidim:
    validation failure cez.cz. MX IN: No DNSKEY record [all servers for this domain failed, at zone cez.cz. from 2a01:a040:2004:8100::1 upstream server timeout] for key cez.cz. while building chain of trust
    Host cez.cz. not found: 2(SERVFAIL). (error)
    Hadam, nejaka blokace. Taky to muze byt uplne mimo ten server.. Dokzes to overit?
    16.8. 23:16 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Když se ptá unbound (nebo unbound-host), tak nepřicházejí odpovědi na tcp dotazy. Ale když se vzápětí zeptám digem přímo serveru ČEZu, tak tu odpověď dostanu. A komunikace jde také (i) po tcp. Takže v těch dotazech je prostě nějaký rozdíl, kvůli kterému ty servery neodpovídají.
    16.8. 23:36 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Teď jsem v Debianu Trixie/Unstable downgradnul unbound na verzi 1.13 z Bullseye. A okamžitě to začalo fungovat.
    18.8. 21:17 Xerces
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Mám sid, ale moc to nerestartuju, takže mi asi běžela starší verze unbound, kterou mám nakonfigurovanou jako rekurzivní cache. Normálně mi to www.cez.cz načetlo. Když jsem udělal restart, tak nic, vše ostatní ok. Takže té novější (1.22) verzi asi nechutná nějaké nastavení cez.cz. Ale skoro bych řekl, že by bylo lepší, kdyby se koukli na nastavení DNS na cez.cz, než zkoumat který patch to v unbound zaříznul.
    17.8. 13:19 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No tohle vypadá na chyby v DNSSEC. A starý unbound ověřování DNSSEC nedělá.
    17.8. 13:56 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    I ta verze 1.13 dělá ověření DNSSEC. Aspoň to tvrdí. 
    root@debian-bullseye:~# unbound-host -vDt mx cez.cz.
cez.cz. mail is handled by 10 smtp21.cez.cz. (secure)
cez.cz. mail is handled by 10 smtp12.cez.cz. (secure)
cez.cz. mail is handled by 10 smtp22.cez.cz. (secure)
cez.cz. mail is handled by 10 smtp11.cez.cz. (secure)
root@debian-bullseye:~# unbound-host -vDt mx nic.cz.
nic.cz. mail is handled by 10 mail.nic.cz. (secure)
nic.cz. mail is handled by 20 mx.nic.cz. (secure)
    17.8. 13:22 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    SOA záznam má adresu na správce DNS tak zdokumentovat a poslat.
    17.8. 13:27 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Ale nefunguje. 
    netmaster@cez.cz: host smtp21.cez.cz[89.111.73.164] said: 550 #5.1.0 Address
    rejected. (in reply to RCPT TO command)
    18.8. 22:58 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    OK tak cez na to asi dost prdí. Tak se rozmysli co vlastně chceš. Když chceš ohnout unbound tak základní radu jsi už dostal. Odchytit tcpdumpem pro starou funkční i novou nefunkční verzi. Vyfiltrovat na DNS packety a porovnat, jak se ptá stará verze a co dostane, a jak se ptá nová a co dostane. popřípadě to postnout sem. Pokud se chceš bavit s IT čezu o DNS a proč to tak je: Na whois je nějaký kontakt s emailem. Zkus ten.
    19.8. 09:11 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Ten kontakt z whois a postmastra jsem zkusil taky. Neobtěžovali se ani odpovědět. Signály o tom, že to mají nějak blbě, dostali.
    19.8. 09:26 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Porovnat to, jak se ptá stará a nová verze nebo jak odpovídá dns server, to je věc pro vývojáře. Protože tam je taková spousta možností, kde se to může lišit a přesto to být správně, že jako uživatel nemám vůbec šanci přijít na to, co je blbě.

    Já vidím, že jedna verze unboundu dostává od serverů ČEZu odpovědi a druhá je nedostává, protože si nějak nerozumějí. Nejspíš jedna strana nedodržuje nějaké standardy, přičemž bych se vsadil, že to je ČEZ. A dál vidím, bind a knot-resolver s tím nemají problém.

    Jo a vývojáři jsem taky napsal.
    19.8. 11:39 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No pokud nejsi ochoten se podívat fakticky na to, jak se ty verze ptají, tak asi není o čem se bavit. Měl jsi to hned na první reakci. Pak má smysl řešit proč a jak to změnit.
    19.8. 11:51 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    No pokud nejsi ochoten se podívat fakticky na to, jak se ty verze ptají, tak asi není o čem se bavit.
    Promiň, ale já se fakt nevyznám ve všem.

    A jenom se zeptám, používáš unbound? A víš přesně jak má nebo může vypadat komunikace s DNS serverem? Já to nevím, ale vidím, že to nefunguje. Buď za to může unbound nebo za to může ČEZ. A to je to, co v tuto chvíli nevím.
    19.8. 12:13 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu

    A víš přesně jak má nebo může vypadat komunikace s DNS serverem?
    No vím, ale i když bych nevěděl, jsem schopen najít. Za 3 minuty dotazů do googlu jsem našel zde. Navíc dostal jsi doporučení na wireshark. Ten ti paket zanalyzuje a popíše jaký dotaz nebo odpověď, co tam přímo obě strany pošlou. Ty jen chceš, aby ti tu analýzu, co je špatně někdo udělal. Používám ho často když na siti něco nefunguje. Bez analýzy paketů to prostě nejde. když si nerozumí, někdo musí se zahloubit do dialog, A odešle, B odpoví, A zareaguje. Načíst kdo se odchylí od protokolu. Alespoň sem ty záchyty poslat at ti to někdo vysvětli.
    19.8. 12:34 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    OK. Jsi lepší.

    Fakt se nehodlám učit RFC vztahující se ke komunikaci DNS serverů.

    Já za ten problém nemůžu. Podle mě za něj může ČEZ, protože, jak už jsem psal, s verzí unboudu 1.22 to nejprve fungovalo a poté to fungovat přestalo.
    19.8. 14:49 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Skoda,ze jsi to vzdal.
    21.8. 19:46 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    http://www.dnsflagday.net/2020/

    https://ednscomp.isc.org/ednscomp/b47c041886
    21.8. 22:36 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Zeptam se blbe, ale proc to cele vlastne resis? K cemu diagnostikujeme DNS nejake "cizi" soukrome firmy?
    21.8. 22:57 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Protože nám pro tu cizí soukromou firmu zůstávaly viset maily na poštovním serveru a korespondenti si stěžovali, že jim to nechodí.

    Také jsem následně zjistil, že se nedostanu do svého účtu na jejich webu, protože doma také resolvuji unboundem. Jsem totiž jejich zákazníkem, jako milióny dalších.
    22.8. 14:13 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    A keď to zinvestiguješ, a vydokladuješ kde majú chybu, tak im ten výsledok ako doručíš?

    Spomínal si že email nečítajú. Plánuješ im zaslať kolkovanú žiadosť?
    19.8. 12:24 X
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Od oka staci: 
    tcpdump -i tvuj_inteface -n -p -s0 -w cez_bad.pcap port 53
    Ukladani prerusis a pustis znova pro cez_ok.pcap.

    Vylezou dva soubry, ktere otevres ve Wiresharku a muzes snadno a detailne videt co se presne stalo.

    Kdys sem soubory posles tak ti nekdo poradi.
    Heron avatar 19.8. 19:10 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Neprdí.
    Heron
    18.8. 15:42 marek
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu

    Dobry den

    https://dnsviz.net/d/cez.cz/dnssec/ hlasi tolik chyb a varovani, ze bych se na jakoukoli cache, ktera to odmitne odpovedet, nehneval:

    cez.cz/AAAA has errors; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CDS has errors; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CNAME has errors; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CDNSKEY has errors; select the "Denial of existence" DNSSEC option to see them.
2amnh.1bxz3.cez.cz/A has errors; select the "Denial of existence" DNSSEC option to see them.
Warnings (63)
RRSIG cez.cz/A alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/A alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 35439: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/DNSKEY alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/MX alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NS alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/NSEC3PARAM alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/SOA alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 25490: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
RRSIG cez.cz/TXT alg 10, id 48902: DNSSEC implementers are recommended against implementing signing with DNSSEC algorithm 10 (RSASHA512). See RFC 8624, Sec. 3.1.
cez.cz/CDS has warnings; select the "Denial of existence" DNSSEC option to see them.
2amnh.1bxz3.cez.cz/A has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/AAAA has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CNAME has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/DNSKEY has warnings; select the "Denial of existence" DNSSEC option to see them.
cez.cz/CDNSKEY has warnings; select the "Denial of existence" DNSSEC option to see them.

    marek

    Heron avatar 18.8. 16:08 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Tohle nejsou žádné chyby ale warningy a vše se točí kolem velikosti šifrování, což ČEZ nijak ovlivnit nemůže, protože má své klíče u nadřízené organizace.
    Heron
    18.8. 17:08 marek
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu

    Ano, vsechny "chyby" a warningy souvisi s algoritmem 10, nemelo by to byt smrtelne(ale velikost odpovedi, obzvlaste kdyz jsou tam zrovna dva klice, muze hrat roli).

    Nemyslim, ze je pravdepodobne, ze by ksk daval do cznic nekdo jiny, nez cez.

    marek
    Řešení 2× (Heron, xxl (tazatel))
    22.8. 23:54 tv | skóre: 3
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Melo by na stroji s Unboundem stacit vypnout tcp fastopen: sysctl -w net.ipv4.tcp_fastopen=0

    23.8. 07:39 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Super!! Opravdu to funguje.

    Díky.

    Akorát že default hodnota je 1 a jsem si jist, že to s ní dřív chodilo. Takže to na dns serverech ČEZu museli změnit na 0.
    23.8. 09:55 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Smutne.
    RFC 9210 4.1:
    TCP Fast Open (TFO) [RFC7413] allows TCP clients to shorten the handshake for subsequent connections to the same server. TFO saves one round-trip time in the connection setup. DNS servers SHOULD enable TFO when possible.
    26.8. 13:36 Petr
    Rozbalit Rozbalit vše Re: Unbound problém s DNS servery ČEZu
    Měl jsem stejný problém, nakonec jsem to vyřešil přidáním volby do konfigurace unbound

    edns-buffer-size: 4096

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.