Telenet DNS: unresolving

[vincentjanv]

Hi all,

we hebben vandaag even de nameservers van een domein gewijzigd, maar sindsdien gaf dit problemen bij sommige klanten. We hebben de wijziging teruggedraaid (reeds paar uur geleden) maar nog steeds blijft Telenet DNS (195.x.x.x) problemen geven.
een DIG command geeft gewoon niets terug op de domeinnaam via de toegewezen DNS van Telenet.

Iemand een idee? Domein is drukkemamas.be en deze resolved in heel veel gevallen/DNS servers correct, maar bij Telenet nog steeds noppes. Extreem vervelend aangezien dit buiten onze macht ligt:(

[devilkin]

Ga je weinig aan kunnen doen vrees ik.

Wat was het probleem dat je had? Kan misschien helpen om een oplossing te bedenken.

[Splitter]

telenet hun cache is een f*ng ramp idd, en dns terugdraaien maakt het er niet beter op.

stappenplan om dns aan te passen, als je dat kan inplannen, is:

- TTL van het domein zo laag mogelijk zetten (pakweg 300 seconden, want te laag nemen sommigen het niet eens aan)
- 24 tot 48u wachten (want caches - en eventueel nog langer als je oude TTL veel te hoog stond mss)
- op een uur dat geen kat ernaar kraait dns updaten
- bij 1.1.1.1 en 8.8.8.8 de dns caches flushen (zowel cloudflare als google hebben er een pagina voor)
- bang een 30tal minuten afwachten (met een TTL van 5 minuten zou na 30 minuten het hele internet toch wel mee moeten zijn)
- propagation checken door sites a la https://dnschecker.org en https://www.whatsmydns.net
- afhankelijk van de resultaten terug ademhalen of panikeren


EDIT:

ik zie dat je ook dnssec gebruikt, HEEL belangrijk om daar tijdens een dns aanpassing rekening mee te houden, want als je aanpassing bv nameserver wijziging zou inhouden en je signing ineens niet meer klopt (en je zone dus niet meer secure is), dan gaan dns servers die daar naar kijken ook effectief NXDOMAIN terugsturen!

[dupondje]

Waarom heb je moeten reverten?
De TTL van nameservers bij dns.be is 24u. Dus je gaat er mogelijks 24u last van hebben.

dig @telenet-nameserver NS drukkemamas.be
Zal u zeggen hoe lang nog

[CCatalyst]

Lijkt opgelost te zijn.

Vorige query van een uur geleden leverde een SERVFAIL op (wat AFAIK per RFC maar 5 minuten gecached mag worden, wat natuurlijk niet garandeert dat Telenet het niet langer doet):

Code: Selecteer alles

; <<>> DiG 9.16.37-Debian <<>> drukkemamas.be
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 12754
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;drukkemamas.be.			IN	A

;; Query time: 39 msec
;; SERVER: 195.130.131.5#53(195.130.131.5)
;; WHEN: Thu Mar 09 19:15:23 UTC 2023
;; MSG SIZE  rcvd: 32

Nieuwe query geeft een A record terug:

Code: Selecteer alles

; <<>> DiG 9.16.37-Debian <<>> drukkemamas.be
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28335
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;drukkemamas.be.			IN	A

;; ANSWER SECTION:
drukkemamas.be.		15	IN	A	35.210.39.159

;; Query time: 29 msec
;; SERVER: 195.130.131.5#53(195.130.131.5)
;; WHEN: Thu Mar 09 20:24:45 UTC 2023
;; MSG SIZE  rcvd: 48

[Splitter]

De TTL van nameservers bij dns.be is 24u. Dus je gaat er mogelijks 24u last van hebben.

dat is toch al een eeuwigheid niet waar meer ?
ik dacht zelfs dat het sinds 2009/2010 "quasi onmiddelijk" is (pakweg 30min) in de .be zone en roots,
maar dat je dan nog de caching had bij al de intermediates (en dat was in die tijd nog vaak 24-48u, terwijl nu de standaard toch al meer richting 15min ttl's gaat)
ik geloof ook niet dat de oudere manier van "wij gebruiken een dns, en die haalt zijn data bij 1 rootservertje" nog van toepassing is (en daar zijn ze wss blij om, want de tijd dat het internet bijna bye-bye was omdat 11 van de 13 rootservers geddost werden is dus ook voorbij)....

MAAR... je isp (en surtout telenet)... die werken vaak wel nog met een dns die gewoon k*t is:
veel caching, weinig live updating, en meestal ook niet de snelste qua resolven.

vorig jaar ook nog gehad met een update van 1 (vrij grote) .BE zone... op halfuurtje was heel de wereld mee,
telenet konden we nog bijna 4u langer op wachten (ook al zat de dns op dat moment nog bij hostbasket - uberhaupt onderdeel van telenet )
sindsdien wel dns voor die zone op AWS mee ondergebracht, en dat gaat verdomd vlotjes -en handig voor dns certificate validation ook-

[dupondje]

dat is toch al een eeuwigheid niet waar meer ?
ik dacht zelfs dat het sinds 2009/2010 "quasi onmiddelijk" is (pakweg 30min) in de .be zone en roots,
maar dat je dan nog de caching had bij al de intermediates (en dat was in die tijd nog vaak 24-48u, terwijl nu de standaard toch al meer richting 15min ttl's gaat)
ik geloof ook niet dat de oudere manier van "wij gebruiken een dns, en die haalt zijn data bij 1 rootservertje" nog van toepassing is (en daar zijn ze wss blij om, want de tijd dat het internet bijna bye-bye was omdat 11 van de 13 rootservers geddost werden is dus ook voorbij)....

Een nieuw domein of nameserver change is idd al even zo goed als instant voor de .be zone.
Maar dat wil niet zeggen dat uw nameserver change instant overal uit de cache is.


Zie hier bv:
drukkemamas.be. 86400 IN NS ns1.mijndnsserver.nl.
drukkemamas.be. 86400 IN NS ns3.mijndnsserver.eu.
drukkemamas.be. 86400 IN NS ns2.mijndnsserver.nl.
drukkemamas.be. 86400 IN NS ns4.mijndnsserver.net.
;; Received 374 bytes from 194.0.25.36#53(z.nsset.be) in 12 ms

De nameserver van dns België geeft u de NS records voor dat domein. En de TTL is 86400 (of idd 24u).
Heb je pech, zit je dus nog 24u vast aan de oude nameservers in uw cache.

En ja, de root nameservers zijn nog steeds even belangrijk of vroeger. De resolver vraagt nog altijd aan die welke servers er gecontacteerd moeten worden voor bv een .be te resolven.

[mgo72]

Wij hebben sinds 3 dagen dat onze nieuwsbrief-links niet openen met server error.

Zijn mandrill-app links die naar onze site voetbalkrant.com linken. De site zelf is bereikbaar vanuit Telenet. De links vanuit mandrill niet.

[CCatalyst]

De NS records hebben idd een TTL van 24u voor .be, en 48u voor bijvoorbeeld .com, terwijl het voor .nl slechts 1 uur is. Nu, in mijn ervaring gaan resolvers als OpenDNS, Google, etc daar wel intelligenter mee om en gaan ze al invalideren voor de TTL verstrijkt. Maar voor de servers van Telenet zal dat vermoedelijk wel niet het geval zijn. In ieder geval moet je idd rekening houden met de volledige 24u (en langer als de TTL die je op je eigen nameservers ingesteld hebt langer dan 24u is). Tijdens die periode moeten zowel je oude als nieuwe nameservers antwoorden voor jouw domein.

Wij hebben sinds 3 dagen dat onze nieuwsbrief-links niet openen met server error.

En is het effectief een probleem met DNS? Want iets als "server error" kan wel veel meer zijn. Best screenshot oid posten.

[Splitter]

Maar dat wil niet zeggen dat uw nameserver change instant overal uit de cache is.

dat heb ik ook niet gezegd (the opposite zelfs: telenet doet ellenlange caching)

De nameserver van dns België geeft u de NS records voor dat domein. En de TTL is 86400 (of idd 24u).
Heb je pech, zit je dus nog 24u vast aan de oude nameservers in uw cache.

ik dacht dat de upstream TTL enkel geldig was als het domein niet kon bereikt worden ?
dus: heb je een TTL van bv 5 minuten in je zone, dan is dat de TTL die telt en gevolgd zal worden,
maar kan je domein niet gevonden/bereikt worden, zal de TTL van een stap hoger gevolgd worden voor jouw domein,
tot het nergens op internet nog cached is ?

En ja, de root nameservers zijn nog steeds even belangrijk of vroeger. De resolver vraagt nog altijd aan die welke servers er gecontacteerd moeten worden voor bv een .be te resolven.

beetje fout uitgedrukt i guess, ik bedoel dat het concept van de root zoals vroeger eigenlijk niet meer bestaat, toen het effectief 13 servers waren die het hele internet moesten dragen (en allemaal in de US zaten ook zeker?).
dus ze zijn wel nog in gebruik (kan ook niet anders), maar even belangrijk toch niet meer? (as in: het is niet meer realistisch om te denken dat de root nog down kan gaan)

[dupondje]

ik dacht dat de upstream TTL enkel geldig was als het domein niet kon bereikt worden ?
dus: heb je een TTL van bv 5 minuten in je zone, dan is dat de TTL die telt en gevolgd zal worden,
maar kan je domein niet gevonden/bereikt worden, zal de TTL van een stap hoger gevolgd worden voor jouw domein,
tot het nergens op internet nog cached is ?

Maar wat is 'domein kan niet bereikt worden'?
Volgens wat ik lees is het wat afhankelijk van de resolver of de NS records in uw eigen zone gebruikt worden.

beetje fout uitgedrukt i guess, ik bedoel dat het concept van de root zoals vroeger eigenlijk niet meer bestaat, toen het effectief 13 servers waren die het hele internet moesten dragen (en allemaal in de US zaten ook zeker?).
dus ze zijn wel nog in gebruik (kan ook niet anders), maar even belangrijk toch niet meer? (as in: het is niet meer realistisch om te denken dat de root nog down kan gaan)

Ze zijn nog steeds even belangrijk. Het zijn er gewoon veel meer geworden.
https://en.wikipedia.org/wiki/Root_name_server
As of 03/10/2023 1:44 p.m., the root server system consists of 1644 instances operated by the 12 independent root server operators.

[ITnetadmin]

Het root systeem is een round robin geworden, waarbij elke voormalige server vervangen is door een hele reeks servers die via een load balancer geadresseerd worden.
Maar het zijn nog steeds 13 DNS namen (a.root-servers.net tot m.root-servers.net) met elk een eigen fixed IP.
En elk van die "servers" zou dus nog kunnen down gaan, als iemand erin slaagt om dat IP adres onbereikbaar te maken door bv ddns aanvallen ofzo.

https://www.iana.org/domains/root/servers