web-dev-qa-db-fra.com

Ubuntu MAAS DNS ne pas transférer la demande

J'essaie MAAS mais j'ai du mal à faire en sorte que le nœud atteigne Internet. Ceci est ma configuration:

3 machines physiques, dont une avec deux cartes réseau servant de passerelle, de contrôleurs de cluster et de contrôleur de région. La passerelle/contrôleur est configuré pour qu'une interface reçoive l'adresse IP du réseau d'entreprise et que l'autre soit gérée par MAAS (DHCP et DNS).

Depuis la passerelle, je n’ai aucun problème à tendre la main, mais les nœuds ne le peuvent pas. J'ai regardé le contrôleur/passerelle, je peux voir que bind9 est en cours d'exécution.

$ service bind9 status
 * bind9 is running

Faire Dig ubuntu.com me donne des résultats. Mais si je fais Dig @127.0.0.1 ubuntu.com, je n'ai aucun retour. Je regarde aussi à travers la configuration de liaison et tout semble être en ordre (le transitaire est configuré.) Que me manque-t-il?

Voici les configurations de liaison pertinentes

$ cat /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

$ cat /etc/bind/named.conf.options
options { directory "/var/cache/bind";
dnssec-validation auto;
include "/etc/bind/maas/named.conf.options.inside.maas";
auth-nxdomain no;
listen-on-v6 { any; }; };

$ cat /etc/bind/maas/named.conf.options.inside.maas 
    forwarders {
        172.24.3.136;
    };
networkingdnsmaas
3
Kenny Ho

On dirait que la "réponse peu sûre" est l'enjeu. Trouvé cette solution à partir de StackOverflow: https://stackoverflow.com/a/14923549/1692452

Ceci est lié à la nouvelle fonctionnalité DNSSEC qui est maintenant activée par défaut. Cela peut indiquer que les résolveurs/redirecteurs DNS que vous utilisez ne prennent pas en charge DNSSEC, de sorte que la réponse semble ne pas être sûre pour votre serveur.

Vous pouvez utiliser des résolveurs prenant en charge DNSSEC ou désactiver temporairement la fonctionnalité sur votre serveur. Pour le désactiver, utilisez simplement ces paramètres dans votre "named.conf":

dnssec-enable no; dnssec-validation no;

4
Kenny Ho

Outre les problèmes liés à dnssec signalés dans la réponse du PO (no valid RRSIG resolving ...), j'avais également des problèmes avec IPv6, qui se manifestaient comme suit:

maas1 named[1532]: network unreachable resolving './NS/IN': 2001:503:c27::2:30#53

La solution consistait à démarrer bind9 en mode v4 uniquement. Pour y parvenir, j'ai utilisé cet article (j'utilise MAAS 2.1 sur Xenial, qui exécute systemd):

  1. Sudo systemctl cat bind9.service | grep ExecStart. Ceci fournit la ligne de commande actuelle utilisée pour démarrer le démon bind9.
  2. Sudo systemctl edit bind9.service. Un éditeur vide apparaît, qui permet de remplacer les aspects requis de la définition de service.

  3. Ajoutez l'indicateur -4 à la chaîne ExecStart notée précédemment lors de l'enregistrement du fichier. Dans mon cas, cela ressemble à ceci:

    [Service]
ExecStart=
ExecStart=/usr/sbin/named -4 -f -u bind

    (NB: le premier blanc ExecStart= est destiné - se référer au article susmentionné ).

  4. Si vous souhaitez vérifier que votre remplacement est en place, vous pouvez exécuter à nouveau: systemctl cat bind9.service
  5. systemctl restart bind9.service
  6. Exécutez quelques requêtes à partir de nœuds et vérifiez que tout va bien avec: systemctl status bind9.service - auparavant, les erreurs mentionnées ci-dessus étaient saturées.
0
sxc731