blog nejen o Internetu
Trable s IPv6 - Wedos a tak
publikováno 13. 8. 2020 v 17:51 (aktualizováno 15. 8.)Musím se s vámi podělit o trable s IPv6, které poslední dny řeším. Jde o problémy s reverzními záznamy (PTR) pro můj VPS u Wedosu a o službu FreeDNS.afraid.org, kde hostuju reverzní DNS zónu pro můj domácí IPv6 tunel.
Asi začnu tím Wedosem. To je palčivější problém a ovlivňuje nastavení mého poštovního serveru, takže bych si přál, ale byl problém co nejdříve odstraněn. To je ale asi jen zbožné přání... Tak od začátku, ano?
You are blacklisted!
Původně dával Wedos zákazníkům jeden menší subnet IPv6 k VPS. Tento blok byl ale natolik malý a nevhodně navržený, že do jednoho subnetu velikosti /64 se vejdou, a teď se podržte, všechny IPv6 subnety všech zákazníků Wedosu dohromady. Stačí jeden blbec, který spamuje nebo má hacknutý stroj a můžete být na blacklistu, pardon, blocklistu. Každou chvilku byl poštovní server evidován u Spamhausu. A to kvůli někomu jinému. A postihovalo to úplně všechny. Spamhaus ve svém FAQ argumentuje, že v dnešní době je průmyslový standard právě velikost subnetu /64 na zákazníka, proč troškařit, že? Takže on menší rozlišovací schopnost nemá a když někoho zablokovat, tak rovnou celý /64 subnet. Wedos má problém.
Řešení i když rozbité
Moc mne na fóru potěšila podpora, když mi sdělila, že se tento problém vyřeší, že na něm již programátoři pracují. Nebyl jsem sám, kdo si toho problému s blocklistem všiml. Skvělé. 31.7.2020 jsem v administraci svého VPS zjistil, že tam potichu bez oznámení přibyla volba druhého IPv6 subnetu, tentokrát skutečně můj vlastní /64 blok, čímž se problémy výše zmíněné odstraní. Bomba, díky moc! Připravil jsem si DNS záznamy (snížil TTL na 5min u IPv6 záznamů), den počkal a pak nastavil nové DNS záznamy (už s normálním TTL 1h) s novou IP pro můj server, nastavil síťové rozhraní na serveru, zkonfiguroval služby. Jelikož přístupů přes IPv6 mám na serveru opravdu minimum, mohl jsem si dovolit klidně původní IP adresu úplně odebrat a hodit tam novou a počkat, až se záznamy zpropagují do všech NS. Myslím, že si vůbec nikdo ani nevšiml. :)
Nefungují reverzní záznamy
Samozřejmě jsem předtím vše připravil v administraci, tj. vybral si pěknou IP adresu, tu povolil v nastavení VPS, vytvořil k ní odpovídající DNS záznamy (AAAA + PTR). Jenže... PTR záznam nefungoval ani po jedné hodině. Ani po dvou, třech, deseti. Toto jsem 1.8.2020 napsal na fórum podpory s komentářem, zda třeba nejde o špatnou delegaci reverzní zóny. Interně mne druhý den pán z podpory požádal o přesnou IPv6 adresu, že se na to mrknou. Druhý den jsem doplnil k interní informaci od podpory komentář se svými pozorováními, když jsem si pouštěl v konzoli dig, velmi šikovný nástroj:
[martin@mail ~]$ dig -x 2a02:2b88:6:52e0::777 @ns.wedos.cz ; <> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <> -x 2a02:2b88:6:52e0::777 @ns.wedos.cz ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53912 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;7.7.7.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.2.5.6.0.0.0.8.8.b.2.2.0.a.2.ip6.arpa. IN PTR ;; ANSWER SECTION: 7.7.7.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.2.5.6.0.0.0.8.8.b.2.2.0.a.2.ip6.arpa. 3600 IN PTR mail.spamassassin.cz. ;; Query time: 1 msec ;; SERVER: 2a02:2b88:1:1::2#53(2a02:2b88:1:1::2) ;; WHEN: Po srp 03 15:38:42 CEST 2020 ;; MSG SIZE rcvd: 135
Takže jde vidět, že nameservery Wedosu mají záznam v pořádku a při dotazu správně odpoví. Jenže problém je ve veřejném Internetu:
[martin@mail ~]$ dig -x 2a02:2b88:6:52e0::777 ; <> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <> -x 2a02:2b88:6:52e0::777 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 61798 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;7.7.7.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.2.5.6.0.0.0.8.8.b.2.2.0.a.2.ip6.arpa. IN PTR ;; AUTHORITY SECTION: 0.a.2.ip6.arpa. 3488 IN SOA pri.authdns.ripe.net. dns.ripe.net. 1586440337 3600 600 864000 3600 ;; Query time: 30 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Po srp 03 15:39:38 CEST 2020 ;; MSG SIZE rcvd: 161
Vidíte? Odtud pramení mé podezření, že subnet není vůbec/správně delegován u RIPE. Tohle je bohužel už mimo mé znalosti, proto jen hádám. Tak blízko k IPv6 jsem se zatím nedostal a zřejmě tak snadno ani v budoucnu nedostanu. Problém jsem dále otestoval několika nezávislými webovými nástroji, které pracují s DNS záznamy. Vždy chyba.
Proč to tak trvá?!
A teď mi řekněte. Dneska je 13.8.2020, uběhlo tedy 12 dnů. A problém stále není vyřešen! Musel jsem tedy přistoupit k tomu, aby poštovní server vůbec nepoužíval IPv6 konektivitu a taky jsem musel změnit kvůli tomuto problému i pár záznamů v DNS. Ale jak to, že to tak dlouho trvá? Když v dnešní online době se problémy dají vyřešit doslova během minut? Jsem zklamán a už popravdě i naštvaný. Na jednu stranu patří Wedosu velký dík. Na stranu druhou proč se v administraci začal nový IPv6 subnet nabízet, když služba není 100% funkční??? A to, že nebyla ještě oficiálně avizována, na tom nic nemění, prostě v administraci tato možnost vůbec neměla být zobrazena. A třeba není problém vůbec v nějaké delegaci reverzní zóny, ale někde jinde. Rozhodně chci od podpory vyjádření.
Někdy funguje, někdy nefunguje
Mé trable s IPv6 nekončí. Tentokrát jsem si rozjel na chalupě IPv6 tunel od Hurricane Electric, který jsem používal dříve jinde. Vše proběhlo ok, mám IPv6 konektivitu k té své IPv4 nativní. Tunel mám sice od HE, ale DNS záznamy (AAAA+PTR) hostuju zdarma u FreeDNS.afraid.org. S A záznamy jsem nikdy neměl problém. Vlastně ani s AAAA, kam až moje paměť sahá, a to ani s těmi PTR. Jenže co čert nechtěl, ty reverzy, co jsem nyní vytvořil, prostě nechtěly fungovat. Chyba je někde v systému - ze tří AAAA záznamů všechny funkční. Ze tří PTR funkční jeden. Nebudu vás tu nudit omáčkou, svá pozorování jsem důkladně zdokumentoval a zaslal Joshuovi, který za projektem stojí. Když mi ani po několika dnech neodpověděl a chyba nebyla opravena, prostě jsem reverzní zónu nasměroval k HE, který poskytuje, světe div se, i Free DNS. Nyní mám tunel i všechny DNS záznamy plně funkční. Chlapící v Hurricane Electric prostě umí!
Okurková sezóna v plném proudu?
Možná za to může léto, možná mají zodpovědní lidé dovolenou a nejsou k zastižení? Možná mé problémy s IPv6 nejsou zásadní. Mnoo, minimálně ty reverzní záznamy u Wedosu jsou docela důležité, alespoň pro mne, člověka provozujícího poštovní server. Joshuovi jsem poslal druhý e-mail, kde jsem mu psal, ať už to neřeší, že jsem si to vyřešil sám přesunem jinam. A jestli v systému chybu opraví nebo ne, je mi celkem jedno. Tyhle one-man-show byly vždy trošku nebezpečné. U Wedosu už tak benevolentní nejsem. Jak dlouho jim bude oprava asi trvat? Mimochodem - Wedos.online - jejich monitoring umožňuje monitorovat i PTR záznamy (IPv4, IPv6). Doporučuju. Já tam mám od prvního dne měření nového PTR záznamu stále chybu... :)
--- aktualizováno ---
Pouhý den po vydání zápisku na blogu mi odepsal Ondřej Caletka, kterého osobně považuji za experta na IPv6 a ten mi velmi ochotně vysvětlil, kde je chyba a ukázal, jak si to mohu snadno zkontrolovat. Opravdu byl problém s delegací subdomény:
$ whois -h whois.ripe.net -r -i mnt-by WEDOS-MNT -T domain | grep 'domain:.*ip6\.arpa' domain: 0.0.0.0.0.c.c.a.e.0.a.2.ip6.arpa domain: 0.0.0.0.8.8.b.2.2.0.a.2.ip6.arpa domain: 1.0.0.0.0.c.c.a.e.0.a.2.ip6.arpa domain: 1.0.0.0.8.8.b.2.2.0.a.2.ip6.arpa domain: 2.0.0.0.0.c.c.a.e.0.a.2.ip6.arpa domain: 2.0.0.0.8.8.b.2.2.0.a.2.ip6.arpa domain: 3.0.0.0.0.c.c.a.e.0.a.2.ip6.arpa
A řešením je přidat další objekt - 6.0.0.0.8.8.b.2.2.0.a.2.ip6.arpa
Ondřeji, díky moc! :-)
O pár hodin později začal reverzní záznam pro novou IPv6 adresu fungovat. Pánové z Wedosu shodou okolností provedli opravu přesně v duchu, který zmínil Ondřej. Teď již vše funguje na 100 procent a já mohu jít zkonfigurovat poštovní server, aby používal IPv6 jako dřív. I pánům z Wedosu patří dík. :-)
Tweetštítky: IPv6 PTR rDNS RIPE tunel WEDOS
1996x přečteno
Zatím nikdo nic nenapsal, chcete být první?
Copyright © 2015-2024 SOCL.cz, RSS 2.0 
Všechna práva vyhrazena, nebo tak nějak.
