https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html Есть работающий как кэширующий DNS Bind 9 на Debian 5.0. Перенёс эту конфигурацию (перетащил конфиги) на новый сервер на Debian 9.7. Поставилась версия BIND 9.10.3-P4-Debian DNS очень странно работает. То резолвит за пару милисекунд всё, то тупит по секунд 20 и иногда вообще выкидывает ошибку в стиле - Your request could not be processed because an error occurred contacting the DNS server. The DNS server may be temporarily unavailable, or there could be a network problem. когда с браузера лезешь через него куда то.<br><br>Логи настроил в отдельном файле. какие то проблем не вижу особо.<br>Вот например -<br>[code]<br>dig @192.168.77.5 rambler.ru<br><br>; &lt;&lt;&gt;&gt; DiG 9.8.4-rpz2+rl005.12-P1 &lt;&lt;&gt;&gt; @192.168.77.5 rambler.ru ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached<br>[/code]<br><br>и всё... повторяю запрос через пару минут -<br><br>[code]<br>dig @192.168.87.5 rambler.ru<br><br>; &lt;&lt;&gt;&gt; DiG 9.8.4-rpz2+rl005.12-P1 &lt;&lt;&gt;&gt; @192.168.77.5 rambler.ru ; (1 server found) ;; global options: +cmd ;; Got answe https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#14 Fri, 08 Feb 2019 14:30:54 GMT а не включен ли случаем ipv6?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#13 Wed, 06 Feb 2019 10:47:38 GMT &gt; //recursion yes;<br><br>хм. Интересненько.<br>Включи логи да посмотри где упирается. И логи есть, и tcpdump.<br> https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#12 Tue, 05 Feb 2019 17:53:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt; forwarder first; <br>&gt;&gt; если нет ответа от forwarders, то first - должен ответить сам.<br>&gt;&gt; Получаем что ответа от forwarders не дождались или ошибка, Ваш bind <br>&gt;&gt; должен отрезолвить сам и не может, в итоге получаете ошибку.<br>&gt;&gt; Если определите что происходит, почему и forwarders и ваш кеш-сервер <br>&gt;&gt; в некий момент времени возвращают ошибку, все срастется.<br>&gt; Да вот не понятно. Логи смотрел - не понятно мне.<br>&gt;&gt; Только зачем использовать bind, если unbound реально удобней и лучше.<br>&gt; На данный момент вообще не настроен и не включен iptables (фаервол выше <br>&gt; уровнем) <br><br>Так старый и новый debian один в один или нет?!<br><br>Ищите разницу между настройками серверов. Что-то тут не так...<br><br>Смотрите что происходит с сетью в момент отлупа и что происходит<br>с bind, в том смысле что - Вы не получаете ответа от forwarders<br>по таймауту или что-то происходит с сетью. С какого ip идут<br>запросы к forwarders и во внешний мир?<br><br>Как проверяете, с debian сервера или с клиентского компьютера?<br><br>Чт https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#11 Tue, 05 Feb 2019 17:47:47 GMT &gt; У Вас: <br>&gt; forwarders {...}; <br>&gt; forwarder first; <br>&gt; если нет ответа от forwarders, то first - должен ответить сам.<br>&gt; Получаем что ответа от forwarders не дождались или ошибка, Ваш bind <br>&gt; должен отрезолвить сам и не может, в итоге получаете ошибку.<br>&gt; Если определите что происходит, почему и forwarders и ваш кеш-сервер <br>&gt; в некий момент времени возвращают ошибку, все срастется.<br><br>в добавок recursion yes; закоментирован, хотя есть allow-recursion { ... }<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#10 Tue, 05 Feb 2019 17:30:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Ну могу 8.8.8.8 и 8.8.4.4 поставить.<br>&gt;&gt; Но правда я так делал уже вроде бы. Не помогло.<br>&gt; значит копаем дальше, возможно в ваших сетевых настройках или возможно замудренных firewall <br>&gt; правил.<br>&gt;&gt; Нет. Я выключаю ради теста этот сервер и включаю старый на Debian <br>&gt;&gt; 5.0 и там всё работает и сейчас.<br>&gt; тогда берем бумагу и ручку, потом пишем по каждому столбику отличия настроек <br>&gt; в Debian 5.0 и настроек Debian 9.7. вы уверены что все <br>&gt; настройки в один один и идентичны? может со временем на Debian <br>&gt; 9.7 что-то еще понавесили?<br><br>Да. Уже сравнилэ Всё было идентично. И бинд и сеть и resolv.conf и хостнейм и что там ещё даже не знаю..<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#9 Tue, 05 Feb 2019 17:29:23 GMT &gt;[оверквотинг удален]<br>&gt; и iptables и nat.<br>&gt; В какой-то момент возникают сетевые проблемы.<br>&gt; У Вас: <br>&gt; forwarders {...}; <br>&gt; forwarder first; <br>&gt; если нет ответа от forwarders, то first - должен ответить сам.<br>&gt; Получаем что ответа от forwarders не дождались или ошибка, Ваш bind <br>&gt; должен отрезолвить сам и не может, в итоге получаете ошибку.<br>&gt; Если определите что происходит, почему и forwarders и ваш кеш-сервер <br>&gt; в некий момент времени возвращают ошибку, все срастется.<br><br>Да вот не понятно. Логи смотрел - не понятно мне.<br><br>&gt; Только зачем использовать bind, если unbound реально удобней и лучше.<br><br>На данный момент вообще не настроен и не включен iptables (фаервол выше уровнем)<br><br>&gt;Только зачем использовать bind, если unbound реально удобней и лучше.<br><br>А вот тут спасибо большое за совет. Надо будет почитать.<br>Только вот чем он лучше?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#8 Tue, 05 Feb 2019 17:27:19 GMT &gt;&gt; dig @192.168.77.5 rambler.ru <br>&gt;&gt; dig @192.168.87.5 rambler.ru <br>&gt; и <br>&gt;&gt; ;; Query time: 13 msec ;; SERVER: 192.168.77.5#53(192.168.87.5) ;; WHEN: Tue Feb <br>&gt; у вашего сервера несколько IP адресов на каждую вашу подсеть 192.168.0.0/16?<br><br>Не, это один) Я менял просто айпишники реальные немного))<br> https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#7 Tue, 05 Feb 2019 17:20:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt; уберите их или оставьте пару всегда рабочих и надежных.<br>&gt; Так это DNS провайдера.<br>&gt; Ну могу 8.8.8.8 и 8.8.4.4 поставить.<br>&gt; Но правда я так делал уже вроде бы. Не помогло.<br>&gt;&gt;&gt;Вообще это кэширующий DNS и до этого такая конфигурация много лет работала на другой системе под &gt;Debian 5 и старой версией BIND 9.5 вроде или типа того.<br>&gt;&gt; ничего не говорит, много чего у вышестояших DNS серверов поменялось. возможно также <br>&gt;&gt; наблюдается эффект DNS Flag Day 2019 (с 1 февраля вступил в <br>&gt;&gt; действие) <br>&gt; Нет. Я выключаю ради теста этот сервер и включаю старый на Debian <br>&gt; 5.0 и там всё работает и сейчас.<br><br>И это говорит о том что сервера НАСТРОЕНЫ по-разному, в том числе<br>и iptables и nat.<br><br>В какой-то момент возникают сетевые проблемы.<br><br>У Вас:<br>forwarders {...};<br>forwarder first;<br><br>если нет ответа от forwarders, то first - должен ответить сам.<br>Получаем что ответа от forwarders не дождались или ошибка, Ваш bind<br>должен отрезолвить сам и не может, в итоге получаете ошибку.<br> Если оп https://ssl.opennet.dev/openforum/vsluhforumID1/97365.html#6 Tue, 05 Feb 2019 17:10:44 GMT &gt; Так это DNS провайдера.<br><br>тоже ничего не говорит, не всегда можно этим серверам доверять<br><br>&gt; Ну могу 8.8.8.8 и 8.8.4.4 поставить.<br>&gt; Но правда я так делал уже вроде бы. Не помогло.<br><br>значит копаем дальше, возможно в ваших сетевых настройках или возможно замудренных firewall правил.<br><br>&gt; Нет. Я выключаю ради теста этот сервер и включаю старый на Debian <br>&gt; 5.0 и там всё работает и сейчас.<br><br>тогда берем бумагу и ручку, потом пишем по каждому столбику отличия настроек в Debian 5.0 и настроек Debian 9.7. вы уверены что все настройки в один один и идентичны? может со временем на Debian 9.7 что-то еще понавесили?<br><br><br>