Fehlkonfiguration der Kabeldeutschland Nameserver

[klausf]

Hi,

seit ca. 2 Wochen kann ich bei verschiedenen Kunden keine Fernwartung per ssh mehr machen. Hintergrund ist, daß die dortigen Firewalls eine Überprüfung des Hostnamens durchführen. Wenn dieser nicht per DNS aufgelöst werden kann, ist kein ssh Login möglich. Eine Störungsmeldung an den KD "Kundenservice" brachte nur die übliche Standardantwort.

Welcher Nameserver ist denn für die Auflösung meines Hostnames 95-90-217-168-dynip.superkabel.de zuständig:

Code: Alles auswählen

~$ dig +trace 95-90-217-168-dynip.superkabel.de.
.                       68473   IN      NS      B.ROOT-SERVERS.NET.
.                       68473   IN      NS      E.ROOT-SERVERS.NET.
.                       68473   IN      NS      C.ROOT-SERVERS.NET.
.                       68473   IN      NS      J.ROOT-SERVERS.NET.
.                       68473   IN      NS      G.ROOT-SERVERS.NET.
.                       68473   IN      NS      H.ROOT-SERVERS.NET.
.                       68473   IN      NS      I.ROOT-SERVERS.NET.
.                       68473   IN      NS      D.ROOT-SERVERS.NET.
.                       68473   IN      NS      F.ROOT-SERVERS.NET.
.                       68473   IN      NS      A.ROOT-SERVERS.NET.
.                       68473   IN      NS      K.ROOT-SERVERS.NET.
.                       68473   IN      NS      L.ROOT-SERVERS.NET.
.                       68473   IN      NS      M.ROOT-SERVERS.NET.
;; Received 500 bytes from 127.0.0.1#53(127.0.0.1) in 11 ms

de.                     172800  IN      NS      S.DE.NET.
de.                     172800  IN      NS      L.DE.NET.
de.                     172800  IN      NS      C.DE.NET.
de.                     172800  IN      NS      A.NIC.de.
de.                     172800  IN      NS      F.NIC.de.
de.                     172800  IN      NS      Z.NIC.de.
;; Received 309 bytes from 192.203.230.10#53(E.ROOT-SERVERS.NET) in 205 ms

superkabel.de.          86400   IN      NS      ns01.registrar.kabel-deutschland.de.
superkabel.de.          86400   IN      NS      ns02.registrar.kabel-deutschland.de.
;; Received 149 bytes from 81.91.164.5#53(F.NIC.de) in 36 ms

superkabel.de.          86400   IN      SOA     ns01.registrar.kabel-deutschland.de. dns-admin.kabeldeutschland.de. 2008111703 10800 7200 604800 86400
;; Received 147 bytes from 83.169.184.44#53(ns01.registrar.kabel-deutschland.de) in 19 ms

Ok, fragen wir also ns01.registrar.kabel-deutschland.de nach der IP-Adresse für den Namen 95-90-217-168-dynip.superkabel.de. Wir können sehen, daß der authoritive Nameserver nicht in der Lage ist, einen A-Record zu liefern

Code: Alles auswählen

~$ dig @ns01.registrar.kabel-deutschland.de. 95-90-217-168-dynip.superkabel.de.
;95-90-217-168-dynip.superkabel.de. IN  A
superkabel.de.          86400   IN      SOA     ns01.registrar.kabel-deutschland.de. dns-admin.kabeldeutschland.de. 2008111703 10800 7200 604800 86400

Welche IP-Adressbereiche sind noch betroffen? Bitte um Antworten.
Wieso kriegen die das einfach nicht auf die Reihe, daß deren Nameserver vernünftig konfiguriert sind?

klausf

[det]

Hi,

hier bei mir funktioniert es:

Code: Alles auswählen

;; QUESTION SECTION:
;77-21-62-182-dynip.superkabel.de. IN   A

;; ANSWER SECTION:
77-21-62-182-dynip.superkabel.de. 86400 IN A    77.21.62.182

;; AUTHORITY SECTION:
superkabel.de.          86400   IN      NS      ns02.registrar.kabel-deutschland.de.
superkabel.de.          86400   IN      NS      ns01.registrar.kabel-deutschland.de.

;; Query time: 15 msec
;; SERVER: 83.169.184.44#53(83.169.184.44)
;; WHEN: Thu Apr 16 12:09:38 2009
;; MSG SIZE  rcvd: 132

oder habe ich es falsch interpretiert?


Grüße

det

[klausf]

Hi,

hier bei mir funktioniert es:

Code: Alles auswählen

;; ANSWER SECTION:
77-21-62-182-dynip.superkabel.de. 86400 IN A    77.21.62.182

oder habe ich es falsch interpretiert?

So soll es sein! Offensichtlich ist 77.21.0.0/16 nicht betroffen.
Danke für die Rückmeldung!

klausf

[amax]

Hier geht es auch: 91.64.0.0 /22

[GMF]

Aus gegebenem Anlass hänge ich mich hier dran.

Code: Alles auswählen

root@firewally:~ # dig @ns01.registrar.kabel-deutschland.de. 95-91-196-89-dynip.superkabel.de.

; <<>> DiG 9.4.2-P1 <<>> @ns01.registrar.kabel-deutschland.de. 95-91-196-89-dynip.superkabel.de.
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 48351
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;95-91-196-89-dynip.superkabel.de. IN   A

;; AUTHORITY SECTION:
superkabel.de.          86400   IN      SOA     ns01.registrar.kabel-deutschland.de. dns-admin.kabeldeutschland.de. 2008111704 10800 7200 604800 86400

;; Query time: 24 msec
;; SERVER: 83.169.184.44#53(83.169.184.44)
;; WHEN: Thu Apr 23 21:59:36 2009
;; MSG SIZE  rcvd: 146

Da ich in der gleichen Range liege geht es hier ebenfals nicht.

Ich hatte auch schon, leider nur schriftlichen, Kontakt mit KD.
Als Antwort habe ich eine vorgefertigte e-Mail erhalten in der mir geraten wird eine spezielle Hotline anzurufen.

[klausf]

Servus,

auch der Reverse Lookup ist ein Chaos. Man beachte die Authority Section:

#####################################################
dig @ns01.registrar.kabel-deutschland.de. 89.196.91.95.in-addr.arpa ptr

; <<>> DiG 9.5.1-P1 <<>> @ns01.registrar.kabel-deutschland.de. 89.196.91.95.in-addr.arpa ptr
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16573
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;89.196.91.95.in-addr.arpa. IN PTR

;; ANSWER SECTION:
89.196.91.95.in-addr.arpa. 86400 IN PTR 95-91-196-89-dynip.superkabel.de.

;; AUTHORITY SECTION:
91.95.in-addr.arpa. 86400 IN NS ns01.registrar.kabel-deutschland.de.registrar.kabel-deutschland.de.
91.95.in-addr.arpa. 86400 IN NS ns02.registrar.kabel-deutschland.de.registrar.kabel-deutschland.de.
#####################################################

So klappt das ganz bestimmt nicht:
91.95.in-addr.arpa. 86400 IN NS ns01.registrar.kabel-deutschland.de.registrar.kabel-deutschland.de.

Bin man gespannt wann meine Mails an dns-admin@kabeldeutschland.de beantwortet werden. Und ob diese Zonenfiles mal richtig geschrieben werden.

[GMF]

Der reverse DNS hat mich erst darauf gebracht das da etwas garnicht stimmen kann.

IMHO liegt es schon an der Vergabe des Hostnamens. Die Punkt vor Strich Regel sollte auch bei KD gelten.

95-91-196-89-dynip.superkabel.de geht nicht.
95-91-196-89.dynip.superkabel.de sollte gehen.

Als ich noch den alten Tarif hatte, habe ich ca. 6 Monate einen Hostnamen mit Punkt nach der IP bekommen und alles war OK. Mit Tarifwechsel eine neue IP und der Mist fing an.

Bin man gespannt wann meine Mails an dns-admin@kabeldeutschland.de beantwortet werden. Und ob diese Zonenfiles mal richtig geschrieben werden.

Heppa, da jage ich heute abend auch nochmals eine Mail hin.

[klausf]

IMHO liegt es schon an der Vergabe des Hostnamens. Die Punkt vor Strich Regel sollte auch bei KD gelten.

95-91-196-89-dynip.superkabel.de geht nicht.
95-91-196-89.dynip.superkabel.de sollte gehen.

Eine solche Regel kenne ich nicht. Es gibt nur Hostnamen, Subdomains und Domains. Die Subdomain dynip.superkabel.de gibt es IMHO nicht. Auch bei mir hatte der Lookup des Hostnamens schon mal funktioniert, aber damals bekam ich die IP-Adressen noch aus einer anderen Range. In der Range 95.90.255.255-95.91.255.255 gibt es einfach keine A-Records im DNS. Diese muß der DNS Admin einfach nur in das Zonenfile eintragen.

Der Reverse Lookup funktioniert nicht, weil es keinen authoritiven Nameserver für diese Zone gibt, da der NS Eintrag falsch ist. Das ist auch der Grund, weshalb einige Webseiten nur verzögert Antworten liefern. Die Webserver sind teils so konfiguriert, daß diese die IP-Adressen auflösen um das Logfile zu schreiben. Das scheitert hier eben nicht nur mit einem nicht existierenden Eintrag, schlimmer noch, es ist kein Nameserver zuständig für diese IP-Adresse.

Bin man gespannt wann meine Mails an dns-admin@kabeldeutschland.de beantwortet werden. Und ob diese Zonenfiles mal richtig geschrieben werden.

Heppa, da jage ich heute abend auch nochmals eine Mail hin.

Ich bitte darum! Vielleicht wachen die dann mal auf.

[GMF]

IMHO liegt es schon an der Vergabe des Hostnamens. Die Punkt vor Strich Regel sollte auch bei KD gelten.

95-91-196-89-dynip.superkabel.de geht nicht.
95-91-196-89.dynip.superkabel.de sollte gehen.

Eine solche Regel kenne ich nicht. Es gibt nur Hostnamen, Subdomains und Domains. Die Subdomain dynip.superkabel.de gibt es IMHO nicht. Auch bei mir hatte der Lookup des Hostnamens schon mal funktioniert, aber damals bekam ich die IP-Adressen noch aus einer anderen Range. In der Range 95.90.255.255-95.91.255.255 gibt es einfach keine A-Records im DNS. Diese muß der DNS Admin einfach nur in das Zonenfile eintragen.

Genau dies hatte ich allerdings festgestellt.
In den Logs meines IPCops kann ich genau nachvollziehen wann ich welchen Hostnamen hatte. Da ich weiss, ab wann ich auch ssh-Connect-Probleme hatte, muss ich nur diese beiden Zeitpunkte miteinander vergleichen.

IP und Hostnamensänderung: 08.03.2009 03:09:17 (OK, da schlafe ich normalerweise)
SSH Problem: 08.03.2009 10:27:54

Bin man gespannt wann meine Mails an dns-admin@kabeldeutschland.de beantwortet werden. Und ob diese Zonenfiles mal richtig geschrieben werden.

Heppa, da jage ich heute abend auch nochmals eine Mail hin.

Ich bitte darum! Vielleicht wachen die dann mal auf.

Dazu werde ich noch andere animieren eine e-Mail dahin zu schicken.

[klausf]

IP und Hostnamensänderung: 08.03.2009 03:09:17 (OK, da schlafe ich normalerweise)
SSH Problem: 08.03.2009 10:27:54

Ich bekam das erstemal am 31.3 eine IP aus dem Bereich 95.91.255.255. Aber auch bei den IP-Adressen vorher hatte ich nie eine Subdomain dynip.superkabel.de, sondern nur einen Hostnamen, dessen Namen "dynip" beinhaltete.
Die SSH Probleme rührten bei mir daher, da ich auf den Zielhosts eine /etc/hosts.deny mit dem Inhalt "ALL: PARANOID" hat:

# The PARANOID wildcard matches any host whose name does not match its address.

Na und wenn der Hostname nicht in eine IP aufgelöst werden kann, scheitert das SSH Login