Нужна помощь со вторичным днс

[Finalls]

Добрый день,
Не как не могу заставить отдать зоны вторичному серверу с bind9
В логах на первичном
Nov 25 14:47:58 webce named[19968]: client 10.0.0.21#11008: request has invalid signature: TSIG key1: tsig verify failure (BADKEY)

А на вторичном

zone **имя домена***/IN: refresh: failure trying master 10.0.0.7#53 (source 0.0.0.0#0): tsig indicates error

Уже всю голову сломал...
Гугл тоже не смог помочь:( может подскажет кто куда копать ???

[imperio]

Добрый день.
Укажите ОС на вашем сервере.

Пробовали отключать iptables ?

[Finalls]

Centos 6
После выключение iptables всё заработало... =)
Подскажите как это можно поправить dns вроде по 53 порту общается...

[Finalls]

Судя по правилам разрешающее для этого есть только чёй то не работает...

[Finalls]

Спустя 15 минут с отключенным iptables та же беда но не для всех доменов....
Для нового и 1 старого остальные вроде нормально проскачили... Странная ерунда какая то...

Логи с Primary после попытки запуска и сотановки iptables и запуска named

Code: Select all

Nov 25 15:38:53 webce named[32266]: zone i***tc.com/IN: sending notifies (serial 2014112501)
Nov 25 15:38:53 webce named[32266]: zone dc****.ru/IN: sending notifies (serial 2014112501)
Nov 25 15:38:53 webce named[32266]: zone default.domain/IN: sending notifies (serial 2014112501)
Nov 25 15:38:53 webce named[32266]: zone ****ls.ru/IN: sending notifies (serial 2014112508)
Nov 25 15:38:53 webce named[32266]: zone ****.****ls.ru/IN: sending notifies (serial 2014112503)
Nov 25 15:38:53 webce named[32266]: zone l***-*****s.ru/IN: sending notifies (serial 2014112503)
Nov 25 15:38:53 webce named[32266]: zone i***-***p.ru/IN: sending notifies (serial 2014112501)
Nov 25 15:38:54 webce named[32266]: client 212.*.*.#49835: request has invalid signature: TSIG key1: tsig verify failure (BADKEY)
Nov 25 15:40:26 webce named[32266]: client 212.*.*.#43227: request has invalid signature: TSIG key1: tsig verify failure (BADKEY)

А вот с secondary

Code: Select all

Nov 25 16:37:45 dns named[11015]: zone i***tc.com//IN: notify from 212.48.34.187#39491: zone is up to date
Nov 25 16:37:46 dns named[11015]: zone zone dc****.ru/IN: notify from 212.48.34.187#58994: zone is up to date
Nov 25 16:37:46 dns named[11015]: zone ****.****ls.ru/IN/IN: notify from 212.48.34.187#58994: zone is up to date
Nov 25 16:37:46 dns named[11015]: zone di***tc.com/IN: notify from 212.48.34.187#58994: zone is up to date
Nov 25 16:37:46 dns named[11015]: zone ****ls.ru/IN: refresh: failure trying master 212.*.*.#53 (source 0.0.0.0#0): 
Nov 25 16:38:52 dns named[11015]: zone ****ls.ru/IN: refresh: failure trying master 212.*.*.#53 (source 0.0.0.0#0): tsig indicates error

[imperio]

Покажите конфиг named
/etc/named.conf

[Finalls]

Покажите конфиг named
/etc/named.conf

Code: Select all

options {
    directory<-><------>"/var/named";
    dump-file<-><------>"/var/named/data/cache_dump.db";
    pid-file<--><------>"/var/run/named/named.pid";
    statistics-file<--->"/var/named/data/named_stats.txt";
    version<---><------>"get lost";
    allow-transfer<---->{212.**.3*.1*6;};
    recursion<-><------>no;

};


#include "/etc/rndc.key";

zone "default.domain" {type master; file "/home/admin/conf/dns/default.domain.db";allow-transfer {10.0.0.21;};};
zone "***lls.ru" {type master; file "/home/Fi***/conf/dns/****ls.ru.db";};
zone "***-tc.com" {type master; file "/home/***-tc/conf/dns/***-tc.com.db";};
zone "***-***p.ru" {type master; file "/home/***-tc/conf/dns/***-***p.ru.db";};
zone "monitor.*****ls.ru" {type master; file "/home/*****ls/conf/dns/monitor.*****ls.ru.db";};
zone "dns.**-*c.ru" {type master; file "/home/***-tc/conf/dns/**-*c.ru.db";};
zone "l***-*****.ru" {type master; file "/home/ll***-*****/conf/dns/l***-*****.ru.db";};

[imperio]

Почему у вас allow-transfer два раза указан ?
Также для allow-transfer попробуйе указать временно any
Будет ли результат?

[Finalls]

Почему у вас allow-transfer два раза указан ?
Также для allow-transfer попробуйе указать временно any
Будет ли результат?

Это было для эксперементов.. поставил any заработало...
Поставил внутренние ip адресса тоже работает.. (Загадка)
Осталось разобраться с фаерволом с ним не работает =( хотя правило есть
ACCEPT UDP / DNS 53 0.0.0.0/0

И собственно логи с вторичного днс с выуключенным фаерволом

Code: Select all

Nov 26 09:02:01 dns named[16690]: zone testing.ru/IN: Transfer started.
Nov 26 09:02:01 dns named[16690]: transfer of 'testing.ru/IN' from 10.0.0.7#53: connected using 10.0.0.21#56653
Nov 26 09:02:01 dns named[16690]: zone testing.ru/IN: transferred serial 2014112601
Nov 26 09:02:01 dns named[16690]: transfer of 'testing.ru/IN' from 10.0.0.7#53: Transfer completed: 1 messages, 11 records, 311 bytes, 0.001 secs (311000 bytes/sec)

А вот с включенным

Code: Select all

Nov 26 09:08:01 dns named[16690]: zone testing.ru/IN: Transfer started.
Nov 26 09:10:08 dns named[16690]: transfer of 'testing.ru/IN' from 10.0.0.7#53: failed to connect: timed out
Nov 26 09:10:08 dns named[16690]: transfer of 'testing.ru/IN' from 10.0.0.7#53: Transfer completed: 0 messages, 0 records, 0 bytes, 127.213 secs (0 bytes/sec)
Nov 26 09:10:09 dns named[16690]: zone testing.ru/IN: refresh: skipping zone transfer as master 10.0.0.7#53 (source 0.0.0.0#0) is unreachable (cached)

[Finalls]

Эммс разобрался добавил правило для ip 10.0.0.21
по TCP и UDP протоколам и заработало !!!

Спасибо за помощь...