BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

¿Cómo reportar a Quad9 errores en la resolución DNS de ciertos dominios?

1
elcompartidor
1

El otro día me rompí la cabeza al buscar por qué no iban ciertas aplicaciones en mi ordenador (Manjaro Linux).

Estas eran Citrix y una app que sustituye a GlobalProtect y es de código libre. Yo, al principio, y durante horas, estuve escudriñando qué podía pasar, siempre echándole las culpas a usar una distro como Manjaro y no Windows que todo iba sin problemas. Bueno, me voy al grano sin decir más cosas entre medio, al final resultó que el problema no radicaba en el sistema, ni PC, ni red, ni distro, ni si era o no Linux ni los programas. ¡Eran las DNS!

Resulta que al usar las DNS 9.9.9.11 y la secundaria del mismo tipo, los dominios usados (ambos de la misma empresa), tanto como para Citrix como para la VPN de GlobalProtect, no se resolvían. Los dominios no existían con esas DNS. Fue cambiarlos al 8.8.8.8 y 8.8.4.4.4 y magia, todo iba bien tal y como me iba en Windows en el trabajo.

Por eso, aquí la cuestión, ¿cómo reporto a la empresa de los DNS que fallan con algunos dominios? En este caso IBM por los Quad9.

Actualización

Quad9 me ha contestado. Era un error conocido ya con anterioridad, pero no pueden hacer nada al ser culpa del dominio de mi trabajo. Al parecer han intentado contactar con los administradores de la parte de red pero no saben si lo harán.

Esto han contestado:

It looks like the domain's authoritative DNS servers are returning non-compliant EDNS responses, which are causing queries to SERVFAIL using our .11 (ECS) service:

I'm afraid there's no way for Quad9 to resolve this. The domain administrators forxxxxxxxxxxx must fix this.

I've e-mailed the xxxxxxxxxxxxxxxxxx network operations center and informed them of this issue, but I do not know if they will respond or resolve this.

I'll let you know if/when we hear back from them

Estoy pensando en si dar más información del dominio aunque sea casi decir donde trabajo, lo pensaré. Pero bueno, yo creo que con esto tenéis más que suficiente para vuestra curiosidad jajaj.

elcompartidor

Hecho. Diré los resultados

Bramante

al usar las DNS 9.9.9.11

quad9 únicamente te va a contestar con aquello que le dice el servidor autoritativo, tal como haya configurado éste el propietario del dominio.

Tu problema seguramente radique en que a diferencia de 9.9.9.9, 9.9.9.11 valida DNSSEC y si esta comprobación no es correcta, no ofrece respuesta alguna.

Edito: Como comenta @lordman,, ambas direcciones validan DNSSEC, pero .11 además filtra resultados.

🗨️ 14
lordman
2

.9 y .11 los dos validan dnssec.

Yo lo primero miraría a ver si los dominios que dice están marcados como malware.

🗨️ 5
Bramante

Cierto, 9.9.9.11 se diferencia en que incluye soporte EDNS y filtra por listados de malware.

En su momento entendí que .11 solo se diferenciaba en validar DNSSEC.

🗨️ 2
lordman

Malware filtran también los dos, el .11 añade ECS, cosa que el .9 no tiene y por ello lo consideran más privado.

Te estás confundiendo con el .10, sin dnssec y sin filtro malware.

En el caso de este usuario, casi seguro, es que los dominios están marcados como malware.

🗨️ 1
elcompartidor

No, no están marcados como bloqueados

🗨️ 1
lordman

Si no están bloqueados raro me parece, ponte en contacto con Quad9 a ver qué te dicen.

Con lo que te contesten coméntalo por aquí, por curiosidad de que sucede.

elcompartidor

a que te refieres con filtrar? yo entendi que lo que hace es compartir mi IP con el servidor autoritativo del que hablamos, en casos de CDN precisamente para mejorar la IP o server que me de, y darme el más próximo.

POR cierto, ambos dominios funcionan con las 9.9.9.9 pero no funcionan con 9.9.9.11

Estoy valorando en realidad quitarlos y dejar los por defecto de ibm la verdad

🗨️ 7
Jean-Claude

Justo es eso, pasan la subnet de tu IP para resolver al servidor que esté mas próximo a ti en caso de que haya varios servidores para el dominio distribuidos geográficamente. Es raro lo que te ocurre.

Bramante

quad9 es un servidor DNS recursivo: Por ejemplo, tú le preguntas a 9.9.9.9 cómo llegar (cuál es la IP) a la web de miwebdedestino.com.

Pueden suceder dos cosas:

  • Que alguien haya hecho esa misma petición hace poco y quad9 tenga cacheada la IP de esa web, te da la respuesta correspondiente a la zona DNS A de ese dominio sin más.
  • Que quad9 no tenga esa información: Tendrá que solicitarla a un tercero que le dirá a qué servidor autoritativo ha de preguntar para obtener esa IP.

La ventaja que, sobre el papel, te puede ofrecer quad9 es tener muchos PoP (puntos de presencia) que pueden responder a tu petición y seguro que habrá alguno "cerca" de ti. Por otro, su capacidad de cacheo es grande y tendrá más posibilidades de conocer la respuesta a la pregunta que le hagas sin tener que escalar. O que, como tú comentas, en el caso de .11, ofrecer ECS y brindar cierta información del cliente al resolver para que pueda implementar algún tipo de inteligencia de red.

a que te refieres con filtrar?

Lo arriba expuesto es válido si el servicio vomita lo mismo que le indica el autoritativo, no modifica ni filtra nada (como debe ser, eso de que haya servidores DNS filtrando respuestas, siempre me ha chirriado mucho).

Pero 9.9.9.9 y 9.9.9.11 mantienen listados de sitios considerados peligrosos o malware. Por lo cual, si alguno de los dominios que intentas buscar, es considerado por quad9 como malware, no obtendrás respuesta a la petición de resolución.

ambos dominios funcionan con las 9.9.9.9 pero no funcionan con 9.9.9.11

Para esto no tengo respuesta. Porque según quad9, la única diferencia entre ellos dos es que uno implementa EDNS (.11) y el otro no.

🗨️ 5
lordman

Lo de que filtren resoluciones no te tiene por que chirriar, el tema está en que a ver que en entorno lo usas, si lo metes en una red de ordenadores con usuarios que toda seguridad es poca, pues va dpm, añades fácilmente y gratis una capa de seguridad mas. Pero claro, en un entorno que no necesites esa capa de seguridad mas, pues con Quad9, aunque sea muy raro verle dar un falso positivo, pues si sucede eso tienes que cambiar DNS, si quieres acceder a la web afectada, y notificarlo.

Quad9 como servicio gratuito va muy bien, es raro que te de un falso positivo o bloquee una web por error, pero claro, si pasa pues te puede ocasionar una molestia. Esto en depende que entorno no pasa nada, de momento que no accedan a esa web y punto, pero en otros entornos te puede ocasionar un problema.

Claro, esto si usas NextDNS/AdGuard/ControlD no hay pega, si te notifican un falso positivo pues lo metes en lista blanca.

Y lo ultimo que dices, pues asi es, aparentemente tienen un error, una web que resuelve .9 tiene que resolver tambien .11.

🗨️ 1
elcompartidor

Gracias!

Algo me olía de tanto leer pero tú explicCon es mucho mejor que otras

elcompartidor
2

por si tienes curiosidad, actualización

🗨️ 1
pepejil

Estoy pensando en si dar más información del dominio aunque sea casi decir donde trabajo, lo pensaré. Pero bueno, yo creo que con esto tenéis más que suficiente para vuestra curiosidad jajaj.

Y en vez de meter a Quad9 de por medio, no sería mejor reportar este fallo al personal autorizado de tu trabajo directamente?

Si no tienen ni idea de operar con EDNS o los despedís o directamente no uséis DNS extendido.

🗨️ 1
elcompartidor

En alguna empresa el servicio informático funciona correctamente y sin echar balones fuera?

Es que encima, supongo, que lo tienen externalizados, como yo, que también estoy externalizado… como no