问题[dns](ubuntu)

我有两个 Ubuntu 24.04 系统，均通过 OpenVPN 连接到远程站点。OpenVPN 服务器配置为在远程站点推送自己的 DNS，并可通过 VPN 访问，并为远程端系统提供 RR。

其中一个客户端是 GUI 桌面系统，通过网络管理器配置了 OpenVPN。在此系统上，远程网络上的系统的 FQDN 解析毫无问题。

另一台服务器没有 GUI，我使用手动生成的配置文件设置了 OpenVPN。当我连接第二个客户端时，远程网络上的名称无法解析。我可以 ping 远程网络上的 IP 地址，nslookup在指示使用 VPN 上的 DNS 服务器后，我可以运行并查找私有 FQDN nslookup，但常规名称解析（例如按名称 ping 系统时）不起作用。

仅控制台系统上的配置文件：

client
remote '<PEER>'
ca '/etc/ssl/certs/chain_cert.pem'
cert '/etc/ssl/certs/<FQDN>_cert.pem'
key '/etc/ssl/private/<FQDN>_key.pem'
data-ciphers [REDACTED]
cipher [REDACTED]
auth [REDACTED]
dev tun
proto udp
verify-x509-name '<PEER>' name
tls-auth '/etc/openvpn/ssl/statickey.pem' 1
nobind
auth-nocache
script-security 2
persist-key
persist-tun
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

此手动配置适用于旧版 Debian，但不适用于 Ubuntu 24.04。

当我连接第二个客户端时，远程网络上的名称无法解析（resolvectl query给出Name '<FQDN>' not found），而在 GUI 客户端上一切正常。

resolvectl status在 GUI 客户端上给出以下内容：

Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: stub

Link 2 (enp0s25)
    Current Scopes: none
         Protocols: -DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Link 3 (wlo1)
    Current Scopes: DNS
         Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: (local DNS server)
       DNS Servers: (local DNS server)
        DNS Domain: local

Link 4 (virbr0)
    Current Scopes: none
         Protocols: -DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Link 5 (anbox0)
    Current Scopes: none
         Protocols: -DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Link 7 (tun0)
    Current Scopes: DNS
         Protocols: -DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: (remote DNS server)
       DNS Servers: (remote DNS server)
        DNS Domain: (private domains)

在仅限控制台的系统上：

Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: stub

Link 2 (eth0)
    Current Scopes: DNS
         Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: (local DNS server)
       DNS Servers: (remote DNS server) (local DNS server)
        DNS Domain: (private domains)

Link 3 (wlan0)
    Current Scopes: none
         Protocols: -DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Link 4 (tun0)
    Current Scopes: DNS
         Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: (remote DNS server)
       DNS Servers: (remote DNS server)

我在 ServerFault 上找到了一个答案，它建议使用nmcli，但该工具是的一部分network-manager，而该系统上未安装。

怎么回事？

我需要添加第二个名称服务器。我可以在 resolve.conf 中临时添加，但我想要一个重启后仍然有效的解决方案。

当自动关闭时，设置 GUI 会填写 DNS，但这似乎没有任何作用。

我希望首先处理传入的 DNS 查询，并且仅在 dnsmasq 本身没有答案时才dnsmasq将问题转发。systemd-resolved

要非常清楚：我知道如何禁用systemd-resolved“DNSStubListener”，所以这dnsmasq是我的系统上运行的唯一DNS 服务器，但这不是我要问的。

据我所知，这意味着我需要systemd-resolved运行 的存根解析器，但我还需要确保在响应systemd-resolved之前不会响应入站 DNS 查询dnsmasq。但是该怎么做呢？

（至于原因：我想使用 DHCP 指向的 DNS 服务器进行“正常”的 Internet 流量，这意味着我无法在dnsmasq配置文件中对上游 DNS 服务器进行硬编码。但我还想处理dnsmasqDNS 阻止、本地运行的虚拟机的特殊主机名、通过 VPN 连接路由部分但不是全部流量，或类似情况。）

我是否可以对 使用“DNSStubListener=no”选项systemd-resolved，同时定义“DNSStubListenerExtra=....”，使用 localhost 作为 IP 地址，但使用非标准端口号，并使用该地址作为dnsmasq的主上游 DNS 服务器？这种设置是否稳定？

编辑（在已经提供答案之后）：这是在 Ubuntu 24.04 桌面上。

我刚刚将我的 Ubuntu 22.04 升级到 23.10，然后升级到 24.04。

他们停止解析 DNS 查询。

他们正在使用 systemd-resolved 和 resolvconf。

我有兴趣让我的 Bind9 服务器 DOH 做好准备并阅读任何配置示例。然后我读到：bind9 DOH 被设计为仅在客户端和本地bind9 服务器之间工作，而不是在本地bind9 和配置的转发器之间工作。那是对的吗？

我有一个运行 svn、duplicati、rdp 转发和 ssh 访问的 ubuntu 服务器（Ubuntu 22.04 LTS）。我的问题是我无法解析我们网络内外的主机名。 sudo apt update无法与启用的 ufw 一起使用。当我禁用 ufw 时，可以下载更新。我允许 ufw 中的端口 53（udp 和 tcp）：

Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       10.7.3.0/24
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
443/tcp                    ALLOW       Anywhere
4343/udp                   ALLOW       10.7.3.0/24
8200/tcp                   ALLOW       10.7.3.0/24
3389/tcp                   ALLOW       Anywhere
3389/udp                   ALLOW       Anywhere
53/tcp                     ALLOW       193.175.120.18
53/udp                     ALLOW       193.175.120.18
53/udp                     ALLOW       193.175.120.17
53/tcp                     ALLOW       193.175.120.17

10.7.3.0/24 22             ALLOW OUT   Anywhere
10.7.3.0/24 3389           ALLOW OUT   Anywhere
53/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere

通过IP表我实现了端口转发：

*nat
:PREROUTING ACCEPT [0:0]
#forward rdp to cbs-rechner
-A PREROUTING -i eno1 -p tcp --dport 3389 -j DNAT --to-destination 10.7.3.23:3389
-A PREROUTING -i eno1 -p udp --dport 3389 -j DNAT --to-destination 10.7.3.23:3389
#setup routing
-A FORWARD -p tcp --dport 3389 -j ACCEPT
-A FORWARD -p udp --dport 3389 -j ACCEPT

COMMIT

这是我放在*filter-section之前的内容

的输出 time dig 193.175.120.17 是

;; communications error to 127.0.0.53#53: timed out
;; communications error to 127.0.0.53#53: timed out
;; communications error to 127.0.0.53#53: timed out

; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> 193.175.120.17
;; global options: +cmd
;; no servers could be reached


real    0m15,032s
user    0m0,006s
sys     0m0,007s

当我执行时 sudo apt update，我在 /var/log/syslog 中有条目：

Dec 12 09:24:26 rt-mw-svn-server kernel: [ 2921.895959] [UFW BLOCK] IN=eno1 OUT= MAC=98:90:96:c0:09:da:00:10:f3:92:d7:f7:08:00 SRC=193.175.120.17 DST=10.15.0.12 LEN=292 TOS=0x00 PREC=0x00 TTL=63 ID=12340 PROTO=UDP SPT=53 DPT=42188 LEN=272
Dec 12 09:24:47 rt-mw-svn-server kernel: [ 2941.916869] [UFW BLOCK] IN=eno1 OUT= MAC=98:90:96:c0:09:da:00:10:f3:92:d7:f7:08:00 SRC=193.175.120.17 DST=10.15.0.12 LEN=152 TOS=0x00 PREC=0x00 TTL=63 ID=15731 PROTO=UDP SPT=53 DPT=40610 LEN=132

有趣的是，日志中的目标端口（DPT）在每个条目中都是不同的。所以当然允许53端口是没有用的。但是我怎样才能允许来自我的 DNS 的传入数据包呢？我已经检查过网络了。DNS 肯定有响应。先感谢您

新发现： 使用 sudo ufw enable 启用 ufw 时，出现错误：

sudo ufw enable 命令可能会中断现有的 ssh 连接。继续操作 > (y|n)? y 错误：运行 ufw-init iptables-restore 时出现问题：第 21 行失败

运行“/etc/ufw/before.rules”时出现问题

第 21 行是COMMITIP 表行。并且有解决方案的提示。

我正在尝试弄清楚如何将其他域添加到我的 DNS 服务器，正如我遵循本教程一样：

https://tecadmin.net/configure-dns-server-on-ubuntu-linuxmint/

谁能解释并告诉我如何向我的服务器添加更多域，以便我可以使用我的 apache 服务器托管它们？（我知道术语“主机”不是正确的）

我猜它只是复制这两行并在 /etc/bind/example.net.zone 中添加其他域（并将名称服务器设置为 ns1.example.net），但真的是这样吗？

myotherdomain.net.          IN        A       server's_ip
www                   IN        CNAME   myotherdomain.net.

祝大家美好的一天。发出命令： nslookup kafka.zxc.stage @dns1.prod 有时我会得到答案 - ;; 连接超时; 无法访问服务器

例如，当我每秒运行一个命令时，6 秒内有 6 个请求。部分答案“无法访问服务器”。

我觉得这很奇怪。我决定使用 tcpdump 实用程序进行查看。我举两个例子。当 nslookup 返回 A 记录并且“无法访问任何服务器”时。

一切安好。响应返回到控制台 -

3926 IP (tos 0x0, ttl 64, id 40303, offset 0, flags [none], proto UDP (17), length 202) 
dns-int.prod > kafka.zxc.stage.33173: [bad udp cksum 0x4e30 -> 0x6909!] 14677* q: A? kafka.stage. 2/2/2 kafka.stage. [10m] CNAME kafka.zxc.stage., kafka.zxc.stage. [10m] A 100.200.40.22 ns: stage.zone. [30m] NS dns2-int.prod., stage.zone. [30m] NS dns-int.prod . ar: dns-int.prod . [1h] A 100.100.100.200, dns2-int.prod. [30m] A 100.100.100.100 (174)

发送下一个请求，大约等待2-3秒，控制台返回“;;连接超时；无法到达服务器”-

4662 IP (tos 0x0, ttl 64, id 40543, offset 0, flags [none], proto UDP (17), length 129) 
dns-int.prod > kafka.zxc.stage.52157: [bad udp cksum 0x4de7 -> 0x6fe7!] 53* q: AAAA? kafka.zxc.stage. 0/1/0 ns: stage.zone. [4d] SOA dns1.prod. admindn.mail.(101)

据我了解，A记录适用于IPv4，而AAAA记录适用于IPv6。

我仍然不明白他为什么要尝试以这种方式发送请求。如果有人能指出我寻找解决方案的方向，我将非常高兴。我也会寻找解决方案。谢谢。

所有这一切，如果我向 dns1 发送 nslookup 不间断请求，dns2（从属）不会有错误。

nslookup 到 dns1 的示例 -

 # nslookup kafka.zxc.stage 100.100.100.100
Server:     100.100.100.100
Address:    100.100.100.100#53

kafka.zxc.stage canonical name = kafka.stage.
Name:   kafka.zxc.stage
Address: 100.200.40.22
;; connection timed out; no servers could be reached

发送答案，但连接超时？或者

# nslookup kafka.zxc.stage 100.100.100.100
;; connection timed out; no servers could be reached

这就是浮动问题。

时间太长了，我正在检查它

for i in {0..5}; do time dig @100.100.100.100 +short kafka.zxc.stage ; done 2>&1 | grep real
real    0m5.018s
real    0m5.012s
real    0m0.016s
real    0m0.013s
real    0m5.015s
real    0m10.021s

指定的配置未更改。但操作系统配置发生了变化。我正在进一步检查

Ubuntu/Linux 初学者，所以我想知道是否有任何方法可以强制 Ubuntu 在解析名称时更喜欢 IPv4 或 IPv6（例如：google.com 有 ipv4 和 ipv6 地址。是否有任何设置允许我说 IPv6当某些应用程序要求使用该名称时，应该优先于 IPv4？）

谢谢。

安装了 22.04 LTS，一切都很顺利。我不是 Linux 专家，但遵循LinuxTechi 安装服务的指示。

Bind9/Named 拒绝启动，出现以下错误。我不知道是什么原因造成的或如何解决它。如果有人能给我指出正确的方向，我愿意进行研究和阅读。

- - - - - - - - - - 错误 - - - - - - - - -

 named.service - BIND Domain Name Server
     Loaded: loaded (/lib/systemd/system/named.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Fri 2023-07-07 17:44:37 UTC; 46s ago
       Docs: man:named(8)

    Process: 3922821 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=1/FAILURE)
        CPU: 25ms

Jul 07 17:44:37 cazserver systemd[1]: named.service: Scheduled restart job, restart counter is at 5.
Jul 07 17:44:37 cazserver systemd[1]: Stopped BIND Domain Name Server.
Jul 07 17:44:37 cazserver systemd[1]: named.service: Start request repeated too quickly.
Jul 07 17:44:37 cazserver systemd[1]: named.service: Failed with result 'exit-code'.
Jul 07 17:44:37 cazserver systemd[1]: Failed to start BIND Domain Name Server.

--------------------结束错误--------------------