Gandi.net Groups

DNS: port 53/problemes de DNS ???

You should be logged in to post new messages. Create an account.

bonjour a tous, et a toutes - 

j'ai enregistre un domaine avec gandi.net. mon serveur est aux usa, j'ai
pleins de domaines, et je reside aux us et en france la moitie de
l'annee. 

quand j'essaie de definir mon DNS (avec mosso.com), je recois l'erreur
suivante : 

zonecheck failed, port 53 tcp not listening. 

et ca me remet les dns de gandi par defaut. ca m'aide pas du tout ca. 

ce qui m'intrigue, c'est que mes sites qui marchent tout a fait
normalement ne passe pas le zone check non plus : ca me donne la meme
erreur alors que le site est fonctionnel depuis pres de 3 ans !!!

mon dns c'est dns1.stabletransit.com et dns2.... - ca passe pas. j'ai
tout essaye et ca commence a me courir le haricot. 

que faire ? 

toutes suggestions bienvenues.... 

si je peux pas etre avec mon propre serveur, je vais devoir transferer
le domaine vers un autre registre. vous recommendez quelqu'un qui
autorise les serveurs a l'etranger ? 

c'est un desastre jusque la, et ca m'etonne pas que je fais du business
aux us - en 2h la bas je peux avoir un site qui tourne. ca fait 3 jours
que j'essaie de faire passer mon DNS. 

desespere, 

kaz
Bonsoir,

Quel est le domaine, ou le compte Gandi qui y est lié ?
\o/ Jonathan
  Gandi.Net
en l'occurence c'est www.raad.fr - 
je vois pas comment passer le zonecheck. 
j'avais jamais eu affaire a ca avant, comme j'avais des .com et des
.net, meme un .org - mais .fr c'est la galere. 

zonecheck dis que mon serveur dns n'ecoute pas en tcp sur le port 53. 
mais tout marche comme il faut et je m'en sers pour 17-18 autres
domaines sans probleme...

que conseillez vous - 

kr424-gandi 

On Feb, 11 2008 22:02 CET, Jonathan (Gandi) wrote:
Bonsoir,

Quel est le domaine, ou le compte Gandi qui y est lié ?
Il vous faut ouvrir le port 53 UDP sur votre parefeu (seul le port 53 
TCP doit être ouvert actuellement).
\o/ Jonathan
  Gandi.Net
On Feb, 13 2008 10:26 CET, Jonathan (Gandi) wrote:
Il vous faut ouvrir le port 53 UDP sur votre parefeu (seul le port 53 
TCP doit être ouvert actuellement).
non malheureusement les deux types de ports sont ouverts. c'est l'afnic
qui me nargue avec son zonecheck a deux balles et moi je perds du temps
precieux. j'ai lu pleins de forums, tout le monde a ce probleme avec les
fichus .fr - c'est pour ca que je me contente .com d'habitude mais dans
ce cas j'ai pas le choix... 

y'a vraiment rien a faire ? 

aussi qq a suggere que j'utilise VOTRE DNS et que le site en question
pointe quand meme chez moi sur mon hebergeur... vous pouvez me donner
des instructions la dessus ? j'ai essaye de changer le zonefile mais
c'est pas passé comme il fallait apparemment. je veux bien rester avec
votre DNS, mais je veux heberger le site, le courrier et tout le reste
en fait chez moi. je veux juste passer outre ce fichu probleme de DNS. 

help? 

merci - 

k
Kaz Raad a écrit :
non malheureusement les deux types de ports sont ouverts. c'est
l'afnic
qui me nargue avec son zonecheck a deux balles et moi je perds du
temps
precieux. 
Si, l'AFNIC le dit, c'est forcément vrai :)
aussi qq a suggere que j'utilise VOTRE DNS et que le site en question
pointe quand meme chez moi sur mon hebergeur... vous pouvez me donner
des instructions la dessus ? j'ai essaye de changer le zonefile mais
c'est pas passe comme il fallait apparemment. je veux bien rester avec
votre DNS, mais je veux heberger le site, le courrier et tout le reste
en fait chez moi. je veux juste passer outre ce fichu probleme de DNS.
Ce tutoriel vous sera sûrement très utile:
http://www.gandi.net/faq/tutorial/570/util...
\o/ Jonathan
  Gandi.Net
On Feb, 13 2008 15:32 CET, Kaz Raad wrote:
non malheureusement les deux types de ports sont 
ouverts. 
Si vous le dites. Mais je suis sceptique, surtout que vous n'avez pas
donné les noms des serveurs en question (ce qui permettrait à tout le
monde de vérifier ou d'infirmer vos dires).
dans le monde informatique, tout le monde se prend pour un pro et parle
avec condescendence. 

mon dns c'est dns1.stabletransit.com et dn2.stabletransit.com. 

c'est pas moi qui regit ce serveur la, c'et mon hebergeur. 
telnet dns1.stabletransit.com 53 (entree)
retourne : 
Trying 69.20.72.211...
Connected to dns1.stabletransit.com.
Escape character is '^]'.

ce qui d'apres mon hebergeur (PAS MOI, MON HEBERGEUR) prouve que le port
53 est en ecoute. 

a l'heure qu'il est, j'ai contourne le probleme en utilisant le dns de
gandi et en modifiant la table zone completement. tout marche, mais ce
serait pratique pour moi de pouvoir simplement pointer vers mon DNS sans
avoir a modifier le zone file. de plus, gandi est gentil et offre le
service d'edition et maintenance complete du zone file, mais pas tout le
monde fait ca et du coup ca me rend un peu hotage de gandi, qui est bien
joli et bien gentil mais qui vend les domaines a 15 euros :) 

moi je ne suis pas entrain de refaire le monde ou de dire que je sais
tout, je n'y connais presque rien en DNS. mais mon hebergeur me certifie
maintes fois maintenant que le port 53 est bel et bien ouvert. 
en tcp et en udp. je ne peux que le croire. 

dites moi si vous trouvez autre chose, mais entre temps je suis content
car comme je l'ai indique je contourne le probleme en utilisant le zone
file. 

merci - 

kaz

On Feb, 15 2008 17:05 CET, Stéphane Bortzmeyer wrote:
On Feb, 13 2008 15:32 CET, Kaz Raad wrote:
non malheureusement les deux types de ports sont 
ouverts. 
Si vous le dites. Mais je suis sceptique, surtout que vous n'avez pas
donné les noms des serveurs en question (ce qui permettrait à tout
le
monde de vérifier ou d'infirmer vos dires).
d'ailleurs, mr stéphane, j'ai indiqué le dns dans le premier message,
clairement. 

alors allez y, infirmer a volonté. 

k

On Feb, 15 2008 17:05 CET, Stéphane Bortzmeyer wrote:
On Feb, 13 2008 15:32 CET, Kaz Raad wrote:
non malheureusement les deux types de ports sont 
ouverts. 
Si vous le dites. Mais je suis sceptique, surtout que vous n'avez pas
donné les noms des serveurs en question (ce qui permettrait à tout
le
monde de vérifier ou d'infirmer vos dires).
On Feb, 17 2008 02:28 CET, Kaz Raad wrote:
dans le monde informatique, tout le monde se prend pour un pro et
parle
avec condescendence. 
À en juger par vos messages, je crois que je suis en effet plus pro que
vous, ce qui n'a pas l'air trop difficile :-)
mon dns c'est dns1.stabletransit.com et dn2.stabletransit.com. 
Aucun des deux n'écoute en TCP :

 ~ % dig +tcp @dns1.stabletransit.com ANY raad.fr

; <<>> DiG 9.2.4 <<>> +tcp @dns1.stabletransit.com ANY raad.fr
;; global options:  printcmd
;; connection timed out; no servers could be reached

~ % dig +tcp @dns2.stabletransit.com ANY raad.fr 

; <<>> DiG 9.2.4 <<>> +tcp @dns2.stabletransit.com ANY raad.fr
;; global options:  printcmd
;; connection timed out; no servers could be reached
telnet dns1.stabletransit.com 53 (entree)
retourne : 
Trying 69.20.72.211...
Connected to dns1.stabletransit.com.
Escape character is '^]'.

ce qui d'apres mon hebergeur (PAS MOI, MON HEBERGEUR) prouve que le
port
53 est en ecoute. 
S'ils ont vraiment dit une énormité pareille, il est temps de changer
d'hebergeur.

telnet montre simplement que QUELQUE CHOSE écoute sur le port 53. Pas
forcément un serveur DNS (et, en effet, dig n'arrive pas à avoir une
réponse). 

Vous testez les serveurs Web avec telnet  et vous en déduisez que tout
marche ? Je suppose que vous jetez quand même un oeil à la réponse
qu'ils donnent aux questions HTTP ? Et bien, c'est pareil pour le DNS ?
Il ne suffit pas d'écouter, il faut encore répondre.
mon hebergeur me
certifie
maintes fois maintenant que le port 53 est bel et bien ouvert. 
en tcp et en udp. je ne peux que le croire. 
Vous avez tort de le croire.
whoa. je passe au tutoiement. 

t'es vraiment mesquin et sans raison, comme tout le monde dans ce
domaine. tu crois que parce que tu t'y connais en DNS ca va ameliorer le
monde. 

je n'ai jamais proclamé m'y connaitre. j'ai meme clairement ecrit "j'y
connais rien". c'est ca le but d'un forum, d'aider les gens, pas de les
humilier - y'a le college pour ca. 

si tu bosses pour gandi, tu n'es pas vraiment entrain de rendre service
a gandi, car les gens qui vont lire ce forum bien qu'ils diront que je
suis un cretin qui n'y connait rien, la majorite des gens qui auront
besoin d'aide parce que la majorite des gens n'y connaissent rien liront
que si ils ont une question ils prefereront rien demander par peur de se
faire humilier ou insulter. 

merci cela dit de me donner quelque chose de concret a relancer vers mon
hebergeur. (www.mosso.com - j'ai un compte gratuit avec eux, donc tant
que je peux tout faire marcher je reste :( - bien que je ferais l'effort
de leur faire savoir ton opinion a leur sujet) 
Vous testez les serveurs Web avec telnet  et vous en déduisez que
tout
marche ? Je suppose que vous jetez quand même un oeil à la réponse
qu'ils donnent aux questions HTTP ? Et bien, c'est pareil pour le DNS
?
Il ne suffit pas d'écouter, il faut encore répondre.
encore avec la condescendance. est ce vraiment necessaire ? afin de
sortir de ce cycle de denigration, j'etends mes sinceres excuses pour
avoir perdu mon sang froid dans ce bulletin quand j'ai indiqué que "ca
commencait a me courir sur le haricot" et que "le business aux US c'est
plus facile". j'avoue, c'etait pas tres diplomatique. 

donc - maintenant qu'on a tous les deux eu le temps de baisser notre
froc et de jouer au cowboy, on peut retourner a l'intention principale :
la resolution de ce probleme. 

je crois que tu jubiles a l'idee d'humilier les gens dans ce domaine
dans lequel tu as clairement passé pas mal de temps a t'eduquer et
apprendre. je t'avoue, je suis jaloux, mais en meme temps je crois que
si tu te contentais de m'aider au lieu de toujours pernicieusement
essayer de me faire comprendre que t'es mieux que moi, on aurait deja
resolu le probleme. 

enfin - bon. je te donne credit ou credit est du : tu t'y connais, et tu
m'as donne ce dont j'ai besoin pour parler a mon hebergeur. si tu as
d'autres suggestions / recommendations je te remercie d'avance. je
posterai ici ce qu'ils me disent quand je leur montre les logs du DIG. 

froidement, mais reconaissant - 

k
On Feb, 17 2008 18:09 CET, Kaz Raad wrote:
si tu bosses pour gandi, 
Non, pourquoi ? Comme indiqué sur leur site, le support de Gandi ne
bosse pas le dimanche.
merci cela dit de me donner quelque chose de concret a relancer vers
mon
hebergeur. (www.mosso.com 
******* CUT HERE ************
The two name servers dns1.stabletransit.com and dns2.stabletransit.com
do not reply to TCP queries. For instance:

 % dig +tcp @dns1.stabletransit.com ANY raad.fr.

; <<>> DiG 9.3.4 <<>> +tcp @dns1.stabletransit.com ANY raad.fr.
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

(The same query works with UDP. Tested from several sites.)

In case that's necessary, the relevant RFC is #1035 (p.32 4.2.
Transport)

Please fix the name servers. Thanks in advance.

******* CUT HERE ********
Stéphane, 

Merci. J'ai fait suivre l'info.

A bon entendeur, 

Kaz

(je vois que tu bosses pour l'afnic, ce qui explique tout ;) )
Stephane - 

Mon ami qui bosse a rackspace me dit : 

---
Ugh .... using UDP messaging is considered standard for name servers.
TCP is considered optional.  Mosso is in fact doing nothing wrong at
all.

I'll paste the relevant portion of that document here, with the
important bits highlighted with asterisks.  Note that the term
"datagrams" refers to UDP messages, not TCP.

---------------------------------

4.2. Transport

The DNS assumes that messages will be transmitted as datagrams or in a
byte stream carried by a virtual circuit.  While virtual circuits can be
used for any DNS activity, ****** datagrams are preferred for queries
due to
their lower overhead and better performance*******.  Zone refresh
activities
must use virtual circuits because of the need for reliable transfer.

The Internet supports name server access using TCP [RFC-793] on server
port 53 (decimal) as well as datagram access using UDP [RFC-768] on UDP
port 53 (decimal).

4.2.1. UDP usage

Messages sent using UDP user server port 53 (decimal).

Messages carried by UDP are restricted to 512 bytes (not counting the IP
or UDP headers).  Longer messages are truncated and the TC bit is set in
the header.

UDP is not acceptable for zone transfers, ******** but is the
recommended method
for standard queries in the Internet.********  Queries sent using UDP
may be
lost, and hence a retransmission strategy is required.  Queries or their
responses may be reordered by the network, or by processing in name
servers, so resolvers should not depend on them being returned in order.

The optimal UDP retransmission policy will vary with performance of the
Internet and the needs of the client, but the following are recommended:

  - The client should try other servers and server addresses
    before repeating a query to a specific address of a server.

  - The retransmission interval should be based on prior
    statistics if possible.  Too aggressive retransmission can
    easily slow responses for the community at large.  Depending
    on how well connected the client is to its expected servers,
    the minimum retransmission interval should be 2-5 seconds.

More suggestions on server selection and retransmission policy can be
found in the resolver section of this memo.

...

que faire maintenant ? peux tu m'expliquer en plus de details pourquoi
le transport tcp est necessaire pour les domaines en .fr ? 

kaz
On Feb, 18 2008 17:37 CET, Kaz Raad wrote:
Ugh .... using UDP messaging is considered standard for name
servers.  TCP is considered optional.
Ah non, curieuse idée.

La meilleure discussion que j'ai trouvé à ce sujet était sur
CircleID :

http://www.circleid.com/posts/afnic_dns_se...

On peut ignorer mes contributions et se concentrer sur celles de trois
experts, Jay Daley (directeur technique du ".uk"), Joe Abley (".org")
et Ed Lewis (".biz"). C'est pour montrer que ce n'est pas une question
spécifique au ".fr".

Autrement, l'exposé nippon qu'on peut trouver en
http://www.nanog.org/mtg-0410/pdf/toyama.p... est une excellente source
(transparents 18 à 21). Un hébergeur états-unien devrait apprécier
un
exposé fait à NANOG :-)
Stéphane Bortzmeyer a écrit :
La meilleure discussion que j'ai trouve a ce sujet etait sur
CircleID :

http://www.circleid.com/posts/afnic_dns_se...

On peut ignorer mes contributions et se concentrer sur celles de trois
experts, Jay Daley (directeur technique du ".uk"), Joe Abley (".org")
et Ed Lewis (".biz"). C'est pour montrer que ce n'est pas une question
specifique au ".fr".
Merci beaucoup Stéphane pour toutes ces précisions et documentations 
très intéressantes :)
\o/ Jonathan
  Gandi.Net
voici la reponse sans doute ultra-nulle de mon hebergeur, juste histoire
de fermer la boucle : 

---
Here is a report from our admin team.

$ dig +tcp @dns1.stabletransit.com ANY raad.fr

; <<>> DiG 9.4.1-P1 <<>> +tcp @dns1.stabletransit.com ANY raad.fr
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10176
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;raad.fr. IN ANY

;; ANSWER SECTION:
raad.fr. 3600 IN NS dns2.stabletransit.com.
raad.fr. 3600 IN NS dns1.stabletransit.com.
raad.fr. 3600 IN MX 20 mx2.emailsrvr.com.
raad.fr. 3600 IN MX 10 mx1.emailsrvr.com.
raad.fr. 3600 IN SOA dns.stabletransit.com.
ipadmin.stabletransit.com. 2008020601 10800 3600 604800 3600
raad.fr. 3600 IN A 64.49.219.218

;; Query time: 43 msec
;; SERVER: 69.20.72.211#53(69.20.72.211)
;; WHEN: Tue Feb 19 01:37:40 2008
;; MSG SIZE rcvd: 211

--

pour eux, ca veut dire que le port 53 TCP est en ecoute. :( 

he said she said. 

kaz