<div dir="ltr"><div dir="ltr">Buenos días<div><br></div><div>Gracias sus respuestas, ya esta resuelto con las recomendaciones de Mauricio y Sebastián</div><div><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div></div><div>Saludos</div><div><br></div><div>Cristóbal Espinosa Muñoz</div><div>RedesEcuador</div><div>0984267814<br></div></div></div></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El mié., 24 jun. 2020 a las 20:32, <<a href="mailto:dns-esp-request@listas.nic.cl">dns-esp-request@listas.nic.cl</a>> escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Envíe los mensajes para la lista dns-esp a<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<br>
Para subscribirse o anular su subscripción a través de la WEB<br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
<br>
O por correo electrónico, enviando un mensaje con el texto "help" en<br>
el asunto (subject) o en el cuerpo a:<br>
<a href="mailto:dns-esp-request@listas.nic.cl" target="_blank">dns-esp-request@listas.nic.cl</a><br>
<br>
Puede contactar con el responsable de la lista escribiendo a:<br>
<a href="mailto:dns-esp-owner@listas.nic.cl" target="_blank">dns-esp-owner@listas.nic.cl</a><br>
<br>
Si responde a algún contenido de este mensaje, por favor, edite la<br>
linea del asunto (subject) para que el texto sea mas especifico que:<br>
"Re: Contents of dns-esp digest...". Además, por favor, incluya en la<br>
respuesta sólo aquellas partes del mensaje a las que está<br>
respondiendo.<br>
<br>
<br>
Asuntos del día:<br>
<br>
1. Problema con dnssec (Cristobal Alejandro Espinosa Muñoz)<br>
2. Re: Problema con dnssec (Mauricio Vergara Ereche)<br>
3. Re: Problema con dnssec (Sebastian Castro)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Wed, 24 Jun 2020 19:48:52 -0500<br>
From: Cristobal Alejandro Espinosa Muñoz <<a href="mailto:cespinosa@redesecuador.com" target="_blank">cespinosa@redesecuador.com</a>><br>
To: <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
Subject: Problema con dnssec<br>
Message-ID:<br>
<<a href="mailto:CANWi4z6-7TFxeNi7sPfj0Fa9wkGt1fP%2BfQbMuFYUTt5AzL1aQA@mail.gmail.com" target="_blank">CANWi4z6-7TFxeNi7sPfj0Fa9wkGt1fP+fQbMuFYUTt5AzL1aQA@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Buenas noches<br>
<br>
Quería pedir su ayuda con un problema que tengo con dnssec, al momento<br>
tengo 5 servidores dns para mi dominio <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a> un master y los<br>
otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que<br>
es diferente al resto, la configuración en los slave son todas iguales, e<br>
reiniciado varias veces y no hay forma de que los 5 servidores tengan el<br>
mismo SOA, el que tiene diferente es siempre el mismo<br>
<br>
Looks like your nameservers do not agree on the SOA serial. Ths SOA records<br>
as reported by your nameservers:<br>
*192.73.243.153 -> 2020060815*<br>
*209.177.156.190 -> 2020060823*<br>
*107.161.30.224 -> 2020060815*<br>
*209.177.145.237 -> 2020060815*<br>
*168.235.108.34 -> 2020060815*<br>
<br>
Estoy trabajando con bind-chroot en la version 9.x<br>
<br>
Si me pueden ayudar con este inconveniente<br>
<br>
<br>
Saludos<br>
<br>
Cristóbal Espinosa Muñoz<br>
RedesEcuador<br>
0984267814<br>
------------ próxima parte ------------<br>
Se ha borrado un adjunto en formato HTML...<br>
URL: <<a href="https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/5cbaff56/attachment-0001.html" rel="noreferrer" target="_blank">https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/5cbaff56/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Wed, 24 Jun 2020 18:06:15 -0700<br>
From: Mauricio Vergara Ereche <<a href="mailto:mave@cero32.cl" target="_blank">mave@cero32.cl</a>><br>
To: Cristobal Alejandro Espinosa Muñoz <<a href="mailto:cespinosa@redesecuador.com" target="_blank">cespinosa@redesecuador.com</a>>,<br>
DNS en español <<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>><br>
Subject: Re: [dns-esp] Problema con dnssec<br>
Message-ID:<br>
<<a href="mailto:CAAk_VVhxdox9xu4QRAMi9TWUHFLFLa4en00ZDVVQ9hvh4MEkcQ@mail.gmail.com" target="_blank">CAAk_VVhxdox9xu4QRAMi9TWUHFLFLa4en00ZDVVQ9hvh4MEkcQ@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Hola Cristobal,<br>
<br>
Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC, sino<br>
con cómo se están comunicando tus servidores autoritativos entre el master<br>
y los slaves y entre medio se desincronizó uno de ellos.<br>
<br>
Tu query se puede ver de la misma manera que tienes en tu ejemplo:<br>
<br>
dig <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a> +nssearch<br>
SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060823 3600 600<br>
1209600 3600 from server 209.177.156.190 in 46 ms.<br>
SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
1209600 3600 from server 107.161.30.224 in 52 ms.<br>
SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
1209600 3600 from server 192.73.243.153 in 67 ms.<br>
SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
1209600 3600 from server 168.235.108.34 in 72 ms.<br>
SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
1209600 3600 from server 209.177.145.237 in 74 ms.<br>
<br>
Esto significa que tu servidor autoritativo secundario <a href="http://ns2.redesecuador.com" rel="noreferrer" target="_blank">ns2.redesecuador.com</a>.<br>
tiene una zona más nueva.<br>
<br>
El fix más rápido:<br>
<br>
Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy<br>
2020062400) en tu servidor primario y fuerza una recarga de zona (con BIND<br>
sería `rndc reload <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a>`, en NSD sería `nsd-control reload<br>
<a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a>`, en Knot-DNS sería `knotc zone-reload <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a>`)<br>
eso va a forzar un NOTIFY a los secundarios y ellos deberían actualizarse.<br>
<br>
Saludos!<br>
<br>
<br>
<br>
On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via<br>
dns-esp <<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>> wrote:<br>
<br>
><br>
><br>
><br>
> ---------- Forwarded message ----------<br>
> From: "Cristobal Alejandro Espinosa Muñoz" <<a href="mailto:cespinosa@redesecuador.com" target="_blank">cespinosa@redesecuador.com</a>><br>
> To: <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> Cc:<br>
> Bcc:<br>
> Date: Wed, 24 Jun 2020 19:48:52 -0500<br>
> Subject: Problema con dnssec<br>
> Buenas noches<br>
><br>
> Quería pedir su ayuda con un problema que tengo con dnssec, al momento<br>
> tengo 5 servidores dns para mi dominio <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a> un master y los<br>
> otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que<br>
> es diferente al resto, la configuración en los slave son todas iguales, e<br>
> reiniciado varias veces y no hay forma de que los 5 servidores tengan el<br>
> mismo SOA, el que tiene diferente es siempre el mismo<br>
><br>
> Looks like your nameservers do not agree on the SOA serial. Ths SOA<br>
> records as reported by your nameservers:<br>
> *192.73.243.153 -> 2020060815*<br>
> *209.177.156.190 -> 2020060823*<br>
> *107.161.30.224 -> 2020060815*<br>
> *209.177.145.237 -> 2020060815*<br>
> *168.235.108.34 -> 2020060815*<br>
><br>
> Estoy trabajando con bind-chroot en la version 9.x<br>
><br>
> Si me pueden ayudar con este inconveniente<br>
><br>
><br>
> Saludos<br>
><br>
> Cristóbal Espinosa Muñoz<br>
> RedesEcuador<br>
> 0984267814<br>
><br>
><br>
><br>
> ---------- Forwarded message ----------<br>
> From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <<br>
> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>><br>
> To: <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> Cc:<br>
> Bcc:<br>
> Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)<br>
> Subject: [dns-esp] Problema con dnssec<br>
> _______________________________________________<br>
> dns-esp mailing list<br>
> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
><br>
<br>
<br>
-- <br>
Mauricio Vergara Ereche<br>
<a href="http://about.me/mave" rel="noreferrer" target="_blank">about.me/mave</a><br>
------------ próxima parte ------------<br>
Se ha borrado un adjunto en formato HTML...<br>
URL: <<a href="https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/6b66a416/attachment-0001.html" rel="noreferrer" target="_blank">https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/6b66a416/attachment-0001.html</a>><br>
<br>
------------------------------<br>
<br>
Message: 3<br>
Date: Thu, 25 Jun 2020 13:32:10 +1200<br>
From: Sebastian Castro <<a href="mailto:sebas@requin.cl" target="_blank">sebas@requin.cl</a>><br>
To: Mauricio Vergara Ereche <<a href="mailto:mave@cero32.cl" target="_blank">mave@cero32.cl</a>>, DNS en español<br>
<<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>><br>
Cc: Cristobal Alejandro Espinosa Muñoz <<a href="mailto:cespinosa@redesecuador.com" target="_blank">cespinosa@redesecuador.com</a>><br>
Subject: Re: [dns-esp] Problema con dnssec<br>
Message-ID:<br>
<<a href="mailto:CAD4ck1Y4ec6op%2B2VTGjrvPmrrWM38gH83V7H1AnCushb17k9Yw@mail.gmail.com" target="_blank">CAD4ck1Y4ec6op+2VTGjrvPmrrWM38gH83V7H1AnCushb17k9Yw@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
Hola Cristobal:<br>
<br>
Sumando a lo que comento Mauricio, seria util saber cual es el maestro y<br>
cuales los esclavos. Yo sospecho que, dado que <a href="http://ns5.redesecuador.com" rel="noreferrer" target="_blank">ns5.redesecuador.com</a> es el<br>
unico con el serial mas alto, que ese es el maestro.<br>
<br>
Durante la operacion normal de un esquema de maestro y esclavos, un cambio<br>
en el maestro con el correspondiente ajuste en el serial, y la recarga de<br>
la zona (rndc reload) deberia enviar mensajes NOTIFY a los esclavos para<br>
que transfieran la zona nueva.<br>
<br>
Puedes intentar conectandote a uno de los servidores con el serial atrasado<br>
y ejecutar *rndc retransfer <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a> <<a href="http://redesecuador.com" rel="noreferrer" target="_blank">http://redesecuador.com</a>>* y<br>
ver si eso fuerza la actualizacion. Dependiendo de este resultado, habria<br>
que ver si hay errores de comunicaciones entre el esclavo y el maestro, o<br>
error de configuracion, o falla de los NOTIFY.<br>
<br>
<br>
Buena suerte!<br>
<br>
On Thu, 25 Jun 2020 at 13:06, Mauricio Vergara Ereche via dns-esp <<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>> wrote:<br>
<br>
> Hola Cristobal,<br>
><br>
> Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC, sino<br>
> con cómo se están comunicando tus servidores autoritativos entre el master<br>
> y los slaves y entre medio se desincronizó uno de ellos.<br>
><br>
> Tu query se puede ver de la misma manera que tienes en tu ejemplo:<br>
><br>
> dig <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a> +nssearch<br>
> SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060823 3600 600<br>
> 1209600 3600 from server 209.177.156.190 in 46 ms.<br>
> SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
> 1209600 3600 from server 107.161.30.224 in 52 ms.<br>
> SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
> 1209600 3600 from server 192.73.243.153 in 67 ms.<br>
> SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
> 1209600 3600 from server 168.235.108.34 in 72 ms.<br>
> SOA <a href="http://ns1.redesecuador.com" rel="noreferrer" target="_blank">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com" rel="noreferrer" target="_blank">root.redesecuador.com</a>. 2020060815 3600 600<br>
> 1209600 3600 from server 209.177.145.237 in 74 ms.<br>
><br>
> Esto significa que tu servidor autoritativo secundario<br>
> <a href="http://ns2.redesecuador.com" rel="noreferrer" target="_blank">ns2.redesecuador.com</a>. tiene una zona más nueva.<br>
><br>
> El fix más rápido:<br>
><br>
> Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy<br>
> 2020062400) en tu servidor primario y fuerza una recarga de zona (con BIND<br>
> sería `rndc reload <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a>`, en NSD sería `nsd-control reload<br>
> <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a>`, en Knot-DNS sería `knotc zone-reload <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a>`)<br>
> eso va a forzar un NOTIFY a los secundarios y ellos deberían actualizarse.<br>
><br>
> Saludos!<br>
><br>
><br>
><br>
> On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via<br>
> dns-esp <<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>> wrote:<br>
><br>
>><br>
>><br>
>><br>
>> ---------- Forwarded message ----------<br>
>> From: "Cristobal Alejandro Espinosa Muñoz" <<a href="mailto:cespinosa@redesecuador.com" target="_blank">cespinosa@redesecuador.com</a>><br>
>> To: <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
>> Cc:<br>
>> Bcc:<br>
>> Date: Wed, 24 Jun 2020 19:48:52 -0500<br>
>> Subject: Problema con dnssec<br>
>> Buenas noches<br>
>><br>
>> Quería pedir su ayuda con un problema que tengo con dnssec, al momento<br>
>> tengo 5 servidores dns para mi dominio <a href="http://redesecuador.com" rel="noreferrer" target="_blank">redesecuador.com</a> un master y los<br>
>> otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que<br>
>> es diferente al resto, la configuración en los slave son todas iguales, e<br>
>> reiniciado varias veces y no hay forma de que los 5 servidores tengan el<br>
>> mismo SOA, el que tiene diferente es siempre el mismo<br>
>><br>
>> Looks like your nameservers do not agree on the SOA serial. Ths SOA<br>
>> records as reported by your nameservers:<br>
>> *192.73.243.153 -> 2020060815*<br>
>> *209.177.156.190 -> 2020060823*<br>
>> *107.161.30.224 -> 2020060815*<br>
>> *209.177.145.237 -> 2020060815*<br>
>> *168.235.108.34 -> 2020060815*<br>
>><br>
>> Estoy trabajando con bind-chroot en la version 9.x<br>
>><br>
>> Si me pueden ayudar con este inconveniente<br>
>><br>
>><br>
>> Saludos<br>
>><br>
>> Cristóbal Espinosa Muñoz<br>
>> RedesEcuador<br>
>> 0984267814<br>
>><br>
>><br>
>><br>
>> ---------- Forwarded message ----------<br>
>> From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <<br>
>> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>><br>
>> To: <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
>> Cc:<br>
>> Bcc:<br>
>> Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)<br>
>> Subject: [dns-esp] Problema con dnssec<br>
>> _______________________________________________<br>
>> dns-esp mailing list<br>
>> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
>> <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
>><br>
><br>
><br>
> --<br>
> Mauricio Vergara Ereche<br>
> <a href="http://about.me/mave" rel="noreferrer" target="_blank">about.me/mave</a><br>
><br>
> _______________________________________________<br>
> dns-esp mailing list<br>
> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
><br>
------------ próxima parte ------------<br>
Se ha borrado un adjunto en formato HTML...<br>
URL: <<a href="https://listas.nic.cl/pipermail/dns-esp/attachments/20200625/ce627917/attachment.html" rel="noreferrer" target="_blank">https://listas.nic.cl/pipermail/dns-esp/attachments/20200625/ce627917/attachment.html</a>><br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
<br>
<br>
Fin de Resumen de dns-esp, Vol 70, Envío 3<br>
******************************************<br>
</blockquote></div></div>