Project

General

Profile

Anomalie #3141

Permettre une résolution correcte DNS au local quand un serveur est down

Added by Frédéric Couchet over 3 years ago. Updated 3 days ago.

Status:
En cours de traitement
Priority:
Immédiate
Category:
-
Target version:
Start date:
05/07/2018
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

Pour un changement de disque le serveur Galanga a du être éteint. La résolution DNS ne se faisait plus au local quand le serveur était down.

Il faudrait donc permettre une résolution correcte DNS au local quand un serveur April est down.

History

#1

Updated by Frédéric Couchet over 3 years ago

  • Description updated (diff)
#2

Updated by Quentin Gibeaux over 3 years ago

Inspection : les machines du local ont guarana comme résolveur dns (via configuration DHCP), et guarana a comme résolveur DNS : lui même et 172.16.0.3 (dns.cluster.april.org). La range d'IP 172.16.0.0/16 est accessible via le VPN servi par galanga. Sans VPN il n'y a plus que 127.0.0.1 comme résolveur atteignable sur guarana.

-> configurer un unbound pour résoudre localement sur guarana ?

#3

Updated by Quentin Gibeaux over 3 years ago

Dans la conf bind de guarana, 172.16.0.3 est configuré comme forwarder, peut être faudrait-il désactiver ça.

#4

Updated by Quentin Gibeaux over 3 years ago

Ce "forwarder" semble nécessaire pour la résolution dns de la zone locale (april.org-int)

#5

Updated by Quentin Gibeaux over 3 years ago

J'ai procédé à quelques tests : l'inaccessibilité de 172.16.0.3 n'est pas le problème. Si on bloque les ports à sa destination, les rootservers sont bien interrogés.
Le problème vient plutôt du routage qui est forcé à travers le vpn qui est cassé sans galanga.

#6

Updated by François Poulain over 3 years ago

Je pense que le plus simple est probablement de coder un script cronné qui adapte la conf de bind.

#7

Updated by Quentin Gibeaux over 3 years ago

  • Assignee set to François Poulain
  • Target version changed from Mai 2018 to Juin 2018
#8

Updated by François Poulain over 3 years ago

Du coup je propose la chose suivante dans un cron :
  • on ping -q -c 1 172.16.0.3
  • en cas d'échec :
    • on averti les sysadmins
    • on bascule le forwarder sur le dns de la box
    • on restart bind (pour flusher le cache)

En théorie, une fois qu'on est sur le dns de la box, tout passe par l'extérieur et plus rien par le vpn (qui sera stuck en même temps que le ping).

La difficulté c'est de prévenir les sysadmins (pas de vpn donc on ne pourra pas faire de mail). Ceci étant :
  • en cas de chute de vpn une sonde doit alerter. On va en ajouter une sur guarana pour être sûr de ça.
  • en cas de chute de vpn icinga va voir tout rouge, ce qui va alerter les admins.
#9

Updated by François Poulain over 3 years ago

Bien sûr on fera une machine d'état, par ex. on déclenche si on n'arrive pas à pinguer 2 fois de suite à x min d'intervalle.

#10

Updated by Quentin Gibeaux over 3 years ago

  • Target version changed from Juin 2018 to Été 2018
#11

Updated by Frédéric Couchet over 3 years ago

  • Priority changed from Normale to Immédiate
#12

Updated by Frédéric Couchet over 3 years ago

Cette tâche devient vraiment prioritaire car il y a de nouveau un problème de résolution de DNS au local suite au reboot de galanga, le serveur ayant pourtant redémarré correctement a priori. Il faut s'assurer qu'elle soit faite le plus rapidement possible. Vu qu'elle ne sera pas faite pendant ce sprint. Eventuellement la réattribuer si François n'a pas le temps de s'en occuper pour le moment.

#13

Updated by Quentin Gibeaux over 3 years ago

14:07:32            QGuLL | madix: ça a l'air résolu : j'ai redémarré bind sur guarana : pas ok (bind hs), j'ai redémarré vpn, puis bind : pas ok (bind hs), j'ai redémarré vpn sur galanga, sur    │
                          | guarana, bind : pas ok (bind hs)                                                                                                                                        │
14:07:57            QGuLL | j'ai mis le dns de ffdn dans le resolv.conf de guarana, redémarrer bind : ok                                                                                            │
14:08:07            QGuLL | puis reviré le dns ffdn                                                                                                                                                 │
14:08:28            QGuLL | maintenant, sans ffdn bind redémarre correctement                                  
#14

Updated by Quentin Gibeaux over 3 years ago

On pourrait peut être modifier la procédure de reboot de galanga : ajouter le dns de ffdn sur le resolv.conf de guarana, rebooter galanga, enlever les dns de ffdn de guarana.

#15

Updated by Quentin Gibeaux over 3 years ago

Testé à l'instant, le dns ffdn a permis une continuité de service, mais n'était pas suffisant : j'ai dû restarter openvpn sur guarana et galanga pour pinger à nouveau 172.16.0.3 depuis guarana

#16

Updated by Quentin Gibeaux about 3 years ago

  • Target version changed from Été 2018 to Septembre 2018
#17

Updated by Quentin Gibeaux about 3 years ago

  • Target version changed from Septembre 2018 to Octobre 2018
#18

Updated by Quentin Gibeaux about 3 years ago

  • Target version changed from Octobre 2018 to Novembre 2018
#19

Updated by Quentin Gibeaux almost 3 years ago

  • Target version changed from Novembre 2018 to Backlog
#20

Updated by Quentin Gibeaux almost 3 years ago

  • Status changed from Nouveau to Fermé
#21

Updated by Quentin Gibeaux over 2 years ago

  • Status changed from Fermé to En cours de traitement
  • Assignee changed from François Poulain to Quentin Gibeaux
  • Target version changed from Backlog to Avril 2019

Rentre réellement indépendant -> sortir de la zone interne ?

#22

Updated by Quentin Gibeaux over 2 years ago

  • Target version changed from Avril 2019 to Mai 2019
#23

Updated by Quentin Gibeaux over 2 years ago

  • Target version changed from Mai 2019 to Juin 2019
#24

Updated by Quentin Gibeaux over 2 years ago

  • Target version changed from Juin 2019 to Été 2019
#25

Updated by Quentin Gibeaux about 2 years ago

  • Target version changed from Été 2019 to Septembre 2019
#26

Updated by Quentin Gibeaux about 2 years ago

  • Target version changed from Septembre 2019 to Octobre 2019
#27

Updated by Quentin Gibeaux about 2 years ago

  • Target version changed from Octobre 2019 to Novembre 2019
#28

Updated by François Poulain about 2 years ago

Un point de vue radical sur la situation : séparer résolveur et serveur faisant autorité : https://www.bortzmeyer.org/separer-resolveur-autorite.html

Avec le recul, j'adhère.

#29

Updated by Quentin Gibeaux almost 2 years ago

  • Target version changed from Novembre 2019 to Décembre 2019
#30

Updated by Quentin Gibeaux almost 2 years ago

  • Target version changed from Décembre 2019 to Janvier 2020
#31

Updated by Quentin Gibeaux almost 2 years ago

  • Target version changed from Janvier 2020 to Février 2020
#32

Updated by Quentin Gibeaux over 1 year ago

  • Target version changed from Février 2020 to Mars 2020
#33

Updated by Quentin Gibeaux over 1 year ago

  • Target version changed from Mars 2020 to Avril 2020
#34

Updated by Quentin Gibeaux over 1 year ago

  • Target version changed from Avril 2020 to Mai 2020
#35

Updated by Quentin Gibeaux over 1 year ago

  • Target version changed from Mai 2020 to Juin 2020
#36

Updated by Quentin Gibeaux over 1 year ago

  • Target version changed from Juin 2020 to Été 2020
#37

Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Été 2020 to Septembre 2020
#38

Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Septembre 2020 to Octobre 2020
#39

Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Octobre 2020 to Novembre 2020
#40

Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Novembre 2020 to Décembre 2020
#41

Updated by Quentin Gibeaux 11 months ago

  • Target version changed from Décembre 2020 to Janvier 2021
#42

Updated by Quentin Gibeaux 10 months ago

  • Target version changed from Janvier 2021 to Février 2021
#43

Updated by Quentin Gibeaux 9 months ago

  • Target version changed from Février 2021 to Mars 2021
#44

Updated by Quentin Gibeaux 8 months ago

  • Target version changed from Mars 2021 to Avril 2021
#45

Updated by Quentin Gibeaux 7 months ago

  • Target version changed from Avril 2021 to Mai 2021
#46

Updated by Quentin Gibeaux 6 months ago

  • Target version changed from Mai 2021 to Juin 2021
#47

Updated by Quentin Gibeaux 5 months ago

  • Target version changed from Juin 2021 to Été 2021
#48

Updated by Quentin Gibeaux 3 months ago

  • Target version changed from Été 2021 to Septembre 2021
#49

Updated by Quentin Gibeaux about 2 months ago

  • Target version changed from Septembre 2021 to Octobre 2021
#50

Updated by Quentin Gibeaux about 1 month ago

  • Target version changed from Octobre 2021 to Novembre 2021
#51

Updated by Quentin Gibeaux 3 days ago

  • Target version changed from Novembre 2021 to Décembre 2021

Also available in: Atom PDF