¿Por qué no puedo comunicarme con un host específico usando un DNS específico?

tag-icon tag-icon networking domain-name-system dig
¿Por qué no puedo comunicarme con un host específico usando un DNS específico?

Estoy intentando enviar información awww2.agenciatributaria.gob.es. Puedo hacerlo desde varios hosts menos uno.

De este me sale el errorFallo temporal en la resolución de nombres.. Sin embargo, desde el mismo host puedo llegar a muchos otros servidores a través de su DNS predeterminado (puedo hacer pingwww.google.es, etc).

Entonces usé excavar para comprobar qué sucede. Si ejecuto dig www2.agenciatributaria.gob.es, el DNS busca la IP del host remoto en 127.0.0.53 y los resultados son incorrectos (sin embargo, los resultados son exitosos si sigo investigando).www.google.es):

; <<>> DiG 9.16.1-Ubuntu <<>> www2.agenciatributaria.gob.es
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 58113
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;www2.agenciatributaria.gob.es. IN      A

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Mon Sep 27 09:17:00 UTC 2021
;; MSG SIZE  rcvd: 58

Por otro lado, si ejecuto dig +norecurse @8.8.8.8 www2.agenciatributaria.gob.es, para buscar la IP del host remoto con el DNS en 8.8.8.8, los resultados son exitosos:

; <<>> DiG 9.16.1-Ubuntu <<>> +norecurse @8.8.8.8 www2.agenciatributaria.gob.es
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31565
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www2.agenciatributaria.gob.es. IN      A

;; ANSWER SECTION:
www2.agenciatributaria.gob.es. 201 IN   A       195.77.198.18

;; Query time: 0 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Sep 27 09:16:28 UTC 2021
;; MSG SIZE  rcvd: 74

No soy un experto en este tema. Pero supongo que hay algún problema con el DNS sólo para ese dominio. ¿Me puede ayudar alguien? ¿Cómo puedo solucionar este problema o qué debo comprobar ahora?

estado de resolución

Global
       LLMNR setting: no                  
MulticastDNS setting: no                  
  DNSOverTLS setting: no                  
      DNSSEC setting: no                  
    DNSSEC supported: no                  
          DNSSEC NTA: 10.in-addr.arpa     
                      16.172.in-addr.arpa 
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa 
                      18.172.in-addr.arpa 
                      19.172.in-addr.arpa 
                      20.172.in-addr.arpa 
                      21.172.in-addr.arpa 
                      22.172.in-addr.arpa 
                      23.172.in-addr.arpa 
                      24.172.in-addr.arpa 
                      25.172.in-addr.arpa 
                      26.172.in-addr.arpa 
                      27.172.in-addr.arpa 
                      28.172.in-addr.arpa 
                      29.172.in-addr.arpa 
                      30.172.in-addr.arpa 
                      31.172.in-addr.arpa 
                      corp                
                      d.f.ip6.arpa        
                      home                
                      internal            
                      intranet            
                      lan                 
                      local               
                      private             
                      test                

Link 2 (ens3)
      Current Scopes: DNS           
DefaultRoute setting: yes           
       LLMNR setting: yes           
MulticastDNS setting: no            
  DNSOverTLS setting: no            
      DNSSEC setting: no            
    DNSSEC supported: no            
  Current DNS Server: 213.186.33.99 
         DNS Servers: 213.186.33.99 
          DNS Domain: openstacklocal

Respuesta1

Su dominio no está configurado correctamente, consultehttps://dnsviz.net/d/www2.agenciatributaria.gob.es/YVHoZA/dnssec/

Puede ignorar las DSadvertencias de esy, gob.esya que no podrá hacer nada al respecto y no bloquearán la resolución.

Sin embargo, lea la advertencia sobre la NSfalta de coincidencia del conjunto, lo que significa que se encuentra en una situación de delegación poco convincente. Esto tiene el efecto directo de que sus resultados dependerán del servidor de nombres que solicite y pueden ser incorrectos el 50% de las veces o más.

Corrija su configuración de DNS, asegurándose de que sus padres ( gob.es) incluyan los mismos servidores con tanta autoridad como usted:

$ dig gob.es NS +short
c.nic.es.
fnicdos.rediris.es.
n3ns.nic.es.
h.nic.es.
g.nic.es.
$ dig agenciatributaria.gob.es NS @c.nic.es +noall +auth
agenciatributaria.gob.es. 1d IN NS ns3chos01.telefonica-data.com.
agenciatributaria.gob.es. 1d IN NS nsjc8hos01.telefonica-data.com.
$ dig agenciatributaria.gob.es NS @nsjc8hos01.telefonica-data.com. +short
nsalchos01.telefonica-data.com.
nsjc8hos01.telefonica-data.com.

Estos 2 conjuntos de NSregistros no coinciden y DEBEN coincidir para obtener resoluciones DNS correctas.

Respuesta2

Su solucionador local está configurado para reenviar consultas DNS al 213.186.33.99, servidor DNS que OVH pone a disposición de sus clientes. Consultar este servidor directamente revela queélestá informando una falla.

$ host www2.agenciatributaria.gob.es 213.186.33.99
Using domain server:
Name: 213.186.33.99
Address: 213.186.33.99#53
Aliases: 

Host www2.agenciatributaria.gob.es not found: 2(SERVFAIL)

Edite su /etc/resolv.confpara proporcionar otro conjunto de servidores de nombres y luego vuelva a intentarlo. Tenga en cuenta que el dominio que está buscando todavía está roto, como se describe en la respuesta de Patrick Mevzek, por lo que esto es solo una solución alternativa.

información relacionada