¿Cómo puedo solucionar los problemas de DNS inverso con puntos de conexión de salida y reglas de Route 53?

Solución

Identificación de las respuestas de DNS esperadas y reales

Utilice dig o nslookup para realizar consultas directamente a la dirección IP de su servidor DNS local. Estas herramientas intentan resolver el nombre de registro correcto.

Utilice el parámetro -x para realizar una resolución de DNS inverso con dig. Al utilizar este parámetro, dig añade automáticamente los argumentos name, class y type. Consulte QUESTION SECTION para comprobar si dig ha consultado automáticamente los argumentos name, class y record type correctos.

Por ejemplo, supongamos que desea resolver la dirección IP 172.31.2.23 con los siguientes valores:

Name: 23.2.31.172.in-addr.arpa.
Class: IN
Record type: PTR

En este ejemplo, el comando dig -x 172.31.2.23 devuelve el siguiente resultado:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> -x 172.31.2.23;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58812
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;;
OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;23.2.31.172.in-addr.arpa.    IN    PTR

;;
ANSWER SECTION:
23.2.31.172.in-addr.arpa. 60    IN    PTR    example.com.

En el caso de nslookup, el comando nslookup 172.31.2.23 devuelve el siguiente resultado:

23.2.31.172.in-addr.arpa.   name = example.com.

Nota: Tenga en cuenta que es posible que un código de respuesta inesperado no indique un problema con la configuración de la regla o el punto de conexión:

• NXDOMAIN puede ser una respuesta DNS inesperada pero válida. Esta respuesta indica que el servidor al que se ha enviado la consulta no contiene el registro solicitado.
• SERVFAIL indica que se ha agotado el tiempo de espera u otro problema en la ruta de la consulta. Esta respuesta requiere una investigación más exhaustiva.
• Una respuesta inesperada en ANSWER SECTION puede indicar que se utilizó una regla diferente.

Determinación de si la consulta llega al solucionador de DNS de la VPC

Para que una consulta coincida con una regla en una VPC, la consulta debe llegar al solucionador de DNS de la VPC. Compruebe la configuración de la VPC para confirmar si la opción Compatibilidad con DNS está activada.
Para comprobar la dirección IP del solucionador, consulte los campos server en dig o nslookup:

dig

;; SERVER: 172.16.0.2#53(172.16.0.2)

nslookup

Server:        172.16.0.2

Nota: En el caso de las VPC, el DNS de la VPC es el CIDR de la VPC más dos. En estos ejemplos, la dirección IP de una VPC es 171.16.0.2.

Búsqueda de la regla coincidente más específica

Cuando la consulta llegue al solucionador de DNS de la VPC, debe coincidir con una regla de esa VPC. Cuando se evalúan las reglas, se establece coincidencia con la regla más específica. Para encontrar esta regla, siga estos pasos:

1. Identifique cualquier regla autodefinida en la VPC y las VPC conectadas. En el caso de las VPC interconectadas o las VPC que se conectan a través de una puerta de enlace de tránsito (con compatibilidad con DNS), tenga en cuenta todas las reglas para la resolución inversa de cada CIDR conectado.
   Nota: El solucionador crea estas reglas autodefinidas cuando Nombres de host de DNS se ha configurado como true. Si quiere anular una regla autodefinida, cree una regla de reenvío condicional para el mismo nombre de dominio. También puede desactivar las reglas autodefinidas.
2. Si ha activado la opción Compatibilidad con DNS y Nombres de host de DNS, anote las zonas alojadas privadas asociadas a la VPC.
   Nota: Si la regla del reenviador del solucionador y la zona alojada privada se superponen, la regla del solucionador tiene prioridad. En este caso, la consulta se reenvía al servidor local.
3. Compare la lista de reglas y las zonas alojadas privadas asociadas con la consulta para determinar qué regla se ha seleccionado y cuál es el destino de la consulta.

Solución de problemas de sus puntos de conexión de salida

Para solucionar los problemas de los puntos de conexión de salida, confirme las siguientes configuraciones:

• Los puntos de conexión de salida deben enviar la consulta a las direcciones IP de destino que especifique la regla. Asegúrese de que la regla del solucionador tenga la IP correcta del servidor DNS local.
• El grupo de seguridad de los puntos de conexión de salida debe permitir el tráfico TCP y UDP saliente a las direcciones IP y los puertos del servidor DNS local.
• Las listas de control de acceso (ACL) deben permitir el tráfico TCP y UDP a las direcciones IP y los puertos del servidor DNS local. Las ACL también deben permitir el tráfico a los puertos efímeros (1024-65535).
• La tabla de enrutamiento de subred de los puntos de conexión de salida debe contener una ruta para las direcciones IP del servidor local hacia la conexión VPN o AWS Direct Connect.

Para obtener más información y conocer los pasos para solucionar problemas, consulte ¿Cómo soluciono los problemas de resolución de DNS con los puntos de conexión de Route 53 Resolver?

Comprobación de si los puntos de conexión de salida pueden enviar la consulta a través de la conexión especificada en su tabla de enrutamiento

Compruebe que la conexión VPN o Direct Connect permita la comunicación. Para ello, ejecute un comando dig o nslookup directamente en la dirección IP del solucionador de DNS local. Para seguir solucionando los problemas de conexión, envíe un ping a un host local que permita el protocolo de mensajes de control de Internet (ICMP).

Nota: Debe realizar esta prueba desde una instancia de EC2 que se encuentre en la misma subred que los puntos de conexión de salida.