Периодические записи servfail.invalid в журнале DNS-запросов

[user_256]

Подскажите, с чем может быть связано периодическое появление запросов "servfail.invalid" в журнале DNS-сервера? В настройках Keenetic указан DNS-Over-HTTPS. Ситуация воспроизводится как минимум на двух моделях роутеров, Keenetic Giga (KN-1012) и Keenetic Ultra (KN-1811). Прошивка одинаковая, 4.3.5.

 

Вот часть лога DNS-сервера:

2025-07-30 08:30:25     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f
2025-07-30 08:30:25     46.138.145.188  46.138.145.188  0       CACHED  mail.ru.        A (89.221.239.1), A (90.156.232.4), A (185.180.201.1)   NOERROR CACHED  A       042721838a7f
2025-07-30 08:30:45     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f
2025-07-30 08:30:45     46.138.145.188  46.138.145.188  0       CACHED  mail.ru.        A (89.221.239.1), A (90.156.232.4), A (185.180.201.1)   NOERROR CACHED  A       042721838a7f
2025-07-30 08:30:48     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f
2025-07-30 08:30:48     46.138.145.188  46.138.145.188  0       CACHED  mail.ru.        A (89.221.239.1), A (90.156.232.4), A (185.180.201.1)   NOERROR CACHED  A       042721838a7f
2025-07-30 08:30:56     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f

 

[Le ecureuil]

Это нормально, мы таким образом делаем hearteat-check для наших DoT/DoH-фронтендов и для recursive resolver.

Однако странно что оно вылезает дальше, не покажете свой конфиг?

[Илья Картавенко]

39 минут назад, user_256 сказал:

Подскажите, с чем может быть связано периодическое появление запросов "servfail.invalid" в журнале DNS-сервера? В настройках Keenetic указан DNS-Over-HTTPS. Ситуация воспроизводится как минимум на двух моделях роутеров, Keenetic Giga (KN-1012) и Keenetic Ultra (KN-1811). Прошивка одинаковая, 4.3.5.

 

Вот часть лога DNS-сервера:

2025-07-30 08:30:25     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f
2025-07-30 08:30:25     46.138.145.188  46.138.145.188  0       CACHED  mail.ru.        A (89.221.239.1), A (90.156.232.4), A (185.180.201.1)   NOERROR CACHED  A       042721838a7f
2025-07-30 08:30:45     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f
2025-07-30 08:30:45     46.138.145.188  46.138.145.188  0       CACHED  mail.ru.        A (89.221.239.1), A (90.156.232.4), A (185.180.201.1)   NOERROR CACHED  A       042721838a7f
2025-07-30 08:30:48     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f
2025-07-30 08:30:48     46.138.145.188  46.138.145.188  0       CACHED  mail.ru.        A (89.221.239.1), A (90.156.232.4), A (185.180.201.1)   NOERROR CACHED  A       042721838a7f
2025-07-30 08:30:56     46.138.145.188  46.138.145.188  0       Special-Use Domain Name servfail.invalid.               NXDOMAIN        SPECIAL A       042721838a7f

 

А днс одни и те же прописаны? На работу это как то влияет?

[user_256]

Да, DNS-серверы указаны одинаковые. На работу роутеров не влияет, кроме записей в журнале "servfail.invalid" ничего негативного я не заметил.

Если распаковать прошивку, строки "servfail.invalid" обнаруживаются поиском в двух файлах:

\usr\sbin\https_dns_proxy
\usr\sbin\stubby

Edited July 30 by user_256

[user_256]

Добавил сообщение с файлом self-test_KN-1811_stable_4.03.C.5.0-0_router_2025-07-30T18-58-46.658Z по инструкции "Как правильно добавить self-test и прочую отладку в тему", надеюсь все правильно сделал.

[Le ecureuil]

1 час назад, user_256 сказал:

Добавил сообщение с файлом self-test_KN-1811_stable_4.03.C.5.0-0_router_2025-07-30T18-58-46.658Z по инструкции "Как правильно добавить self-test и прочую отладку в тему", надеюсь все правильно сделал.

А где именно вы видите эти записи по резолву servfail.invalid?

Еще нужен лог после включения dns-proxy debug в моменты, когда появляются эти записи. По коду мне непонятно, как они могут просачиваться куда-то "выше".

[user_256]

34 minutes ago, Le ecureuil said:

А где именно вы видите эти записи по резолву servfail.invalid?

Еще нужен лог после включения dns-proxy debug в моменты, когда появляются эти записи. По коду мне непонятно, как они могут просачиваться куда-то "выше".

Я использую DNS-форвардер blocky https://0xerr0r.github.io/blocky/latest/

Сообщение из первого поста темы - из его лога. Но вы сказали что сообщения являются часть механизма проверки, так что наверное все нормально и так и должно быть?

Можете пожалуйста подсказать, как включить debug mode для dns-proxy? В описании интерфейса командной строки нашел только "system debug".

 

[Le ecureuil]

Вы так и не ответили, куда именно вы его вставляете и как на него направляется трафик. По self-test ничего кроме пары неработающих DoH-апстримов не видно.

[dimon27254]

В 31.07.2025 в 00:54, Le ecureuil сказал:

Вы так и не ответили, куда именно вы его вставляете и как на него направляется трафик. По self-test ничего кроме пары неработающих DoH-апстримов не видно.

Подниму тему.

Настроил на VPS AdGuard Home с DoH. Далее прописал на Кинетике этот DNS как единственный, и в журнале запросов AGH вижу периодические запросы от Кинетика с "servfail.invalid":

Спойлер

За продолжительный период времени их накапливается достаточно много:

Спойлер

Проверял на KN-1012, 5.0 Alpha 13.

Self-test с включенным dns-proxy debug прикреплю в следующем сообщении.

[Le ecureuil]

Хорошо, посмотрю.

[Le ecureuil]

Спасибо за репорт, в следующих версиях будет исправлено.

[ru.celebi]

За 24 часа один и тот же DNS-сервер AdGuard использовали в общей сложности 9 устройств Keenetic, и они сделали 2,3 тысячи запросов.

[Le ecureuil]

15 минут назад, FLK сказал:

Уважаемый @Le ecureuil

Можно еще 1 вопрос - как-то можно уменьшить "молочение" всего и вся (по кругу и что надо и что уже и не надо молотит - все поддомены по кругу в адской рулетке)?

За сутки набегает дико огромное количество запросов/ответов, особенно это видно на своем AGH на vps'ке. Трафик конечно копеечный, но на мой взгляд как-то так быть в идеале не должно. 

Об этом уже говорил @dimon27254 в другой теме. Вы обещали подумать над необходимыми "крутилками". Хотелось бы узнать есть ли какие-то идеи, связанные с этим вопросом

Спасибо!

Давайте не будем сорить по всему форуму.

В этой теме конкретно был баг со служебным доменом.

Насчет роутинга по DNS - в другую тему.

[imnite]

Абсолютно аналогичная ситуация возникла после обновления giga kn-1012 до 5.0 beta 1. Большое число запросов, ни на что не влияет вроде, только статистику в adguard засоряет. Self-test прикрепляю следующим сообщением

 

Edited September 27 by imnite

[Le ecureuil]

Уже написано же - будет исправлено в следущей версии, ожидайте.

[dimon27254]

В 25.09.2025 в 21:07, Le ecureuil сказал:

Спасибо за репорт, в следующих версиях будет исправлено.

Подтверждаю, в 5.0 Beta 3 запросы с доменом servfail.invalid к DNS более не идут. Спасибо!