Toggle navigation
Fórum Root.cz
Domů
Nápověda
Vyhledávání
Přihlásit
Registrovat
Fórum Root.cz
Hlavní témata
Sítě
DNSSEC a pomalé načítání stránek
« předchozí
další »
+
Tisk
Stran: [
1
]
2
DNSSEC a pomalé načítání stránek
19 Odpovědí
4303 Zhlédnutí
e3k
DNSSEC a pomalé načítání stránek
«
kdy:
23. 11. 2014, 11:32:28 »
na openwrt routry som rozchodil DNSSEC validaciu pre dnsmasq. najprv to nefungovalo pretoze ISP (UPC) nepodporuje DNSSEC. vymenil som ich DNS servre za tie od nic.cz a funguje to ale pri strankach ktore tahaju s mnohych zdrojov je citelne spomalenie nacitania. skusil som aj googlove DNS servre tam uz to bolo lepsie. google ale v ich monopole nechcem podporovat. nemate nejaku alternativu k nic.cz alebo google DNS servrom? opendns zjavne DNSSEC nepodporuje.
«
Poslední změna: 23. 11. 2014, 18:49:32 od Petr Krčmář
»
IP zaznamenána
Reklama
Petr Krčmář
2 963
Re:DNSSEC a spomalenie nacitania stranok
«
Odpověď #1 kdy:
23. 11. 2014, 12:28:35 »
Nainstaluj si na ten router
Unbound
a dělej si resolving i validaci u sebe.
IP zaznamenána
M.
Re:DNSSEC a spomalenie nacitania stranok
«
Odpověď #2 kdy:
23. 11. 2014, 13:52:04 »
dnsmasq si umí dělat DNSSEC validaci pokud je zapnuta.
Spíše jde o to, pokud nemá moc rychlou/spolehlivou linku, tak při prvním přístupu ke stránce, která stahuje klidně z desítek jiných domén, tak to chvíli trvá, než to prožvejká a zopakuje X dotazů na dorwardera od NICu. Tady už asi o moc víc unbound nepomůže, když půjde přímo přes root DNS servery místo nějakého forwardu.
IP zaznamenána
e3k
Re:DNSSEC a spomalenie nacitania stranok
«
Odpověď #3 kdy:
23. 11. 2014, 15:14:40 »
ano presne stranky (noviny) ktore tahaj s vela domen su naspomalenejsie. nemyslim ze iny sw by mal pomoct nakolko pri zmene DNS providera s NIC.cz na google odozva uz bola o dost rychlejsia (po nacachovani uz nie je problem, len prvotne otvorenie).
paradoxne dig na google.com je hotovy pri google dns za >100ms a pri nic.cz za ~70ms (13ms bez dnssec od ISP). takze pri jednom DNS dotaze vyzera byt NIC.CZ rychlejsi ale pri spamovani viaceremi dotazmi uz neodpoveda tak ochotne.
IP zaznamenána
Ondřej Caletka
851
Re:DNSSEC a spomalenie nacitania stranok
«
Odpověď #4 kdy:
23. 11. 2014, 16:49:40 »
Výměna za Unbound určitě pomůže. Unbound je mnohem výkonnější a hlavně obsahuje cache, takže nemusí validovat všechno stále znovu od kořene.
IP zaznamenána
Reklama
Ondřej Caletka
851
Re:DNSSEC a spomalenie nacitania stranok
«
Odpověď #5 kdy:
23. 11. 2014, 16:52:58 »
A ještě jeden argument pro Unbound: Pokud tvůj DNS servery tvého ISP DNSSEC nepodporují, není není důvod forwardovat své dotazy někam do horoucích pekel, prostě si dělej kompletní rekurzi sám u sebe.
Co vlastně lidi na tom dnsmasqu vidí?
IP zaznamenána
M.
Re:DNSSEC a spomalenie nacitania stranok
«
Odpověď #6 kdy:
23. 11. 2014, 17:03:13 »
Vidí to, že je to malé, nežero to moc ram, umí dnssec, umí cache, takže je otázka si jen nastavit jak velkou, umí i dhcpv4/v6, taktéž RA, umí si dynamicky registorvat lokální dns, ... a není problém to honit na outeru, který má pro vše 32 MB RAM.
IP zaznamenána
e3k
Re:DNSSEC a pomalé načítání stránek
«
Odpověď #7 kdy:
23. 11. 2014, 20:39:14 »
medzicasom som si na rychlost zvykol. vyskytol sa mi tu taky problem neviem ci mam na to otvarat nove vlakno ale:
od dnesneho pobedia az do teraz som dostaval server error pri oboch nic aj google pri resolvingu inych ako cz sk stranok. maly ste nieco podobne?
ziadne konfiguracne zmeny ktore by mohli nieco take sposobit som nerobil. len som kvoli testu potom prepinal medzi google, niccz a mojim ISP (bez dnssec)
IP zaznamenána
M.
Re:DNSSEC a pomalé načítání stránek
«
Odpověď #8 kdy:
23. 11. 2014, 21:23:13 »
A jak to máš nastavené? Máš v routeru korektní čas, aby to nepadalo na neplatnosti podpisů časové (jde potlačit pomocí dnssec-no-timecheck)?
Jinak, pokud jsi nepoužil i volbu dnssec-check-unsigned, tak by ti to mělo fungovat i s forwardem přes tvého ISP. Jenže s touto volbou se nedělá kontrola, zda nepodepsaná doména je opravdu nepodepsaná a ne podvrh s odstraněným DNSSEC. Pokud je použito, tak musíš forwardovat na toho, kdo podporuje DNSSEC a také zvyšuje počet dotazů.
IP zaznamenána
e3k
Re:DNSSEC a pomalé načítání stránek
«
Odpověď #9 kdy:
23. 11. 2014, 22:03:56 »
cas mam (ako som zistil az po tvojej otazke) nastaveny cez ntpd (vraj routre nemaju hodinky...)
ano mam zapnuty check-unsigned pretoze som si presne to co pises precital ked som sa s tym zacal zaoberat.
momentalne vsetko funguje jak ma.
IP zaznamenána
e3k
dnssec na openwrt/dnsmasq nahodne spravani
«
Odpověď #10 kdy:
26. 11. 2014, 21:13:21 »
neviem kde zmizol moj prispevok s pred par dni (hladat dnssec a usera e3k neprinieslo moc urody):
mam dnssec nainstalovany na openwrt router a pouzivam nic.cz ako dns server. pocas 5 dni som zistil ze:
1. niekedy (12h v dni) dostavam SERVFAIL pri strankach inych ako cz alebo sk
2. niekedy (detto) nerolvnem kvoli danej chybe nic (a skusil som aj 8.8.8.
3. pokial nastavim dnssec-check-unsigned na false tak vsetko ide ako "ma"
mali ste podobnu skusenost? ide o globalny utok? alebo to tu nikto nepouziva a mam sa na to ...
IP zaznamenána
Lol Phirae
Re:DNSSEC a pomalé načítání stránek
«
Odpověď #11 kdy:
26. 11. 2014, 21:53:33 »
Funguje mi to s unbound zcela bez problémů na mnoha místech. Pokud budeš trvat na té dnsmasq zoufalosti, tak si holt asi musíš pomoct sám.
IP zaznamenána
e3k
Re:DNSSEC a pomalé načítání stránek
«
Odpověď #12 kdy:
26. 11. 2014, 22:06:45 »
sakra.
IP zaznamenána
Filip Jirsák
5 931
Re:DNSSEC a pomalé načítání stránek
«
Odpověď #13 kdy:
27. 11. 2014, 06:58:19 »
Zatím jste nenapsal nic, podle čeho by bylo možné určit, kde je problém. Pokud vám to nefunguje 12 hodin vkuse, máte dost času na to, abyste pomocí nslookupu a případně i nějakého nástroje pro validaci DNSSEC vyzkoušel veřejné servery vašeho ISP, nic.cz i Googlu a také přímé dotazy na servery příslušné domény, samozřejmě spolu s dotazy přes dnsmasq na OpenWRT. Nejspíš vám nebude fungovat nic z toho, nebo bude fungovat vše až na dotazy přes váš router. V prvním případě je chyba pravděpodobně mimo vaši síť, nejspíš ISP unáší DNS dotazy a jeho servery špatně pracují s DNSSEC. V druhém případě je chyba v dnsmasq na vašem routeru.
IP zaznamenána
e3k
Re:DNSSEC a pomalé načítání stránek
«
Odpověď #14 kdy:
27. 11. 2014, 09:43:43 »
dnes rano som mal dalsi vypadok. tak som nainstaloval unbound. funguje to rychlo. medzicasom to uz ide zas aj cez dnsmasq ale necham to teraz bezat cez unbound...
2 otazky: odkial taha unbound adresy? (nenasiel som nastavenie dns servra v unbound.conf)
ma unbound ekvivalent opcie check-unsigned ako v dnsmasq?
IP zaznamenána
+
Tisk
Stran: [
1
]
2
« předchozí
další »
Fórum Root.cz
Hlavní témata
Sítě
DNSSEC a pomalé načítání stránek