DNSSEC a pomalé načítání stránek

e3k

DNSSEC a pomalé načítání stránek
« kdy: 23. 11. 2014, 11:32:28 »
na openwrt routry som rozchodil DNSSEC validaciu pre dnsmasq. najprv to nefungovalo pretoze ISP (UPC) nepodporuje DNSSEC. vymenil som ich DNS servre za tie od nic.cz a funguje to ale pri strankach ktore tahaju s mnohych zdrojov je citelne spomalenie nacitania. skusil som aj googlove DNS servre tam uz to bolo lepsie. google ale v ich monopole nechcem podporovat. nemate nejaku alternativu k nic.cz alebo google DNS servrom? opendns zjavne DNSSEC nepodporuje.
« Poslední změna: 23. 11. 2014, 18:49:32 od Petr Krčmář »


Re:DNSSEC a spomalenie nacitania stranok
« Odpověď #1 kdy: 23. 11. 2014, 12:28:35 »
Nainstaluj si na ten router Unbound a dělej si resolving i validaci u sebe.

M.

Re:DNSSEC a spomalenie nacitania stranok
« Odpověď #2 kdy: 23. 11. 2014, 13:52:04 »
dnsmasq si umí dělat DNSSEC validaci pokud je zapnuta.
Spíše jde o to, pokud nemá moc rychlou/spolehlivou linku, tak při prvním přístupu ke stránce, která stahuje klidně z desítek jiných domén, tak to chvíli trvá, než to prožvejká a zopakuje X dotazů na dorwardera od NICu. Tady už asi o moc víc unbound nepomůže, když půjde přímo přes root DNS servery místo nějakého forwardu.

e3k

Re:DNSSEC a spomalenie nacitania stranok
« Odpověď #3 kdy: 23. 11. 2014, 15:14:40 »
ano presne stranky (noviny) ktore tahaj s vela domen su naspomalenejsie. nemyslim ze iny sw by mal pomoct nakolko pri zmene DNS providera s NIC.cz na google odozva uz bola o dost rychlejsia (po nacachovani uz nie je problem, len prvotne otvorenie).

paradoxne dig na google.com je hotovy pri google dns za >100ms a pri nic.cz za ~70ms (13ms bez dnssec od ISP). takze pri jednom DNS dotaze vyzera byt NIC.CZ rychlejsi ale pri spamovani viaceremi dotazmi uz neodpoveda tak ochotne.

Re:DNSSEC a spomalenie nacitania stranok
« Odpověď #4 kdy: 23. 11. 2014, 16:49:40 »
Výměna za Unbound určitě pomůže. Unbound je mnohem výkonnější a hlavně obsahuje cache, takže nemusí validovat všechno stále znovu od kořene.


Re:DNSSEC a spomalenie nacitania stranok
« Odpověď #5 kdy: 23. 11. 2014, 16:52:58 »
A ještě jeden argument pro Unbound: Pokud tvůj DNS servery tvého ISP DNSSEC nepodporují, není není důvod forwardovat své dotazy někam do horoucích pekel, prostě si dělej kompletní rekurzi sám u sebe.

Co vlastně lidi na tom dnsmasqu vidí?

M.

Re:DNSSEC a spomalenie nacitania stranok
« Odpověď #6 kdy: 23. 11. 2014, 17:03:13 »
Vidí to, že je to malé, nežero to moc ram, umí dnssec, umí cache, takže je otázka si jen nastavit jak velkou, umí i dhcpv4/v6, taktéž RA, umí si dynamicky registorvat lokální dns, ... a není problém to honit na outeru, který má pro vše 32 MB RAM.

e3k

Re:DNSSEC a pomalé načítání stránek
« Odpověď #7 kdy: 23. 11. 2014, 20:39:14 »
medzicasom som si na rychlost zvykol. vyskytol sa mi tu taky problem neviem ci mam na to otvarat nove vlakno ale:
od dnesneho pobedia az do teraz som dostaval server error pri oboch nic aj google pri resolvingu inych ako cz sk stranok. maly ste nieco podobne?
ziadne konfiguracne zmeny ktore by mohli nieco take sposobit som nerobil. len som kvoli testu potom prepinal medzi google, niccz a mojim ISP (bez dnssec)

M.

Re:DNSSEC a pomalé načítání stránek
« Odpověď #8 kdy: 23. 11. 2014, 21:23:13 »
A jak to máš nastavené? Máš v routeru korektní čas, aby to nepadalo na neplatnosti podpisů časové (jde potlačit pomocí dnssec-no-timecheck)?
Jinak, pokud jsi nepoužil i volbu dnssec-check-unsigned, tak by ti to mělo fungovat i s forwardem přes tvého ISP. Jenže s touto volbou se nedělá kontrola, zda nepodepsaná doména je opravdu nepodepsaná a ne podvrh s odstraněným DNSSEC. Pokud je použito, tak musíš forwardovat na toho, kdo podporuje DNSSEC a také zvyšuje počet dotazů.

e3k

Re:DNSSEC a pomalé načítání stránek
« Odpověď #9 kdy: 23. 11. 2014, 22:03:56 »
cas mam (ako som zistil az po tvojej otazke) nastaveny cez ntpd (vraj routre nemaju hodinky...)
ano mam zapnuty check-unsigned pretoze som si presne to co pises precital ked som sa s tym zacal zaoberat.

momentalne vsetko funguje jak ma.

e3k

dnssec na openwrt/dnsmasq nahodne spravani
« Odpověď #10 kdy: 26. 11. 2014, 21:13:21 »
neviem kde zmizol moj prispevok s pred par dni (hladat dnssec a usera e3k neprinieslo moc urody):

mam dnssec nainstalovany na openwrt router a pouzivam nic.cz ako dns server. pocas 5 dni som zistil ze:
1. niekedy (12h v dni) dostavam SERVFAIL pri strankach inych ako cz alebo sk
2. niekedy (detto) nerolvnem kvoli danej chybe nic (a skusil som aj 8.8.8.8)
3. pokial nastavim dnssec-check-unsigned na false tak vsetko ide ako "ma"

mali ste podobnu skusenost? ide o globalny utok? alebo to tu nikto nepouziva a mam sa na to ...

Lol Phirae

Re:DNSSEC a pomalé načítání stránek
« Odpověď #11 kdy: 26. 11. 2014, 21:53:33 »
Funguje mi to s unbound zcela bez problémů na mnoha místech. Pokud budeš trvat na té dnsmasq zoufalosti, tak si holt asi musíš pomoct sám.  ::)

e3k

Re:DNSSEC a pomalé načítání stránek
« Odpověď #12 kdy: 26. 11. 2014, 22:06:45 »
sakra.

Re:DNSSEC a pomalé načítání stránek
« Odpověď #13 kdy: 27. 11. 2014, 06:58:19 »
Zatím jste nenapsal nic, podle čeho by bylo možné určit, kde je problém. Pokud vám to nefunguje 12 hodin  vkuse, máte dost času na to, abyste pomocí nslookupu a případně i nějakého nástroje pro validaci DNSSEC vyzkoušel veřejné servery vašeho ISP, nic.cz i Googlu a také přímé dotazy na servery příslušné domény, samozřejmě spolu s dotazy přes dnsmasq na OpenWRT. Nejspíš vám nebude fungovat nic z toho, nebo bude fungovat vše až na dotazy přes váš router. V prvním případě je chyba pravděpodobně mimo vaši síť, nejspíš ISP unáší DNS dotazy a jeho servery špatně pracují s DNSSEC. V druhém případě je chyba v dnsmasq na vašem routeru.

e3k

Re:DNSSEC a pomalé načítání stránek
« Odpověď #14 kdy: 27. 11. 2014, 09:43:43 »
dnes rano som mal dalsi vypadok. tak som nainstaloval unbound. funguje to rychlo. medzicasom to uz ide zas aj cez dnsmasq ale necham to teraz bezat cez unbound...

2 otazky: odkial taha unbound adresy? (nenasiel som nastavenie dns servra v unbound.conf)
ma unbound ekvivalent opcie check-unsigned ako v dnsmasq?