[tcup]

Mia

YuryM

У нас ушла проблема на адресе, вроде

[Mia]

У нас тоже вроде бы ушла, но Мегафон не отчитался по поводу решения проблемы

[UglyAdmin]

On 1/15/2024 at 9:07 AM, TheUser said:

В ЧНН выводит тоже comstar-ufa1? Если несколько раз обновить?

Опять заглючило, но

85.234.45.21 => ams15s45 : router: "pf08.ams15" next_hop_address: "142.250.175.181" (85.234.45.0/24)

 

через некоторое время отпустило

85.234.45.21 => comstar-rov3 (85.234.45.0/24)

[smart85]

Коллеги, приветствую! С 18:00 МСК сегодня не наблюдается проблем со связанностью?

У МСК-IX что-то даже трафик с 18:40 не отрисовывает https://www.msk-ix.ru/traffic/

 

UPD: в телеге встретилось такое:
 

Цитата

 

Весь Рунет упал

Пользователи не могут зайти на сайты в зоне .RU. Всё из-за сбоя работы DNSSEC, который гарантирует достоверность и целостность данных. Когда починят — неизвестно.

 

В России «упал» интернет — у мобильных операторов и провайдеров крупный сбой.

Мониторинговые сайты сообщают о сбое работы DNSSEC. Проблемы с доступом к популярным приложениям наблюдаются у всех жителей крупных городов.

 

 

[_J_]

Зона .ru чтото не то

 

 

 

 

 

 

 

[korsakik]

15 минут назад, smart85 сказал:

Коллеги, приветствую! С 18:00 МСК сегодня не наблюдается проблем со связанностью?

У МСК-IX что-то даже трафик с 18:40 не отрисовывает https://www.msk-ix.ru/traffic/

 

UPD: в телеге встретилось такое:
 

 

[LynxChaus]

Сигнатуры валидацию не проходят. Но сейчас хоть НСДИ начало что-то отвечать отличное от SERVFAIL. Видать выпилили себе дырку или ключи нужные подсунули.

[korsakik]

А у меня 195.208.5.1 НСДИ перебойно  отвечает.

[Умник]

Здесь дело не в DNSSEC. Тупо корень .ru с перебоями отвечает. Например: a.dns.ripn.net (193.232.128.6):

dig ns ya.ru @193.232.128.6
;; communications error to 193.232.128.6#53: timed out
;; communications error to 193.232.128.6#53: timed out
;; communications error to 193.232.128.6#53: timed out

; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> ya.ru @193.232.128.6
;; global options: +cmd
;; no servers could be reached

 

 

DDoS?

Изменено 30 января пользователем Умник

[Ivan_83]

https://habr.com/ru/news/790188/

облажались, да? :)

 

Отключите DNSSec на своих резолверах с рекурсией и будет щастье.

msk-ix.ru у меня резолвится но не пингуется ни по в4 ни по в6, видимо пока чинили днс сломали что то ещё %)

 

 

# ping -4 market.yandex.ru
PING market.yandex.ru (87.250.250.22): 56 data bytes
64 bytes from 87.250.250.22: icmp_seq=0 ttl=54 time=47.148 ms
64 bytes from 87.250.250.22: icmp_seq=1 ttl=54 time=46.450 ms

 

у меня свой unbound с отключённой верификацией и сам делает рекурсию, никаких проблем я ваще не вижу, работает как работало.

Да, я его перезапускал чтобы грохнуть кеши.

[Умник]

2 минуты назад, Ivan_83 сказал:

Отключите DNSSec на своих резолверах с рекурсией и будет щастье.

Это ничего не даст. Корневые DNS зоны RU любые записи отдают с трудом. В том числе и DNSKEY-записи.

Изменено 30 января пользователем Умник

[korsakik]

3 минуты назад, Ivan_83 сказал:

https://habr.com/ru/news/790188/

облажались, да? :)

 

Отключите DNSSec на своих резолверах с рекурсией и будет щастье.

msk-ix.ru у меня резолвится но не пингуется ни по в4 ни по в6, видимо пока чинили днс сломали что то ещё %)

А у нас и не было включено, используем НСДИ как положено, но частично не работает. Пока кеш вывозит.

[Ivan_83]

2 minutes ago, Умник said:

Это ничего не даст. Корневые DNS зоны RU любые записи отдают с трудом. В том числе и DNSKEY-записи.

У меня как то всё работает до сих пор, я раз 5 уже unbound рестартил в надежде что сломается :)

[Умник]

Предполагаю, что проблемы на крупных рекурсорах, через которые много запросов для плохо работающей зоны .RU. Из-за этого растет очередь запросов и проблемы уже с резольвингом всего мира.

[Ivan_83]

На каких таких крупных рекурсорах!?

Сраном НСДИ если только.

Сами сервера RU зоны никакой рекурсией не занимаются.

[korsakik]

Позвонил щас в ЦМУ ССОП, задал вопрос, сказали что используйте НСДИ, сказал что использую на 100%, но много чего не работает, ответ - "напишите нам письмо".

[Ivan_83]

Да да, зарегистрируйте ваше обращение, оно будет рассмотрено в течении 30 рабочих дней :)

[Умник]

5 минут назад, Ivan_83 сказал:

У меня как то всё работает до сих пор, я раз 5 уже unbound рестартил в надежде что сломается :)

У меня dig ns ya.ru @193.232.128.6 работает через раз или реже. Может быть вы работаете с какой-то местной копией серверов *.dns.ripn.net за рубежом? anycast ведь.

 

https://meeting2017.cctld.ru/docs/khramtsov.pdf

[Ivan_83]

2 minutes ago, Умник said:

У меня dig ns ya.ru @193.232.128.6 работает через раз или реже. Может быть вы работаете с какой-то местной копией серверов *.dns.ripn.net за рубежом?

Хз.

Я у unbound спрашиваю, может он ищет пока не найдёт, в отличии от диг которой только бы сфейлится :)

[Умник]

8 минут назад, Ivan_83 сказал:

На каких таких крупных рекурсорах!?

 

Стоящих у ISP

[Ivan_83]

4 minutes ago, Умник said:

Стоящих у ISP

А вы кто?

Бомж провайдер без своего кешируещего рекурсера?

[smart85]

Роскомнадзор подтвердил решение проблем с доступом в интернет для провайдеров и абонентов Национальной системы доменных имен (НСДИ).

[No_name]

Жопа какая то. Сначала думал что у меня с серваками что-то, смотрю, резольвинг сломался. Прописал форвардинг на яндексовские сервера все равно запросы не отрабатываются. Че происходит?

[Alex/AT]

    validate-except {
      "ru";
    };

В глобальный конфиг или рекурсивную вьюху бинда.

И будет пока щщастье, правда без гарантий валидности разрешения.

Весёлая штука DNSSEC. С такими друзьями как DNSSEC, ну, вы поняли.

[Ivan_83]

http://netlab.dhis.org/download/tmp/unbound.conf только access-control на свой вкус поправьте.

 

1 minute ago, Alex/AT said:

И будет пока щщастье, правда без гарантий валидности разрешения.

Весёлая штука DNSSEC. С такими друзьями как DNSSEC, ну, вы поняли.

А нахрена оно надо, когда почти везде TLS!?

DNSSec - это один из выключателей интернета в руках амеров, если что.

Но в рфии так у-порно готовились к отключениям инета что видимо сами себе отключили :)