Valaskor Posted May 13, 2019 · Report post У нас часто прилетает такой резолв: www.youtube.com -CNAME> youtube-ui.l.google.com -A> список из 16шт A-записей, разные ипишники. Клиентское устройство (обычно смарт-телек или андроид) в этом случае считает, что ответ великоват и пытается перезапросить у днс-сервера то же самое по TCP-53. Но, если клиентское CPE не умеет TCP-DNS, на этом все и заканчивается, ютуб не работает! Большая часть soho-роутеров как раз не умеет. Кто сталкивался? Как побороть? Фейковые A-записи прокатывают, но это так себе способ, не хочется следить за их актуальностью. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 13, 2019 · Report post Для начала было бы неплохо разобраться, почему ваш DNS долго ресолвит/отвечает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Valaskor Posted May 13, 2019 · Report post не понял вашего вопроса, все происходит мгновенно еще должна помочь биндовая опция minimal-responses yes; размер ответа значительно уменьшается, нет секции authoritative чем грозит ее включение? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 13, 2019 · Report post А, понял теперь. Я под "большим" вначале понял время ответа. Сейчас проверил у себя, Unbound возвращает только альяс, один IP и один IPv6. И точно также отвечает 8.8.8.8. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 13, 2019 · Report post 4 часа назад, Valaskor сказал: Кто сталкивался? Как побороть? Настройте ваш днс сервер более корректно. У unbound вроде есть крутилки для задания макс размера пакета, он сам лишнее отрежет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo_lynx Posted May 13, 2019 · Report post И какие же крутилки таки есть у unbound ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 13, 2019 · Report post # Maximum UDP response size (not applied to TCP response). # Suggested values are 512 to 4096. Default is 4096. 65536 disables it. max-udp-size: 65536 # EDNS reassembly buffer to advertise to UDP peers (the actual buffer # is set with msg-buffer-size). 1480 can solve fragmentation (timeouts). edns-buffer-size: 16384 # Harden against very small EDNS buffer sizes. # Very small EDNS buffer sizes from queries are ignored. Default is off harden-short-bufsize: no # Harden against unseemly large queries. harden-large-queries: no # Harden against out of zone rrsets, to avoid spoofing attempts. harden-glue: yes На самом имхо первые два роялят в данном случае, остальные вроде как к итератору относятся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted May 13, 2019 · Report post 6 часов назад, Valaskor сказал: еще должна помочь биндовая опция minimal-responses yes; размер ответа значительно уменьшается, нет секции authoritative чем грозит ее включение? когда то давно на ресолвере, настроенном ходить на форвардер, если ему прилетал в ответ с minimal-responses yes; то на нем ломался DNSSEC, уже не помню, бинд кажется ломался. давно было.. Как оно сейчас я за ненадобностью не проверял, возможно починили. Ну и тот же 8.8.8.8 так и возвращает, если кому то нужен DNSSEC, то они в состоянии сходить за ответами и без вашего сервера, в общем. Других противопоказаний для клиентских подключений небыло замечено. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 13, 2019 · Report post В unbound есть ещё пара граблей, я там включал в резолвере минимизацию cname вроде, в общем он типа должен был у каждого донс сервера спрашивать не молное имя домена а только необходимую следующую часть. И это мне сломало какие то отдельные сайты. Пришлось выключить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Valaskor Posted May 14, 2019 · Report post Решил пока оставить minimal-responses yes, жалоб вроде не было. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...