Jump to content
Калькуляторы

Не работает www.youtube.com при большом ответе DNS

У нас часто прилетает такой резолв: www.youtube.com -CNAME> youtube-ui.l.google.com -A> список из 16шт A-записей, разные ипишники.

Клиентское устройство (обычно  смарт-телек или андроид) в этом случае считает, что ответ великоват и пытается перезапросить у днс-сервера то же самое по TCP-53.

Но, если клиентское CPE не умеет TCP-DNS, на этом все и заканчивается, ютуб не работает! Большая часть soho-роутеров как раз не умеет.

 

Кто сталкивался? Как побороть?

Фейковые A-записи прокатывают, но это так себе способ, не хочется следить за их актуальностью.

Share this post


Link to post
Share on other sites

Для начала было бы неплохо разобраться, почему ваш DNS долго ресолвит/отвечает.

Share this post


Link to post
Share on other sites

не понял вашего вопроса, все происходит мгновенно

 

еще должна помочь биндовая опция minimal-responses yes;

размер ответа значительно уменьшается, нет секции authoritative

чем грозит ее включение?

Share this post


Link to post
Share on other sites

А, понял теперь. Я под "большим" вначале понял время ответа.

Сейчас проверил у себя, Unbound возвращает только альяс, один IP и один IPv6. И точно также отвечает 8.8.8.8.

Share this post


Link to post
Share on other sites
4 часа назад, Valaskor сказал:

Кто сталкивался? Как побороть?

Настройте ваш днс сервер более корректно.

У unbound вроде есть крутилки для задания макс размера пакета, он сам лишнее отрежет.

Share this post


Link to post
Share on other sites

И какие же крутилки таки есть у unbound ?

Share this post


Link to post
Share on other sites

        # Maximum UDP response size (not applied to TCP response).
        # Suggested values are 512 to 4096. Default is 4096. 65536 disables it.
        max-udp-size: 65536
 

        # EDNS reassembly buffer to advertise to UDP peers (the actual buffer
        # is set with msg-buffer-size). 1480 can solve fragmentation (timeouts).
        edns-buffer-size: 16384

 

        # Harden against very small EDNS buffer sizes.
        # Very small EDNS buffer sizes from queries are ignored. Default is off
        harden-short-bufsize: no

 

        # Harden against unseemly large queries.
        harden-large-queries: no

 

        # Harden against out of zone rrsets, to avoid spoofing attempts.
        harden-glue: yes

 

На самом имхо первые два роялят в данном случае, остальные вроде как к итератору относятся.

Share this post


Link to post
Share on other sites
6 часов назад, Valaskor сказал:

еще должна помочь биндовая опция minimal-responses yes;

размер ответа значительно уменьшается, нет секции authoritative

чем грозит ее включение?

когда то давно на ресолвере, настроенном ходить на форвардер, если ему прилетал в ответ с minimal-responses yes; то на нем ломался DNSSEC, уже не помню, бинд кажется ломался. давно было.. Как оно сейчас я за ненадобностью не проверял, возможно починили. Ну и тот же 8.8.8.8 так и возвращает, если кому то нужен DNSSEC, то они в состоянии сходить за ответами и без вашего сервера, в общем. Других противопоказаний для клиентских подключений небыло замечено.

Share this post


Link to post
Share on other sites

В unbound есть ещё пара граблей, я там включал в резолвере минимизацию cname вроде, в общем он типа должен был у каждого донс сервера спрашивать не молное имя домена а только необходимую следующую часть. И это мне сломало какие то отдельные сайты. Пришлось выключить.

Share this post


Link to post
Share on other sites

Решил пока оставить minimal-responses yes, жалоб вроде не было.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this