Jump to content
Калькуляторы

Не работает www.youtube.com при большом ответе DNS

У нас часто прилетает такой резолв: www.youtube.com -CNAME> youtube-ui.l.google.com -A> список из 16шт A-записей, разные ипишники.

Клиентское устройство (обычно  смарт-телек или андроид) в этом случае считает, что ответ великоват и пытается перезапросить у днс-сервера то же самое по TCP-53.

Но, если клиентское CPE не умеет TCP-DNS, на этом все и заканчивается, ютуб не работает! Большая часть soho-роутеров как раз не умеет.

 

Кто сталкивался? Как побороть?

Фейковые A-записи прокатывают, но это так себе способ, не хочется следить за их актуальностью.

Share this post


Link to post
Share on other sites

не понял вашего вопроса, все происходит мгновенно

 

еще должна помочь биндовая опция minimal-responses yes;

размер ответа значительно уменьшается, нет секции authoritative

чем грозит ее включение?

Share this post


Link to post
Share on other sites

А, понял теперь. Я под "большим" вначале понял время ответа.

Сейчас проверил у себя, Unbound возвращает только альяс, один IP и один IPv6. И точно также отвечает 8.8.8.8.

Share this post


Link to post
Share on other sites

4 часа назад, Valaskor сказал:

Кто сталкивался? Как побороть?

Настройте ваш днс сервер более корректно.

У unbound вроде есть крутилки для задания макс размера пакета, он сам лишнее отрежет.

Share this post


Link to post
Share on other sites

        # Maximum UDP response size (not applied to TCP response).
        # Suggested values are 512 to 4096. Default is 4096. 65536 disables it.
        max-udp-size: 65536
 

        # EDNS reassembly buffer to advertise to UDP peers (the actual buffer
        # is set with msg-buffer-size). 1480 can solve fragmentation (timeouts).
        edns-buffer-size: 16384

 

        # Harden against very small EDNS buffer sizes.
        # Very small EDNS buffer sizes from queries are ignored. Default is off
        harden-short-bufsize: no

 

        # Harden against unseemly large queries.
        harden-large-queries: no

 

        # Harden against out of zone rrsets, to avoid spoofing attempts.
        harden-glue: yes

 

На самом имхо первые два роялят в данном случае, остальные вроде как к итератору относятся.

Share this post


Link to post
Share on other sites

6 часов назад, Valaskor сказал:

еще должна помочь биндовая опция minimal-responses yes;

размер ответа значительно уменьшается, нет секции authoritative

чем грозит ее включение?

когда то давно на ресолвере, настроенном ходить на форвардер, если ему прилетал в ответ с minimal-responses yes; то на нем ломался DNSSEC, уже не помню, бинд кажется ломался. давно было.. Как оно сейчас я за ненадобностью не проверял, возможно починили. Ну и тот же 8.8.8.8 так и возвращает, если кому то нужен DNSSEC, то они в состоянии сходить за ответами и без вашего сервера, в общем. Других противопоказаний для клиентских подключений небыло замечено.

Share this post


Link to post
Share on other sites

В unbound есть ещё пара граблей, я там включал в резолвере минимизацию cname вроде, в общем он типа должен был у каждого донс сервера спрашивать не молное имя домена а только необходимую следующую часть. И это мне сломало какие то отдельные сайты. Пришлось выключить.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.