Valaskor Posted May 13, 2019 Posted May 13, 2019 У нас часто прилетает такой резолв: www.youtube.com -CNAME> youtube-ui.l.google.com -A> список из 16шт A-записей, разные ипишники. Клиентское устройство (обычно смарт-телек или андроид) в этом случае считает, что ответ великоват и пытается перезапросить у днс-сервера то же самое по TCP-53. Но, если клиентское CPE не умеет TCP-DNS, на этом все и заканчивается, ютуб не работает! Большая часть soho-роутеров как раз не умеет. Кто сталкивался? Как побороть? Фейковые A-записи прокатывают, но это так себе способ, не хочется следить за их актуальностью. Вставить ник Quote
alibek Posted May 13, 2019 Posted May 13, 2019 Для начала было бы неплохо разобраться, почему ваш DNS долго ресолвит/отвечает. Вставить ник Quote
Valaskor Posted May 13, 2019 Author Posted May 13, 2019 не понял вашего вопроса, все происходит мгновенно еще должна помочь биндовая опция minimal-responses yes; размер ответа значительно уменьшается, нет секции authoritative чем грозит ее включение? Вставить ник Quote
alibek Posted May 13, 2019 Posted May 13, 2019 А, понял теперь. Я под "большим" вначале понял время ответа. Сейчас проверил у себя, Unbound возвращает только альяс, один IP и один IPv6. И точно также отвечает 8.8.8.8. Вставить ник Quote
Ivan_83 Posted May 13, 2019 Posted May 13, 2019 4 часа назад, Valaskor сказал: Кто сталкивался? Как побороть? Настройте ваш днс сервер более корректно. У unbound вроде есть крутилки для задания макс размера пакета, он сам лишнее отрежет. Вставить ник Quote
nemo_lynx Posted May 13, 2019 Posted May 13, 2019 И какие же крутилки таки есть у unbound ? Вставить ник Quote
Ivan_83 Posted May 13, 2019 Posted May 13, 2019 # Maximum UDP response size (not applied to TCP response). # Suggested values are 512 to 4096. Default is 4096. 65536 disables it. max-udp-size: 65536 # EDNS reassembly buffer to advertise to UDP peers (the actual buffer # is set with msg-buffer-size). 1480 can solve fragmentation (timeouts). edns-buffer-size: 16384 # Harden against very small EDNS buffer sizes. # Very small EDNS buffer sizes from queries are ignored. Default is off harden-short-bufsize: no # Harden against unseemly large queries. harden-large-queries: no # Harden against out of zone rrsets, to avoid spoofing attempts. harden-glue: yes На самом имхо первые два роялят в данном случае, остальные вроде как к итератору относятся. Вставить ник Quote
st_re Posted May 13, 2019 Posted May 13, 2019 6 часов назад, Valaskor сказал: еще должна помочь биндовая опция minimal-responses yes; размер ответа значительно уменьшается, нет секции authoritative чем грозит ее включение? когда то давно на ресолвере, настроенном ходить на форвардер, если ему прилетал в ответ с minimal-responses yes; то на нем ломался DNSSEC, уже не помню, бинд кажется ломался. давно было.. Как оно сейчас я за ненадобностью не проверял, возможно починили. Ну и тот же 8.8.8.8 так и возвращает, если кому то нужен DNSSEC, то они в состоянии сходить за ответами и без вашего сервера, в общем. Других противопоказаний для клиентских подключений небыло замечено. Вставить ник Quote
Ivan_83 Posted May 13, 2019 Posted May 13, 2019 В unbound есть ещё пара граблей, я там включал в резолвере минимизацию cname вроде, в общем он типа должен был у каждого донс сервера спрашивать не молное имя домена а только необходимую следующую часть. И это мне сломало какие то отдельные сайты. Пришлось выключить. Вставить ник Quote
Valaskor Posted May 14, 2019 Author Posted May 14, 2019 Решил пока оставить minimal-responses yes, жалоб вроде не было. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.