[Valaskor]

У нас часто прилетает такой резолв: www.youtube.com -CNAME> youtube-ui.l.google.com -A> список из 16шт A-записей, разные ипишники.

Клиентское устройство (обычно  смарт-телек или андроид) в этом случае считает, что ответ великоват и пытается перезапросить у днс-сервера то же самое по TCP-53.

Но, если клиентское CPE не умеет TCP-DNS, на этом все и заканчивается, ютуб не работает! Большая часть soho-роутеров как раз не умеет.

 

Кто сталкивался? Как побороть?

Фейковые A-записи прокатывают, но это так себе способ, не хочется следить за их актуальностью.

[alibek]

Для начала было бы неплохо разобраться, почему ваш DNS долго ресолвит/отвечает.

[Valaskor]

не понял вашего вопроса, все происходит мгновенно

 

еще должна помочь биндовая опция minimal-responses yes;

размер ответа значительно уменьшается, нет секции authoritative

чем грозит ее включение?

[alibek]

А, понял теперь. Я под "большим" вначале понял время ответа.

Сейчас проверил у себя, Unbound возвращает только альяс, один IP и один IPv6. И точно также отвечает 8.8.8.8.

[Ivan_83]

4 часа назад, Valaskor сказал:

Кто сталкивался? Как побороть?

Настройте ваш днс сервер более корректно.

У unbound вроде есть крутилки для задания макс размера пакета, он сам лишнее отрежет.

[nemo_lynx]

И какие же крутилки таки есть у unbound ?

[Ivan_83]

        # Maximum UDP response size (not applied to TCP response).
        # Suggested values are 512 to 4096. Default is 4096. 65536 disables it.
        max-udp-size: 65536
 

        # EDNS reassembly buffer to advertise to UDP peers (the actual buffer
        # is set with msg-buffer-size). 1480 can solve fragmentation (timeouts).
        edns-buffer-size: 16384

 

        # Harden against very small EDNS buffer sizes.
        # Very small EDNS buffer sizes from queries are ignored. Default is off
        harden-short-bufsize: no

 

        # Harden against unseemly large queries.
        harden-large-queries: no

 

        # Harden against out of zone rrsets, to avoid spoofing attempts.
        harden-glue: yes

 

На самом имхо первые два роялят в данном случае, остальные вроде как к итератору относятся.

[st_re]

6 часов назад, Valaskor сказал:

еще должна помочь биндовая опция minimal-responses yes;

размер ответа значительно уменьшается, нет секции authoritative

чем грозит ее включение?

когда то давно на ресолвере, настроенном ходить на форвардер, если ему прилетал в ответ с minimal-responses yes; то на нем ломался DNSSEC, уже не помню, бинд кажется ломался. давно было.. Как оно сейчас я за ненадобностью не проверял, возможно починили. Ну и тот же 8.8.8.8 так и возвращает, если кому то нужен DNSSEC, то они в состоянии сходить за ответами и без вашего сервера, в общем. Других противопоказаний для клиентских подключений небыло замечено.

[Ivan_83]

В unbound есть ещё пара граблей, я там включал в резолвере минимизацию cname вроде, в общем он типа должен был у каждого донс сервера спрашивать не молное имя домена а только необходимую следующую часть. И это мне сломало какие то отдельные сайты. Пришлось выключить.

[Valaskor]

Решил пока оставить minimal-responses yes, жалоб вроде не было.