aneye Опубликовано 25 февраля, 2021 · Жалоба Привет. Операторам начали рассылать инструкции по подключению к "национальной системе доменных имен (НСДИ)". В инструкции указано несколько способов, как вы, как оператор, можете произвести подключение. Там ничего особенного: предлагается либо скопировать рутовую зону себе на сервер, если у вас bind, либо сделать форвардинг на предоставленные в инструкции адреса. Можно выбрать любой из способов. У нас для клиентов используются pdns-recursor-ы, но меня смущают некоторые вещи и вот хотел спросить, возможно, кто подскажет. В pdns-recursor список рутовых серверов "вшит". В документации и в гугле я нигде не смог найти конкретного списка root.hints для pdns. Да собственно, он здесь не так важен. Важно другое: если мы форвардим все запросы на всего пару адресов (причем, они из одного блока, т.е. вариант случайного блэкхола по какой-то причине у апстрима вполне возможен), то что будет, если данные адреса по какой-то причине станут недоступны? Если кто работает с pdns, подскажите, как он ведет себя в случае, если мы жестко указываем адреса форвардинга, но они не отвечают? Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 25 февраля, 2021 · Жалоба Надеюсь это только для умирающих зон .ru, .su и рф? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aneye Опубликовано 25 февраля, 2021 · Жалоба Боюсь вас разочаровать, но в инструкции указана точка - т.е. зона "." :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 февраля, 2021 · Жалоба 34 минуты назад, SOFTOLAB сказал: Надеюсь это только для умирающих зон .ru, .su и рф? нет это для нового Чебурнета.. весь Интернет мы разрушим, до основания, а затем, мы новый наш Чебурнет построим, и кто не спрятался, тот сам виноват. Они, кстати, еще не в курсе, что в named.root не просто так сильно больше 1 ip.. anycast здорово, но не всегда достаточно.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aneye Опубликовано 25 февраля, 2021 · Жалоба Я не уверен, что те адреса, которые в инструкции - anycast. Возможно, они разные для разных макро-регионов. Но в любом случае - их всего два (точнее сказать, их четыре, еще два ipv6, но 99% что это те же самые устройства). Поэтому, вопрос остаеться в силе - как поведет себя pdns (да и bind в общем то), если трафик до них внезапно пойдет в девнуль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 февраля, 2021 · Жалоба 6 минут назад, aneye сказал: Я не уверен, что те адреса, которые в инструкции - anycast. Возможно, они разные для разных макро-регионов. Но в любом случае - их всего два (точнее сказать, их четыре, еще два ipv6, но 99% что это те же самые устройства). Поэтому, вопрос остаеться в силе - как поведет себя pdns (да и bind в общем то), если трафик до них внезапно пойдет в девнуль. Так или иначе - anycast. https://forum.nag.ru/index.php?/topic/153026-prikaz-221-svedeniya-v-roskomnadzor-prinyato/&do=findComment&comment=1630629 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aneye Опубликовано 25 февраля, 2021 · Жалоба А, я случайно сделал параллельную тему? Извините. Хотя у меня вопрос достаточно конкретный - че делать будем? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 25 февраля, 2021 · Жалоба Что делать, что делать... Выполнять будем... Какие ещё варианты? Поднять DNS на роутере с опенврт и сдать его в РКН а у себя оставить "как было" что ли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 25 февраля, 2021 · Жалоба Запомните старый анекдот. Брежнев созывает совещание: - Товарищи, США высадили человека на Луну, я решил, мы должны высадить человека на Солнце! - Но это невозможно, он-же сгорит! - Не переживайте, я всё продумал! Мы полетим туда ночью! Ну и авторское продолжение. - Ну, раз партия сказала "надо на Солнце", то долетим Леонид Ильич! Не переживайте! Через неделю приносят Брежневу фотографию: плохо видимый на темном фоне человек в скафандре стоит в каком-то облаке серой пыли, с флагом СССР. - Вот Леонид Ильич, слетали, вернулись. Вот в доказательство - фотография. - А почему такая темная? - Так ночь же! - А почему всё в пыли? - Так зола-же, солнце то - вон как горит! - А если, американцы проверить захотят, что наш флаг стоит? - Ну ночью Солнца не видно, а днем так слепит, что ничего не разглядишь! Так что, или пусть верят на слово, или пусть сами долетят! Ведь Советские люди - никогда не обманывают! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aneye Опубликовано 25 февраля, 2021 · Жалоба Ну, вариантов "обхода" этого достаточно. Начиная от поднятия "левых" рекурсоров, заканчивая выдачей клиентам публичных забугорных dns-ов. Форвардить все запросы к "нашим" меня не смущает, меня интересует потенциальная живость этих адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 25 февраля, 2021 · Жалоба Только что, aneye сказал: Ну, вариантов "обхода" этого достаточно. Начиная от поднятия "левых" рекурсоров, заканчивая выдачей клиентам публичных забугорных dns-ов. Форвардить все запросы к "нашим" меня не смущает, меня интересует потенциальная живость этих адресов. Она всех интересует... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 25 февраля, 2021 · Жалоба А еще это опять-таки потенциальная единая точка отказа. Никаких требований по НСДИ кстати не получали пока Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 февраля, 2021 · Жалоба Самый простой вариант — указать в памятке абонента новые адреса православных DNS с просьбой использовать их. В конце концов у оператора может вообще не быть своих DNS-серверов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 25 февраля, 2021 · Жалоба Умные абоненты ставят 8.8.8.8 8.8.4.4 1.1.1.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aneye Опубликовано 25 февраля, 2021 · Жалоба Всё, что требует от абонента дополнительных действий уже не может относиться к "самым простым вариантам". Про единую точку отказа полностью согласен. Хотя, есть впечатление, что это и есть основная мысль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 февраля, 2021 · Жалоба 1 час назад, aneye сказал: Всё, что требует от абонента дополнительных действий Причем тут "требует"? Это уже дело абонента, какие DNS использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 25 февраля, 2021 · Жалоба В принципе я так понимаю ничто не запрещает провайдеру иметь два набора днс-серверов - с нсди и без оных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 25 февраля, 2021 · Жалоба 12 часов назад, aneye сказал: Если кто работает с pdns, подскажите, как он ведет себя в случае, если мы жестко указываем адреса форвардинга, но они не отвечают? Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка? КМК проверить это дело нескольких минут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 26 февраля, 2021 · Жалоба 18 hours ago, aneye said: В pdns-recursor список рутовых серверов "вшит". В документации и в гугле я нигде не смог найти конкретного списка root.hints для pdns. Дефолтный /usr/share/dns/root.hints Менять в конфиге https://docs.powerdns.com/recursor/settings.html#hint-file 18 hours ago, aneye said: если мы форвардим все запросы на всего пару адресов [...] то что будет, если данные адреса по какой-то причине станут недоступны? (из общих соображений, в PowerDNS не эксперт) То-же самое, как если бы аплинк отвалился. Что закэшированно и ещё не испортилось, будет резольвиться. Остальное будет NXDOMAIN. 18 hours ago, aneye said: Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка? В принципе, наверное можно просто добавить чебурашкины адреса корневых DNS к дефолтному root.hints. Если вражеские DNS отключат, то я бы ожидал что оно будет перебирать hints пока не найдёт живой сервер. Стратегия сильно зависит от того, чего мы хотим достичь, какие конкретные требования у регулятора или у бизнеса. Не резольвить ни через кого, кроме Чебурнета, а если он отвалится то не резольвить вообще? Резольвить строго приоритетно через Чебурнет, а если он отвалится то так и быть через зарубеж? Резольвить как угодно, но если буржуи отключат DNS, то обязательно обращаться к Чебурнету? Разумеется, имеет смысл погонять разные сценарии на макете. Ещё было бы интересно завести робота, чтобы отслеживал, отличаются ли по существу ответы от Чебурнета и от остальных. Да и вообще, на аптайм поглядывать, результаты с коллегами сверять. Просто чтобы если что случится, узнать об этом не из нудного траблшутинга с клиентом, а от доверенного источника. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 26 февраля, 2021 · Жалоба 15 минут назад, lugoblin сказал: Не резольвить ни через кого, кроме Чебурнета, а если он отвалится то не резольвить вообще? Пока не указано, но планируется так. Более того, 53 порт всегда заворачивать на чебурнет, не пуская больше ни на какие чужие днсы. Но это озвучат позже, где-то в июне-июле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 26 февраля, 2021 · Жалоба 19 минут назад, straus сказал: Но это озвучат позже, где-то в июне-июле Не прав. УЖЕ озвучивали. Только это бесполезно, ибо DoH. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 26 февраля, 2021 · Жалоба 32 минуты назад, snvoronkov сказал: Только это бесполезно, ибо DoH. Прямо как дети. Появится в известном списке еще несколько строчек в разделе "банить по IP" и всех делов. Это, чай не за телегой гоняться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 26 февраля, 2021 · Жалоба 3 минуты назад, taf_321 сказал: Прямо как дети. Появится в известном списке еще несколько строчек в разделе "банить по IP" и всех делов. Это, чай не за телегой гоняться. Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 26 февраля, 2021 · Жалоба 16 минут назад, snvoronkov сказал: Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет. И что же там должно такого важного отсохнуть? DoH придумывался совсем не для "безопасности" и надежности, а для монетизации еще одного потока пользовательских данных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 26 февраля, 2021 · Жалоба 27 минут назад, snvoronkov сказал: Рекомендую ознакомиться ЧТО придется банить. https://en.wikipedia.org/wiki/Public_recursive_name_server Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...