[aneye]

Привет.

Операторам начали рассылать инструкции по подключению к "национальной системе доменных имен (НСДИ)". В инструкции указано несколько способов, как вы, как оператор, можете произвести подключение. Там ничего особенного: предлагается либо скопировать рутовую зону себе на сервер, если у вас bind, либо сделать форвардинг на предоставленные в инструкции адреса. Можно выбрать любой из способов. У нас для клиентов используются pdns-recursor-ы, но меня смущают некоторые вещи и вот хотел спросить, возможно, кто подскажет.

 

В pdns-recursor список рутовых серверов "вшит". В документации и в гугле я нигде не смог найти конкретного списка root.hints для pdns. Да собственно, он здесь не так важен. Важно другое: если мы форвардим все запросы на всего пару адресов (причем, они из одного блока, т.е. вариант случайного блэкхола по какой-то причине у апстрима вполне возможен), то что будет, если данные адреса по какой-то причине станут недоступны? Если кто работает с pdns, подскажите, как он ведет себя в случае, если мы жестко указываем адреса форвардинга, но они не отвечают? Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка?

[SOFTOLAB]

Надеюсь это только для умирающих зон .ru, .su и рф?

[aneye]

Боюсь вас разочаровать, но в инструкции указана точка - т.е. зона "." :)

[st_re]

34 минуты назад, SOFTOLAB сказал:

Надеюсь это только для умирающих зон .ru, .su и рф?

нет это для нового Чебурнета.. весь Интернет мы разрушим, до основания, а затем, мы новый наш Чебурнет построим, и кто не спрятался, тот сам виноват.

 

Они, кстати, еще не в курсе, что в named.root не просто так сильно больше 1 ip.. anycast здорово, но не всегда достаточно..

[aneye]

Я не уверен, что те адреса, которые в инструкции - anycast. Возможно, они разные для разных макро-регионов. Но в любом случае - их всего два (точнее сказать, их четыре, еще два ipv6, но 99% что это те же самые устройства). Поэтому, вопрос остаеться в силе - как поведет себя pdns (да и bind в общем то), если трафик до них внезапно пойдет в девнуль.

[Умник]

6 минут назад, aneye сказал:

Я не уверен, что те адреса, которые в инструкции - anycast. Возможно, они разные для разных макро-регионов. Но в любом случае - их всего два (точнее сказать, их четыре, еще два ipv6, но 99% что это те же самые устройства). Поэтому, вопрос остаеться в силе - как поведет себя pdns (да и bind в общем то), если трафик до них внезапно пойдет в девнуль.

 

Так или иначе - anycast. https://forum.nag.ru/index.php?/topic/153026-prikaz-221-svedeniya-v-roskomnadzor-prinyato/&do=findComment&comment=1630629

[aneye]

А, я случайно сделал параллельную тему? Извините. Хотя у меня вопрос достаточно конкретный - че делать будем? :)

[sol]

Что делать, что делать... Выполнять будем... Какие ещё варианты? Поднять DNS на роутере с опенврт и сдать его в РКН а у себя оставить "как было" что ли?

 

[sdy_moscow]

Запомните старый анекдот.

 

Брежнев созывает совещание:

- Товарищи, США высадили человека на Луну, я решил, мы должны высадить человека на Солнце!

- Но это невозможно, он-же сгорит!

- Не переживайте, я всё продумал! Мы полетим туда ночью!

 

Ну и авторское продолжение.

 

- Ну, раз партия сказала "надо на Солнце", то долетим Леонид Ильич! Не переживайте!

Через неделю приносят Брежневу фотографию: плохо видимый на темном фоне человек в скафандре стоит в каком-то облаке серой пыли, с флагом СССР.

- Вот Леонид Ильич, слетали, вернулись. Вот в доказательство - фотография.

- А почему такая темная?

- Так ночь же!

- А почему всё в пыли?

- Так зола-же, солнце то - вон как горит!

- А если, американцы проверить захотят, что наш флаг стоит?

- Ну ночью Солнца не видно, а днем так слепит, что ничего не разглядишь! Так что, или пусть верят на слово, или пусть сами долетят! Ведь Советские люди - никогда не обманывают!

[aneye]

Ну, вариантов "обхода" этого достаточно. Начиная от поднятия "левых" рекурсоров, заканчивая выдачей клиентам публичных забугорных dns-ов. Форвардить все запросы к "нашим" меня не смущает, меня интересует потенциальная живость этих адресов. 

[sdy_moscow]

Только что, aneye сказал:

Ну, вариантов "обхода" этого достаточно. Начиная от поднятия "левых" рекурсоров, заканчивая выдачей клиентам публичных забугорных dns-ов. Форвардить все запросы к "нашим" меня не смущает, меня интересует потенциальная живость этих адресов. 

Она всех интересует...

[Rivia]

А еще это опять-таки потенциальная единая точка отказа. Никаких требований по НСДИ кстати не получали пока

[alibek]

Самый простой вариант — указать в памятке абонента новые адреса православных DNS с просьбой использовать их.

В конце концов у оператора может вообще не быть своих DNS-серверов.

[straus]

Умные абоненты ставят

8.8.8.8

8.8.4.4

1.1.1.1
 

[aneye]

Всё, что требует от абонента дополнительных действий уже не может относиться к "самым простым вариантам".

 

Про единую точку отказа полностью согласен. Хотя, есть впечатление, что это и есть основная мысль.

[alibek]

1 час назад, aneye сказал:

Всё, что требует от абонента дополнительных действий

Причем тут "требует"?

Это уже дело абонента, какие DNS использовать.

[Rivia]

В принципе я так понимаю ничто не запрещает провайдеру иметь два набора днс-серверов - с нсди и без оных.

[edo]

12 часов назад, aneye сказал:

Если кто работает с pdns, подскажите, как он ведет себя в случае, если мы жестко указываем адреса форвардинга, но они не отвечают? Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка?

КМК проверить это дело нескольких минут

[lugoblin]

18 hours ago, aneye said:

В pdns-recursor список рутовых серверов "вшит". В документации и в гугле я нигде не смог найти конкретного списка root.hints для pdns.

Дефолтный /usr/share/dns/root.hints

Менять в конфиге https://docs.powerdns.com/recursor/settings.html#hint-file

 

18 hours ago, aneye said:

если мы форвардим все запросы на всего пару адресов [...] то что будет, если данные адреса по какой-то причине станут недоступны?

(из общих соображений, в PowerDNS не эксперт)
То-же самое, как если бы аплинк отвалился. Что закэшированно и ещё не испортилось, будет резольвиться. Остальное будет NXDOMAIN.

 

18 hours ago, aneye said:

Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка?

В принципе, наверное можно просто добавить чебурашкины адреса корневых DNS к дефолтному root.hints. Если вражеские DNS отключат, то я бы ожидал что оно будет перебирать hints пока не найдёт живой сервер.

 

Стратегия сильно зависит от того, чего мы хотим достичь, какие конкретные требования у регулятора или у бизнеса.

Не резольвить ни через кого, кроме Чебурнета, а если он отвалится то не резольвить вообще?

Резольвить строго приоритетно через Чебурнет, а если он отвалится то так и быть через зарубеж?

Резольвить как угодно, но если буржуи отключат DNS, то обязательно обращаться к Чебурнету?

 

Разумеется, имеет смысл погонять разные сценарии на макете. Ещё было бы интересно завести робота, чтобы отслеживал, отличаются ли по существу ответы от Чебурнета и от остальных. Да и вообще, на аптайм поглядывать, результаты с коллегами сверять. Просто чтобы если что случится, узнать об этом не из нудного траблшутинга с клиентом, а от доверенного источника.

[straus]

15 минут назад, lugoblin сказал:

Не резольвить ни через кого, кроме Чебурнета, а если он отвалится то не резольвить вообще?

Пока не указано, но планируется так. Более того, 53 порт всегда заворачивать на чебурнет, не пуская больше ни на какие чужие днсы. Но это озвучат позже, где-то в июне-июле.
 

[snvoronkov]

19 минут назад, straus сказал:

Но это озвучат позже, где-то в июне-июле

Не прав. УЖЕ озвучивали.

Только это бесполезно, ибо DoH.

[taf_321]

32 минуты назад, snvoronkov сказал:

Только это бесполезно, ибо DoH.

Прямо как дети. Появится в известном списке еще несколько строчек в разделе "банить по IP" и всех делов. Это, чай не за телегой гоняться.

[snvoronkov]

3 минуты назад, taf_321 сказал:

Прямо как дети. Появится в известном списке еще несколько строчек в разделе "банить по IP" и всех делов. Это, чай не за телегой гоняться.

Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет.

[taf_321]

16 минут назад, snvoronkov сказал:

Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет.

И что же там должно такого важного отсохнуть? DoH придумывался совсем не для "безопасности" и надежности, а для монетизации еще одного потока пользовательских данных.

[Умник]

27 минут назад, snvoronkov сказал:

Рекомендую ознакомиться ЧТО придется банить.

https://en.wikipedia.org/wiki/Public_recursive_name_server