Jump to content
Калькуляторы

round-robin dns, bind, формат выдачи

Есть ли способ заставить bind при нескольких A-записях для одного хоста отдавать не сразу их все (в случайном/циклическом порядке), а только одну, изменяющуюся?

 

При добавлении в стек vpn-серверов лишней пары столкнулись с тем, что некоторые кривые soho-роутеры не переваривают слишком большой ответ dns. Некоторые файерволы тоже - считают его атакой ;(

 

Share this post


Link to post
Share on other sites

Распишите пару view, для половины сети отдавайте одну половину серверов, для второй - вторую :)

 

Share this post


Link to post
Share on other sites
Распишите пару view, для половины сети отдавайте одну половину серверов, для второй - вторую :)

Думал уже, оставлю на самый крайний случай, костыль неудобнейший)

Share this post


Link to post
Share on other sites

[root@martin ~]# host vpn.lds.net.ua | wc -l

19

 

никаких проблем не видел...

Share this post


Link to post
Share on other sites
[root@martin ~]# host vpn.lds.net.ua | wc -l

19

 

никаких проблем не видел...

Да у нас тоже сравнительно недавно и пока не очень массово начались. В роутерах - какая-то галка типа "защита от атак", в хитровымученных файерволах - тоже что-то типа того. Сейчас попробовал max-udp-size 512, может быть поможет

Share this post


Link to post
Share on other sites

А не в том ли проблема, что ответ стал длиннее 500 байт, и клиент пытается переполучить его по TCP, а далее втыкается в закрытый tcp/53 (да хоть в том же клиентской фаеррволе.)?

 

Может быть

minimal-responses yes;

поможет?

 

Если у Вас при 16 IP еще и развесистый ответ про NSы и их IP, то там может за 500 байт вылезет. Просто 16 IP должны лезть. У vpn.lds.net.ua например 430 байт... а без NSов 336

Edited by st_re

Share this post


Link to post
Share on other sites

Блжад, я лох) Не 16, а 23 сервера всего, пардон, когда смотрел - часть была убрана из днс =\ Проблема проявилась сразу после добавления нескольких в пул.

 

Включил minimal-responses, смотрим. Ответ сейчас выглядит так:

17:34:18.120268 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 62) 192.168.0.5.53387 > 192.168.0.3.53: 43302+[|domain]
17:34:18.120459 IP (tos 0x0, ttl 64, id 58544, offset 0, flags [none], proto UDP (17), length 414) 192.168.0.3.53 > 192.168.0.5.53387: 43302*[|domain]

 

 

 

Отчет человека, который за деньгу роутеры настраивает:

17:31:15: Опять у многих в разных сегментах не работает роутер со вписанном сервером vpn.xx.yy - помогает только замена сервера на ип впна

17:31:51: я ща сижу болею - сурик меня заменяет - шквал звонков продолжается по сию минуту ему

 

Share this post


Link to post
Share on other sites

К текущим 414 байтам 100+ байт additional легко добавится. Но при таком количестве, наверное имеет смысл заморачиваться с системой учета VPN серверов, и генерить список IP

1. По короче

2. Живых

3. Наименее нагруженных

 

Завести отдельный поддомен и в нем хоть изменяя файлик и говоря rndc reload xxx.xxx.ru или же динамик апдейтом... Тем самым клиенты всегда будут получать несколько живых и несильно нагруженных сервера, а не все.

Edited by st_re

Share this post


Link to post
Share on other sites
К текущим 414 байтам 100+ байт additional легко добавится. Но при таком количестве, наверное имеет смысл заморачиваться с системой учета VPN серверов, и генерить список IP

1. По короче

2. Живых

3. Наименее нагруженных

 

Завести отдельный поддомен и в нем хоть изменяя файлик и говоря rndc reload xxx.xxx.ru или же динамик апдейтом... Тем самым клиенты всегда будут получать несколько живых и несильно нагруженных сервера, а не все.

Примерно так и делаем - но только для "не-выдачи" перегуженных впнов... Видимо, да, придется еще и несколько ненагруженых убирать ;(

Share this post


Link to post
Share on other sites
Включил minimal-responses, смотрим. Ответ сейчас выглядит так:
http://www.netlab.linkpc.net/download/software...l/DNSLookup.exe

Покажет более человечно ответы.

 

ХЗ как в бинде что настраивается, но есть такая штука - компрессия имён.

Если она включена, то 1.домен.ком, 2.домен.ком, 3.домен.ком

в днс пакете домен.ком будет записан всего 1 раз, дальше на него пойдут ссылки.

1 запись А будет примерно занимать 15 байт + длина текстовой метки (1, 2, 3 - в примере).

12 байт заголовок пакета.

Share this post


Link to post
Share on other sites

Насколько я вижу, имя там и так 1 раз (уж простите, приведенный Выше домен опять попользую)

 

00:00:12.299101 IP xxxxxxxx.59322 > 193.192.36.1.53: 32510+ A? vpn.lds.net.ua. (32)
        0x0020:  0001 0000 0000 0000 0376 706e 036c 6473  .........vpn.lds
        0x0030:  036e 6574 0275 6100 0001 0001            .net.ua.....
00:00:12.356643 IP 193.192.36.1.53 > xxxxxxxx.59322: 32510*- 19/0/0 A 10.0.5.18, A 10.0.5.15, A 10.0.5.4, A 10.0.5.5, A 10.0.5.11, A 10.0.5.2, A 10.0.5.3, A 10.0.5.9, A 10.0.5.17, A 10.0.5.12, A 10.0.5.16, A 10.0.5.8, A 10.0.5.19, A 10.0.5.7, A 10.0.5.14, A 10.0.5.13, A 10.0.5.6, A 10.0.5.10, A 10.0.5.1 (336)
        0x0020:  0001 0013 0000 0000 0376 706e 036c 6473  .........vpn.lds
        0x0030:  036e 6574 0275 6100 0001 0001 c00c 0001  .net.ua.........
        0x0040:  0001 0000 003c 0004 0a00 0512 c00c 0001  .....<..........
        0x0050:  0001 0000 003c 0004 0a00 050f c00c 0001  .....<..........
        0x0060:  0001 0000 003c 0004 0a00 0504 c00c 0001  .....<..........
        0x0070:  0001 0000 003c 0004 0a00 0505 c00c 0001  .....<..........
        0x0080:  0001 0000 003c 0004 0a00 050b c00c 0001  .....<..........
        0x0090:  0001 0000 003c 0004 0a00 0502 c00c 0001  .....<..........
        0x00a0:  0001 0000 003c 0004 0a00 0503 c00c 0001  .....<..........
        0x00b0:  0001 0000 003c 0004 0a00 0509 c00c 0001  .....<..........
        0x00c0:  0001 0000 003c 0004 0a00 0511 c00c 0001  .....<..........
        0x00d0:  0001 0000 003c 0004 0a00 050c c00c 0001  .....<..........
        0x00e0:  0001 0000 003c 0004 0a00 0510 c00c 0001  .....<..........
        0x00f0:  0001 0000 003c 0004 0a00 0508 c00c 0001  .....<..........
        0x0100:  0001 0000 003c 0004 0a00 0513 c00c 0001  .....<..........
        0x0110:  0001 0000 003c 0004 0a00 0507 c00c 0001  .....<..........
        0x0120:  0001 0000 003c 0004 0a00 050e c00c 0001  .....<..........
        0x0130:  0001 0000 003c 0004 0a00 050d c00c 0001  .....<..........
        0x0140:  0001 0000 003c 0004 0a00 0506 c00c 0001  .....<..........
        0x0150:  0001 0000 003c 0004 0a00 050a c00c 0001  .....<..........
        0x0160:  0001 0000 003c 0004 0a00 0501            .....<......

Share this post


Link to post
Share on other sites

я у себя включил minimal-responses на всякий случай....

Share this post


Link to post
Share on other sites
Насколько я вижу, имя там и так 1 раз (уж простите, приведенный Выше домен опять попользую)
Посмотрите в рфк формат ресурсных записей.

Либо смотрите на дамп не распарсеный.

В вашем распарсеном даже ттл не видно.

Share this post


Link to post
Share on other sites

В моем дампе есть все байты ответа. не отпарсенные. (первые 2 строки я отрезал, там по вопросу ничего нету.) С какого по какой бит там встречается имя vpn.lds.net.ua в ответе ? Я вижу ровно 1 раз с 0x29 по 0x37. Остальное IP, но они разные. И такой ответ идет по умолчанию в современных биндах.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this