Wingman Опубликовано 12 января, 2011 · Жалоба Есть ли способ заставить bind при нескольких A-записях для одного хоста отдавать не сразу их все (в случайном/циклическом порядке), а только одну, изменяющуюся? При добавлении в стек vpn-серверов лишней пары столкнулись с тем, что некоторые кривые soho-роутеры не переваривают слишком большой ответ dns. Некоторые файерволы тоже - считают его атакой ;( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a_andry Опубликовано 13 января, 2011 · Жалоба Распишите пару view, для половины сети отдавайте одну половину серверов, для второй - вторую :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 13 января, 2011 · Жалоба Распишите пару view, для половины сети отдавайте одну половину серверов, для второй - вторую :) Думал уже, оставлю на самый крайний случай, костыль неудобнейший) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 13 января, 2011 · Жалоба А сколько их у вас? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 13 января, 2011 · Жалоба А сколько их у вас? 16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 13 января, 2011 · Жалоба [root@martin ~]# host vpn.lds.net.ua | wc -l 19 никаких проблем не видел... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 13 января, 2011 · Жалоба [root@martin ~]# host vpn.lds.net.ua | wc -l19 никаких проблем не видел... Да у нас тоже сравнительно недавно и пока не очень массово начались. В роутерах - какая-то галка типа "защита от атак", в хитровымученных файерволах - тоже что-то типа того. Сейчас попробовал max-udp-size 512, может быть поможет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 13 января, 2011 (изменено) · Жалоба А не в том ли проблема, что ответ стал длиннее 500 байт, и клиент пытается переполучить его по TCP, а далее втыкается в закрытый tcp/53 (да хоть в том же клиентской фаеррволе.)? Может быть minimal-responses yes; поможет? Если у Вас при 16 IP еще и развесистый ответ про NSы и их IP, то там может за 500 байт вылезет. Просто 16 IP должны лезть. У vpn.lds.net.ua например 430 байт... а без NSов 336 Изменено 13 января, 2011 пользователем st_re Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 13 января, 2011 · Жалоба Блжад, я лох) Не 16, а 23 сервера всего, пардон, когда смотрел - часть была убрана из днс =\ Проблема проявилась сразу после добавления нескольких в пул. Включил minimal-responses, смотрим. Ответ сейчас выглядит так: 17:34:18.120268 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 62) 192.168.0.5.53387 > 192.168.0.3.53: 43302+[|domain] 17:34:18.120459 IP (tos 0x0, ttl 64, id 58544, offset 0, flags [none], proto UDP (17), length 414) 192.168.0.3.53 > 192.168.0.5.53387: 43302*[|domain] Отчет человека, который за деньгу роутеры настраивает: 17:31:15: Опять у многих в разных сегментах не работает роутер со вписанном сервером vpn.xx.yy - помогает только замена сервера на ип впна 17:31:51: я ща сижу болею - сурик меня заменяет - шквал звонков продолжается по сию минуту ему Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 13 января, 2011 (изменено) · Жалоба К текущим 414 байтам 100+ байт additional легко добавится. Но при таком количестве, наверное имеет смысл заморачиваться с системой учета VPN серверов, и генерить список IP 1. По короче 2. Живых 3. Наименее нагруженных Завести отдельный поддомен и в нем хоть изменяя файлик и говоря rndc reload xxx.xxx.ru или же динамик апдейтом... Тем самым клиенты всегда будут получать несколько живых и несильно нагруженных сервера, а не все. Изменено 13 января, 2011 пользователем st_re Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 13 января, 2011 · Жалоба К текущим 414 байтам 100+ байт additional легко добавится. Но при таком количестве, наверное имеет смысл заморачиваться с системой учета VPN серверов, и генерить список IP1. По короче 2. Живых 3. Наименее нагруженных Завести отдельный поддомен и в нем хоть изменяя файлик и говоря rndc reload xxx.xxx.ru или же динамик апдейтом... Тем самым клиенты всегда будут получать несколько живых и несильно нагруженных сервера, а не все. Примерно так и делаем - но только для "не-выдачи" перегуженных впнов... Видимо, да, придется еще и несколько ненагруженых убирать ;( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 января, 2011 · Жалоба Включил minimal-responses, смотрим. Ответ сейчас выглядит так: http://www.netlab.linkpc.net/download/software...l/DNSLookup.exeПокажет более человечно ответы. ХЗ как в бинде что настраивается, но есть такая штука - компрессия имён. Если она включена, то 1.домен.ком, 2.домен.ком, 3.домен.ком в днс пакете домен.ком будет записан всего 1 раз, дальше на него пойдут ссылки. 1 запись А будет примерно занимать 15 байт + длина текстовой метки (1, 2, 3 - в примере). 12 байт заголовок пакета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 13 января, 2011 · Жалоба Насколько я вижу, имя там и так 1 раз (уж простите, приведенный Выше домен опять попользую) 00:00:12.299101 IP xxxxxxxx.59322 > 193.192.36.1.53: 32510+ A? vpn.lds.net.ua. (32) 0x0020: 0001 0000 0000 0000 0376 706e 036c 6473 .........vpn.lds 0x0030: 036e 6574 0275 6100 0001 0001 .net.ua..... 00:00:12.356643 IP 193.192.36.1.53 > xxxxxxxx.59322: 32510*- 19/0/0 A 10.0.5.18, A 10.0.5.15, A 10.0.5.4, A 10.0.5.5, A 10.0.5.11, A 10.0.5.2, A 10.0.5.3, A 10.0.5.9, A 10.0.5.17, A 10.0.5.12, A 10.0.5.16, A 10.0.5.8, A 10.0.5.19, A 10.0.5.7, A 10.0.5.14, A 10.0.5.13, A 10.0.5.6, A 10.0.5.10, A 10.0.5.1 (336) 0x0020: 0001 0013 0000 0000 0376 706e 036c 6473 .........vpn.lds 0x0030: 036e 6574 0275 6100 0001 0001 c00c 0001 .net.ua......... 0x0040: 0001 0000 003c 0004 0a00 0512 c00c 0001 .....<.......... 0x0050: 0001 0000 003c 0004 0a00 050f c00c 0001 .....<.......... 0x0060: 0001 0000 003c 0004 0a00 0504 c00c 0001 .....<.......... 0x0070: 0001 0000 003c 0004 0a00 0505 c00c 0001 .....<.......... 0x0080: 0001 0000 003c 0004 0a00 050b c00c 0001 .....<.......... 0x0090: 0001 0000 003c 0004 0a00 0502 c00c 0001 .....<.......... 0x00a0: 0001 0000 003c 0004 0a00 0503 c00c 0001 .....<.......... 0x00b0: 0001 0000 003c 0004 0a00 0509 c00c 0001 .....<.......... 0x00c0: 0001 0000 003c 0004 0a00 0511 c00c 0001 .....<.......... 0x00d0: 0001 0000 003c 0004 0a00 050c c00c 0001 .....<.......... 0x00e0: 0001 0000 003c 0004 0a00 0510 c00c 0001 .....<.......... 0x00f0: 0001 0000 003c 0004 0a00 0508 c00c 0001 .....<.......... 0x0100: 0001 0000 003c 0004 0a00 0513 c00c 0001 .....<.......... 0x0110: 0001 0000 003c 0004 0a00 0507 c00c 0001 .....<.......... 0x0120: 0001 0000 003c 0004 0a00 050e c00c 0001 .....<.......... 0x0130: 0001 0000 003c 0004 0a00 050d c00c 0001 .....<.......... 0x0140: 0001 0000 003c 0004 0a00 0506 c00c 0001 .....<.......... 0x0150: 0001 0000 003c 0004 0a00 050a c00c 0001 .....<.......... 0x0160: 0001 0000 003c 0004 0a00 0501 .....<...... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 14 января, 2011 · Жалоба я у себя включил minimal-responses на всякий случай.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 января, 2011 · Жалоба Насколько я вижу, имя там и так 1 раз (уж простите, приведенный Выше домен опять попользую)Посмотрите в рфк формат ресурсных записей.Либо смотрите на дамп не распарсеный. В вашем распарсеном даже ттл не видно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 января, 2011 · Жалоба В моем дампе есть все байты ответа. не отпарсенные. (первые 2 строки я отрезал, там по вопросу ничего нету.) С какого по какой бит там встречается имя vpn.lds.net.ua в ответе ? Я вижу ровно 1 раз с 0x29 по 0x37. Остальное IP, но они разные. И такой ответ идет по умолчанию в современных биндах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...