Перейти к содержимому
Калькуляторы

round-robin dns, bind, формат выдачи

Есть ли способ заставить bind при нескольких A-записях для одного хоста отдавать не сразу их все (в случайном/циклическом порядке), а только одну, изменяющуюся?

 

При добавлении в стек vpn-серверов лишней пары столкнулись с тем, что некоторые кривые soho-роутеры не переваривают слишком большой ответ dns. Некоторые файерволы тоже - считают его атакой ;(

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Распишите пару view, для половины сети отдавайте одну половину серверов, для второй - вторую :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Распишите пару view, для половины сети отдавайте одну половину серверов, для второй - вторую :)

Думал уже, оставлю на самый крайний случай, костыль неудобнейший)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А сколько их у вас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[root@martin ~]# host vpn.lds.net.ua | wc -l

19

 

никаких проблем не видел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[root@martin ~]# host vpn.lds.net.ua | wc -l

19

 

никаких проблем не видел...

Да у нас тоже сравнительно недавно и пока не очень массово начались. В роутерах - какая-то галка типа "защита от атак", в хитровымученных файерволах - тоже что-то типа того. Сейчас попробовал max-udp-size 512, может быть поможет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не в том ли проблема, что ответ стал длиннее 500 байт, и клиент пытается переполучить его по TCP, а далее втыкается в закрытый tcp/53 (да хоть в том же клиентской фаеррволе.)?

 

Может быть

minimal-responses yes;

поможет?

 

Если у Вас при 16 IP еще и развесистый ответ про NSы и их IP, то там может за 500 байт вылезет. Просто 16 IP должны лезть. У vpn.lds.net.ua например 430 байт... а без NSов 336

Изменено пользователем st_re

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блжад, я лох) Не 16, а 23 сервера всего, пардон, когда смотрел - часть была убрана из днс =\ Проблема проявилась сразу после добавления нескольких в пул.

 

Включил minimal-responses, смотрим. Ответ сейчас выглядит так:

17:34:18.120268 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 62) 192.168.0.5.53387 > 192.168.0.3.53: 43302+[|domain]
17:34:18.120459 IP (tos 0x0, ttl 64, id 58544, offset 0, flags [none], proto UDP (17), length 414) 192.168.0.3.53 > 192.168.0.5.53387: 43302*[|domain]

 

 

 

Отчет человека, который за деньгу роутеры настраивает:

17:31:15: Опять у многих в разных сегментах не работает роутер со вписанном сервером vpn.xx.yy - помогает только замена сервера на ип впна

17:31:51: я ща сижу болею - сурик меня заменяет - шквал звонков продолжается по сию минуту ему

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К текущим 414 байтам 100+ байт additional легко добавится. Но при таком количестве, наверное имеет смысл заморачиваться с системой учета VPN серверов, и генерить список IP

1. По короче

2. Живых

3. Наименее нагруженных

 

Завести отдельный поддомен и в нем хоть изменяя файлик и говоря rndc reload xxx.xxx.ru или же динамик апдейтом... Тем самым клиенты всегда будут получать несколько живых и несильно нагруженных сервера, а не все.

Изменено пользователем st_re

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К текущим 414 байтам 100+ байт additional легко добавится. Но при таком количестве, наверное имеет смысл заморачиваться с системой учета VPN серверов, и генерить список IP

1. По короче

2. Живых

3. Наименее нагруженных

 

Завести отдельный поддомен и в нем хоть изменяя файлик и говоря rndc reload xxx.xxx.ru или же динамик апдейтом... Тем самым клиенты всегда будут получать несколько живых и несильно нагруженных сервера, а не все.

Примерно так и делаем - но только для "не-выдачи" перегуженных впнов... Видимо, да, придется еще и несколько ненагруженых убирать ;(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включил minimal-responses, смотрим. Ответ сейчас выглядит так:
http://www.netlab.linkpc.net/download/software...l/DNSLookup.exe

Покажет более человечно ответы.

 

ХЗ как в бинде что настраивается, но есть такая штука - компрессия имён.

Если она включена, то 1.домен.ком, 2.домен.ком, 3.домен.ком

в днс пакете домен.ком будет записан всего 1 раз, дальше на него пойдут ссылки.

1 запись А будет примерно занимать 15 байт + длина текстовой метки (1, 2, 3 - в примере).

12 байт заголовок пакета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я вижу, имя там и так 1 раз (уж простите, приведенный Выше домен опять попользую)

 

00:00:12.299101 IP xxxxxxxx.59322 > 193.192.36.1.53: 32510+ A? vpn.lds.net.ua. (32)
        0x0020:  0001 0000 0000 0000 0376 706e 036c 6473  .........vpn.lds
        0x0030:  036e 6574 0275 6100 0001 0001            .net.ua.....
00:00:12.356643 IP 193.192.36.1.53 > xxxxxxxx.59322: 32510*- 19/0/0 A 10.0.5.18, A 10.0.5.15, A 10.0.5.4, A 10.0.5.5, A 10.0.5.11, A 10.0.5.2, A 10.0.5.3, A 10.0.5.9, A 10.0.5.17, A 10.0.5.12, A 10.0.5.16, A 10.0.5.8, A 10.0.5.19, A 10.0.5.7, A 10.0.5.14, A 10.0.5.13, A 10.0.5.6, A 10.0.5.10, A 10.0.5.1 (336)
        0x0020:  0001 0013 0000 0000 0376 706e 036c 6473  .........vpn.lds
        0x0030:  036e 6574 0275 6100 0001 0001 c00c 0001  .net.ua.........
        0x0040:  0001 0000 003c 0004 0a00 0512 c00c 0001  .....<..........
        0x0050:  0001 0000 003c 0004 0a00 050f c00c 0001  .....<..........
        0x0060:  0001 0000 003c 0004 0a00 0504 c00c 0001  .....<..........
        0x0070:  0001 0000 003c 0004 0a00 0505 c00c 0001  .....<..........
        0x0080:  0001 0000 003c 0004 0a00 050b c00c 0001  .....<..........
        0x0090:  0001 0000 003c 0004 0a00 0502 c00c 0001  .....<..........
        0x00a0:  0001 0000 003c 0004 0a00 0503 c00c 0001  .....<..........
        0x00b0:  0001 0000 003c 0004 0a00 0509 c00c 0001  .....<..........
        0x00c0:  0001 0000 003c 0004 0a00 0511 c00c 0001  .....<..........
        0x00d0:  0001 0000 003c 0004 0a00 050c c00c 0001  .....<..........
        0x00e0:  0001 0000 003c 0004 0a00 0510 c00c 0001  .....<..........
        0x00f0:  0001 0000 003c 0004 0a00 0508 c00c 0001  .....<..........
        0x0100:  0001 0000 003c 0004 0a00 0513 c00c 0001  .....<..........
        0x0110:  0001 0000 003c 0004 0a00 0507 c00c 0001  .....<..........
        0x0120:  0001 0000 003c 0004 0a00 050e c00c 0001  .....<..........
        0x0130:  0001 0000 003c 0004 0a00 050d c00c 0001  .....<..........
        0x0140:  0001 0000 003c 0004 0a00 0506 c00c 0001  .....<..........
        0x0150:  0001 0000 003c 0004 0a00 050a c00c 0001  .....<..........
        0x0160:  0001 0000 003c 0004 0a00 0501            .....<......

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я у себя включил minimal-responses на всякий случай....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я вижу, имя там и так 1 раз (уж простите, приведенный Выше домен опять попользую)
Посмотрите в рфк формат ресурсных записей.

Либо смотрите на дамп не распарсеный.

В вашем распарсеном даже ттл не видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В моем дампе есть все байты ответа. не отпарсенные. (первые 2 строки я отрезал, там по вопросу ничего нету.) С какого по какой бит там встречается имя vpn.lds.net.ua в ответе ? Я вижу ровно 1 раз с 0x29 по 0x37. Остальное IP, но они разные. И такой ответ идет по умолчанию в современных биндах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.