Občas nefunční DNS

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od Lada

Dne 2014-05-10 09:47

Ahoj

Se starých routerem se mi tohle nestavalo, ale pokud kliknu na adresu na kterou jsem nikdy nekliknul predtim tak se mi proste nenacte i kdyz google hlasi ze je funkcni.

C:\Users\ladik>nslookup www.tabletymyaudio.cz
Server: UnKnown
Address: 192.168.1.1

*** UnKnown can't find www.tabletymyaudio.cz: Server failed

C:\Users\ladik>nslookup www.tabletymyaudio.cz
Server: UnKnown
Address: 192.168.1.1

*** UnKnown can't find www.tabletymyaudio.cz: Server failed

Tady jsem se napojil na VPN do prace a najednou to zaclo fungovat:

C:\Users\ladik>nslookup www.tabletymyaudio.cz
Server: brndc01.tul.solarwinds.net
Address: 10.140.0.10

Non-authoritative answer:
Name: www.tabletymyaudio.cz
Address: 46.28.105.76

Da se nejak vycist z logu co se tam deje, jelikoz nepredpokladam ze za to může muj provider, jelikoz se starym routerem se mi to opravdu nikdy nestalo.
Uz je to minimalne druhy az treti pripad za tu dobu co mam pripojeny router (5-6 dni)

Dekuji za pomoc
Gorog

Od Ondřej Caletka (>>>)

Dne 2014-05-10 10:14

Odpověď najdete ve stařším tématu. Je to problém nekompatibility DNS serverů vašeho providera s DNSSEC.

Od Lada

Dne 2014-05-10 10:22

Dekuji za bleskovou odpoved. Search jsem zkousel ale narazil jsem na mnogo prispevku:-)

Od komarek

Dne 2014-05-12 09:05 Upraveno 2014-05-12 09:13

I já jsem s špatně funkčním DNS potýkal dlouho a to na dvou různých místech. V mém případě (a určitě i u mnoho jiných nájemců Turrise) provider provoz na portu 53 nikam nepřesměrovává ani jej záměrně neupravuje. Problém byl v inpekčním modulu na hraničním routeru (Cisco ASA). V defaultu u cisca inspekční modul DNS nepropouští dotazy delší než 512 bytes. U mě stačilo zvětšit hodnotu na 4096 bytes a vše se rozběhlo jak má. Takže pokud se váš poskytovatel dušuje že DNS provoz nikam nepřesměrovává, naveďte ho ať se podívá na inspekční moduly.

Od pappermann.moje

Dne 2014-05-12 18:59

Dekuji za tip, tak jsem zkusil napsat svemu ISP a uvidime... protoze ja uz fakt nevim co stim. Vypnou forwardovani v mem pripade vubec nicemu nepomohlo. Jen nechapu, proc stary router v pohode sel. napriklad www.fastport.cz se zda, ze ma DNSSEC uplne v poradku a nejede...mno uvidime co me ISP napise..

Od Ondřej Caletka (>>>)

Dne 2014-05-13 09:04

> Jen nechapu, proc stary router v pohode sel

Starý router určitě neprováděl validaci DNSSEC.

> napriklad www.fastport.cz se zda, ze ma DNSSEC uplne v poradku a nejede...

Fastport.cz je další příklad domény, které používá wildcard * IN CNAME @. A to je přesně to, s čím je při forwardování na BIND problém.

Od Michal Vaner (>>)

Dne 2014-05-13 11:39

Pokud by to opravdu bylo tím omezením velikosti, pak se dá unbound nastavit tak, aby posílal/přijímal jen malé pakety. Jen, je to trochu pokročilejší nastavení.

Další možnost by byla, že pro DNSSEC validaci je potřeba stáhnout více dat, takže to trvá déle a mohlo by vytimeoutovat. Ale to je tak záležitost, která se může projevit u nějakého GPRS připojení, u ničeho normálně použitelného by se to nemělo projevit.

Od komarek

Dne 2014-05-14 07:10 Hlasů 1

Bylo to skutečně omezením velikosti. Napravil to parametr inspekčního modulu DNS "message-length maximum 4096". Původní defaultní hodnota byla 512. Na timeoutech to určitě nepadalo. Pokud by se dal skutečně unbound nastavit tak, aby posílal jen dotazy do 512 bytes, tak by to problém často vyřešilo.