DNS DNS DNS - jak to teda je a jak to bude?

Dne 2014-07-24 09:43

Jaké si konkrétně představujete komplexnější řešení? Jediným řešením může být, že vám váš ISP přestane zasahovat do provozu na portu 53. Pak by mělo stačit vypnout Forwarding a všechno začne fungovat. Při vypnutém forwardingu by nemělo záležet na zadaných DNS serverech, ty se v takovém případě nepoužívají. Jestliže vám vyšly rozdílné výsledky, bude to nejspíše způsobeno různými stavy cache DNS serverů, na které vám ISP nejspíše přesměrovavá veškerý provoz.

Možná by stálo za to sepsat Hall Of Shame poskytovatelů, kteří s DNS provozem (a možná nejenom s ním) manipulují.

Od Chemik582

Dne 2014-07-24 09:55

S Hall Of Shame souhlasím a klidně bych to v kooperaci se združeníma jako je OpenAlt Brno a Liberix Olomouc pořádně začal propírat - třeba by se pak někdo z nich chytl za nos a konečně začal aj pracovat.
Tím komplexní jsem měl na mysli že někdo sesbírá ty zkušenosti co tu padají a vytvoří něco jako, například, stránku kde bude něco jako vývojový diagram kde by mohlo být : nefunguje vám toto a tohle pak zkuste toto s tímto a pokud ani to nepůjde tak odešlete svému ISP mail ve zhruba tomto znění. Ne každý tady ví jak stylizovat takový mail aby se nedočkal pohrdavé odpovědi od "servisáků" daného poskytovatele.
A když pominu onen odkaz na nějaké zasahování na portu 53 - zas vím prd co s tím konkrétně dělat!
Napsat, zavolat? Ale CO po nich chtít?

Od Kuba721

Dne 2014-07-24 10:35

Jděte na http://IP-routeru/config/dns/ (Rozhraní Foris - DNS), tam odškrtněte položku Používat forwardování a poté pod tím klikněte na tlačítko Uložit. Poté, na téže stránce níže, klikněte na Otestovat připojení a vše by mělo být v pořádku.

Od Chemik582

Dne 2014-07-24 11:51

Takže viz můj původní příspěvek. Situace jedna a tři. Oboje vyzkoušeno ale bez efektu. Situace třetí dokonce s tím že DNS test končí červeným křížkem.

Od Martin Sojka

Dne 2014-07-24 12:50

Jak jsem psal dříve do jiného vlákna:

Je možné, že do komunikace na portu 53 zasahuje váš provider. Můžete to otestovat tím, že použijete náš DNS server na portu 443:

uci set unbound.server.forward_upstream=0 && uci commit
uci add_list unbound.includes.include_path='/etc/unbound/fixed_forward.conf' && uci commit
echo 'forward-zone:' > /etc/unbound/fixed_forward.conf
echo ' name: "."' >> /etc/unbound/fixed_forward.conf
echo ' forward-addr: 193.29.206.206@443' >> /etc/unbound/fixed_forward.conf
/etc/init.d/unbound restart

updater.sh -n

Jde pouze o provizorní řešení, náš DNS server není dimenzován na velký provoz. Můžete tak jen zkusit, jestli se tím problém vyřeší. Pokud to zafunguje, doporučuji donutit vašeho providera, ať s tím zasahováním do portu 53 přestane.

Od Chemik582

Dne 2014-07-24 12:59

Ano, je to možné. Už sem napsal mail ve kterém jsem se pokusil pokud možná co nesrozumitelněji vysvětlit co chci a poprosit jestli by šlo aby na moji IP chodil port 53 bez zásahů.
No, jsem ososbně docela zvědav jak se k tomu provider postaví a jestli, případně co podnikne.
Děkuji za tu nabídku alespoň na vyzkoušení využít váš DNS a opravdu moc si toho vážím. Této možnosti pro ověření využiji až pokud bude provider kopat a hádat se že to není u něho :wink:

V podstatě by se dalo říct že svým způsobem by mohl být takovýto případ i vnímán jako nějaká modelová situace - pořád narážím na zjednodušení orientace v této problematice :eek:

Od Martin Sojka

Dne 2014-07-24 13:01

To můžete klidně vyzkoušet hned - alespoň bude jasné, jestli je to způsobeno opravdu providerem.

Od Chemik582

Dne 2014-07-24 13:23

Tak provedeno.
Včil su eště v práci takže chod z vnitřní sítě vyzkouším až (hned) po třetí hodině :twisted:

ALE pomocí LuCI/Síť/Diagnostika jsem vždy končil chybou. Teď ale vše proběhne v pořádku a vidím výpis paketů.
Takže doma vyzkouším jestli si počítače budou načítat stránky aniž bch jim musel nutit DNS :wink:

no a potom, pokud to bude ono, začnu uhánět providera ať mě odbrzdí.
Ještě bych se rád optal. To zadání co jsem pomocí příkazů nastavil potom v případě že provider zareaguje půjde změnit klasckou cestou pomocí LuCI?

Od Chemik582

Dne 2014-07-24 14:50

Tak. Nastavení tak jak je teď funguje. Ne že bych neměl radost ale dostal jsem v mezičase odpověď od šéfa servisu mého ISP:

Dobrý den,
Máte jak uvádíte veřejnou IP a právě v tomto případě probíhá provoz bez jakýkoliv pravidel či omezení.
Problém hledejte v nově instalovaném řešení.

Mno. Se říká a včil babo raď :fat:

ještě mě tak napadlo někde tady v diskuzi někdo říkal že pomohlo ještě nějaké nastavení délky něčeho v Ciscu? Zkusím to tu pohledat a poslat to na případné vyzkoušení. Jinak fakt nevim :confused:

Od Ondřej Caletka (>>>)

Dne 2014-07-24 19:26 Hlasů 1

Ano, máte pravdu, některé Cisco firewally se snaží být chytřejší a blokují UDP/53 pakety delší než 512 bajtů, čímž blokují EDNS0 a tedy i DNSSEC.
Opraví se to příkazem inspect dns maximum-length 4096, zkuste to poradit ISP.

Případně můžete u sebe zkusit omezit velikost EDNS0 bufferu na 512 B:

# cat > /etc/unbound/edns.conf <<EOF
server:
        edns-buffer-size: 512
EOF

# uci add_list unbound.includes.include_path='/etc/unbound/edns.conf' && uci commit

Abyste to vyzkoušel, musíte ještě odstranit konfiguraci, která forwarduje na server CZ.NIC:
# uci del_list unbound.includes.include_path='/etc/unbound/fixed_forward.conf' && uci commit

Pak restartuje unbound a uvidíte. Ale tohle bych taky nedoporučoval jako trvalé řešení, unbound bude nucen kvůli nízké velikosti UDP bufferu často přepínat na TCP, a podpora TCP také není stoprocentní.

Od Chemik582

Dne 2014-07-31 06:47

Tak. Podle všeho mám štěstí a šéf servisu mého ISP je člověk na svém místě. V mém případě pomohl podle všeho zásah do Cisca - i když to nemám přímo potvrzeno je to poslední zásah o který jsem žádal.
Nakonec jsem v nastavení WAN použil DNS poskytovatele a vypnul jsem Forwardování - při tomto nastavení u mě projde test připojení, funguje odesílání dat a počítače z vnitřní sítě načítají internetové stránky tak jak mají.

Jo a příkazy na odstranění konfigurace směřující na CZ.NIC jsem použil přes ssh takto :

- vymazání konfigurace
# uci del_list unbound.includes.include_path='/etc/unbound/fixed_forward.conf' && uci commit

- restart unbound
/etc/init.d/unbound restart

- a pro jistotu jsem ještě pustil tento skript
updater.sh -n

Snad je to správně :wink:

a nezůstávám někde zaháčkován na CZ.NIC - to bych nerad.
Děkuji všem tu za rady a pomoc a snad tohle vlákno někomu přijde vhod.

Od Ondřej Caletka (>>>)

Dne 2014-07-31 08:21

Pro otestování, který resolver aktuálně používáte, kdysi fungovala stránka myresolver.com. Teď ale neukazuje nic, asi se jim to nějak rozbilo :(

Adresu svého resolveru můžete také zjistit z příkazového řádku Windows takto:
> nslookup -type=txt o-o.myaddr.l.google.com

Z linuxu pak takto:
$ dig +short o-o.myaddr.l.google.com txt

Pokud se adresa shoduje s vaší externí IP adresou (tu zjistíte například na whatismyipaddress.com), pak je vše v pořádku.

Od Chemik582

Dne 2014-07-31 12:23

Samozřejmě Linux :twisted:

Tak jsem to vyzkoušel a ANO vrací mě to moji veřejnou IP adresu. Takže tedy a tudíž vše funguje.
Děkuji.

Od pappermann.moje

Dne 2014-07-27 11:41 Upraveno 2014-07-27 19:23

Dobry den,
ptam se hodne jako laik, ale muzete me nekdo poradit, kam v turrisu mam prikazy napsat?
omlouvam se, ale jsem linuxem nepoliben a v luci rozhrani nemohu nikde najit kde je ten prikazovy radek
dekuji

Od NONES

Dne 2014-07-27 11:56

Já myslím, že jinam, než do shellu Turrisu to zadat nepůjde. A jak se do něj dostanete? Třeba přes program PUTTY (je ke stažení zdarma zde).
Návod na přístup do terminálu (shellu) Turrisu najdete třeba zde.

Od pappermann.moje

Dne 2014-07-27 12:01

Dekuji,

tak odzkousel jsem. A hle vse funguje. takze jak tu pisete, bud provider neco dela na tom portu(da se to nejak zjistit jinak nez se ho ptat?protoze jsem se ho zeptal a on mi rekl, ze nic na portu 53 nedela...coz muzu nebo nemusim verit + mu jdu napsat o tom Ciscu)

dekuji za radu..

jen dotaz, muzu si to nastaveni na DNS NICu tu nechat nez to vyresim? mam router doma a jedou ma ne nem cca 4 zarizeni.

dekuji

Od Ondřej Caletka (>>>)

Dne 2014-07-27 12:27

Prosím, nevandalizujte své příspěvky poté co na ně někdo zareaguje. Třeba bude mít v budoucnu někdo stejný dotaz a kvůli takovýmto editacím ho nenajde. Díky

Původní dotaz zněl takto:

> Dobry den,
>
> ptam se hodne jako laik, ale muzete me nekdo poradit, kam v turrisu mam prikazy napsat?
> omlouvam se, ale jsem linuxem nepoliben a v luci rozhrani nemohu nikde najit kde je ten prikazovy radek
> dekuji
>