Re: Помогите с bind.

[Pavel Volkov]

On 2015年9月24日木曜日 16時31分15秒 MSK, Nikolay Shestakov wrote:
Ну, в России лучше пользоваться DNS от Яндекса 
https://dns.yandex.ru/[1] 


Но там нет ни DNSSEC, ни IPv6, это несовременно :)

Re: Помогите с bind.

[Mikhail A Antonov]

29.09.2015 10:44, Pavel Volkov пишет:
> On 2015年9月24日木曜日 16時31分15秒 MSK, Nikolay Shestakov wrote:
>> Ну, в России лучше пользоваться DNS от Яндекса https://dns.yandex.ru/[1] 
>
> Но там нет ни DNSSEC, ни IPv6, это несовременно :)
>
IPv6 нет говоришь? https://dns.yandex.ru/advanced/

-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: Помогите с bind.

[Tim Sattarov]

On 2015-09-28 08:45, Vladimir Skubriev wrote:
>
> сделать по одному запросу еще ни чего не дает.
>
> Ну допустим что среднее вы написали значение. У вас быстрее, когда
> bind настроен через forwarders гугла ? (Если я правильно понял)
>
> По поводу того, что не капли - не согласен, в первый раз было 1059
> msec, во второй 195 msec.
>
> Что было с кэшем между этими тестами - чистили через rndc flush ?
>
Странное прочтение и ответы писем, ранее сегодня я уже отвечал с
примерами, тебе же. уточнениями по поводу выборки и rndc flush

Я так думаю проблема с убунтовской сборке ?
попробуй поставить дебьяновскую.




smime.p7s
Description: S/MIME Cryptographic Signature

Re: Помогите с bind.

[Vladimir Skubriev]

options {directory "/var/cache/bind";           // We don't use forwarders, because:// 1. Provider dns not reliable than world dns servers from root.db// 2. We update by chef-client root.db from appropriate site// 3. We using some providers and can not depend on whether the channel is active//forwarders {//8.8.8.8;//8.8.4.4;//};// This is very important parameter, because bind don't do recursive query's by default// and clients cannot resolve for example google.ru !!!// any; added because for openvpn clientsallow-recursion { 127.0.0.0/8; 192.168.128.0/24; any; };//// If BIND logs error messages about the root key being expired,// you will need to update your keys. See https://www.isc.org/bind-keys//dnssec-validation auto;auth-nxdomain no; # conform to RFC1035listen-on-v6 { any; };};Остальные конфиги это местные зоны. Да там по сути то смотреть не чего. Или коментишь forwarders или нет. Опять же коменты мои, на будущее для себя оставил.У меня получается, сто без forwarders 8. быстрее.any;  - уже убрал, спасибо Антонову.24.09.2015, 19:27, "Tim Sattarov" : On 2015-09-24 11:51, Vladimir Skubriev wrote:  Передо мной стояла задача выяснить причину задержки первого запроса. Я  вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в  2.5-5 секунд за то, что хочешь свой DNS сервер.  Странно что на serverfault тишина. Может я не в том месте его задал ?  Спасибо тем, кто откликнулся. Место верное, видимо вопрос слишком обширный и TL/DR (многабукав/ниасилил) можно попробовать вынести сокращенную версию вопроса в начало и добавить TL/DR ниже. странно, что никто еще не попросил конфига bind ? можно глянуть ? -- Faithfully yours,Vladimir Skubriev

Re: Помогите с bind.

[Vladimir Skubriev]

сделать по одному запросу еще ни чего не дает.Ну допустим что среднее вы написали значение. У вас быстрее, когда bind настроен через forwarders гугла ? (Если я правильно понял)По поводу того, что не капли - не согласен, в первый раз было 1059 msec, во второй 195 msec. Что было с кэшем между этими тестами - чистили через rndc flush ?24.09.2015, 19:41, "Tim Sattarov" : On 2015-09-24 12:27, Tim Sattarov wrote:  On 2015-09-24 11:51, Vladimir Skubriev wrote:  Передо мной стояла задача выяснить причину задержки первого запроса. Я  вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в  2.5-5 секунд за то, что хочешь свой DNS сервер.  Странно что на serverfault тишина. Может я не в том месте его задал ?  Спасибо тем, кто откликнулся.  Место верное, видимо вопрос слишком обширный и TL/DR (многабукав/ниасилил)  можно попробовать вынести сокращенную версию вопроса в начало и добавить  TL/DR ниже.  странно, что никто еще не попросил конфига bind ?  можно глянуть ? Сорри за личку в прошлый раз. у меня настроенный по дефолту bind от Дебьян: # service bind9 restart # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 1059 msec # dig @8.8.8.8 yandex.ru | grep time ;; Query time: 30 msec # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 0 msec интересно и вправду посмотреть, зачем делать форвардинг на 8.8.8.8 если можно просто делать кэширование ? я добавил веселья ради себе в форвардеры  forwarders { 8.8.8.8; 8.8.4.4;  }; результаты ни капли не изменились. разве что начальный запрос стал быстрее # service bind9 restart # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 195 msec # dig @8.8.8.8 yandex.ru | grep time ;; Query time: 50 msec # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 0 msec ЧЯДНТ ? :) -- Faithfully yours,Vladimir Skubriev

Re: Помогите с bind.

[Tim Sattarov]

On 2015-09-28 08:42, Vladimir Skubriev wrote:
>
> сложно что либо сказать по вашему вопросу, т.к. не понятно что и как
> вы тестировали )
>

я тестировал: /
/
/> Bogdan wrote:

/// /> Повторите свои тесты с рандомными, заведомо несуществующими
доменами./


как кэшируются ответы на запросы о "заведомо несуществущих доменах".

очищается кэш,  запрашивается один раз, запрашивается второй раз.
запрашивается у форвардера:

с включенными форвардерами:

~# random_host=`pwgen  10 1`.com;echo $random_host; rndc flush ;  (host
-d $random_host 192.168.1.1 ;  host -d $random_host 192.168.1.1;  host
-d $random_host 8.8.8.8) | grep -E "ms|Name"
tee9Iewohr.com
Name: 192.168.1.1
Received 105 bytes from 192.168.1.1#53 in 122 ms
Received 105 bytes from 192.168.1.1#53 in 122 ms
Name: 192.168.1.1
Received 105 bytes from 192.168.1.1#53 in 0 ms
Received 105 bytes from 192.168.1.1#53 in 0 ms
Name: 8.8.8.8
Received 105 bytes from 8.8.8.8#53 in 54 ms
Received 105 bytes from 8.8.8.8#53 in 54 ms


с выключенными форвардерами:

~# random_host=`pwgen  10 1`.com;echo $random_host; rndc flush ;  (host
-d $random_host 192.168.1.1 ;  host -d $random_host 192.168.1.1;  host
-d $random_host 8.8.8.8) | grep -E "ms|Name"
baeLungee7.com
Name: 192.168.1.1
Received 105 bytes from 192.168.1.1#53 in 340 ms
Received 105 bytes from 192.168.1.1#53 in 340 ms
Name: 192.168.1.1
Received 105 bytes from 192.168.1.1#53 in 0 ms
Received 105 bytes from 192.168.1.1#53 in 0 ms
Name: 8.8.8.8
Received 105 bytes from 8.8.8.8#53 in 181 ms
Received 105 bytes from 8.8.8.8#53 in 181 ms


как видно - включение форвардеров мне помогает ускорить запрос.

и да, я делал несколько запросов, на разные домены, тут привожу только
репрезентативную выборку.


smime.p7s
Description: S/MIME Cryptographic Signature

Re: Помогите с bind.

[Tim Sattarov]

On 2015-09-26 12:53, Bogdan wrote:
> Повторите свои тесты с рандомными, заведомо несуществующими доменами.
>
точно такое же поведение.

~# service bind9 restart

первый запрос может быть долгим,

~# time   host 123qwe.tt..tttq.wet.com 192.168.1.1

Host 123qwe.tt..tttq.wet.com not found: 3(NXDOMAIN)

real0m0.473s

Последующие уже закэшированы

~# time   host 123qwe.tt..tttq.wet.com 192.168.1.1

Host 123qwe.tt..tttq.wet.com not found: 3(NXDOMAIN)

real0m0.018s

работает так вне зависимости от того, разрешены  forwarders или нет.

я что то упускаю в условии задачи ?




smime.p7s
Description: S/MIME Cryptographic Signature

Помогите с bind.

[Vladimir Skubriev]

Помогите с bind. Вопрос задал на http://serverfault.com/ http://serverfault.com/questions/724305/why-bind-is-slowly-than-public-dns-providers Спасибо. --Faithfully yours, Vladimir Skubriev 

Re: Помогите с bind.

[Vladimir Skubriev]

Надеюсь что причина только в этом. Поэтому по сути и был задан вопрос.По факту я решаю другую проблему.Получается если хочешь быстрой реакции выставляй на клиентах public dns сервера. Но тогда забудь про свои внутренние DNS домены.Т.е. по факту первый запрос будет всегда медленным.Получается это обратная сторона медали использования bind(другого собственного dns сервера) внутри сети.Хотелось бы услышать мнение других участников по данному вопросу.Честно не вериться что это правда.24.09.2015, 15:28, "Anatoly Pugachev" <mator...@gmail.com>: Если вопрос Why query throught bind is slowly than direct query of public dns servers ? то на public dns есть cache, с которого в общем-то и берется ответ, и из-за того что на public dns серверах много клиентов, то в кеше хранится много записей. Если вы сделаете чтобы ответ и на bind'e закешировался, то и ваш bind будет быстро отдавать: первый запрос, получение ответа из интернета, запись в кеш [root@nbu7 ~]# dig www.debian.org ... ;; Query time: 47 msec второй запрос, ответ из кеша [root@nbu7 ~]# dig www.debian.org ... ;; Query time: 0 msec On Thu, Sep 24, 2015 at 10:32 AM, Vladimir Skubriev <vladi...@skubriev.ru> wrote: Помогите с bind. Вопрос задал на http://serverfault.com/ http://serverfault.com/questions/724305/why-bind-is-slowly-than-public-dns-providers Спасибо. -- Faithfully yours, Vladimir Skubriev -- Faithfully yours,Vladimir Skubriev

Re: Помогите с bind.

[Vasiliy P. Melnik]

1) ничто не мешает в случае с форвардерс держать свои зоны в бинде
2) вам шашечки или ехать? удобство против скорости. Каждый сам решает. Если
Вы зарабатываете деньги на скорости ответа, то лучше таки использовать
гуглевые днгсы, а если это просто офисный сервер - то лучше свой.

Re: Помогите с bind.

[Anatoly Pugachev]

Если вопрос

Why query throught bind is slowly than direct query of public dns servers ?

то на public dns есть cache, с которого в общем-то и берется ответ, и из-за
того что на public dns серверах много клиентов, то в кеше хранится много
записей. Если вы сделаете чтобы ответ и на bind'e закешировался, то и ваш
bind будет быстро отдавать:

первый запрос, получение ответа из интернета, запись в кеш
[root@nbu7 ~]# dig www.debian.org
...
;; Query time: 47 msec

второй запрос, ответ из кеша
[root@nbu7 ~]# dig www.debian.org
...
;; Query time: 0 msec



On Thu, Sep 24, 2015 at 10:32 AM, Vladimir Skubriev <vladi...@skubriev.ru>
wrote:

> Помогите с bind. Вопрос задал на http://serverfault.com/
>
>
> http://serverfault.com/questions/724305/why-bind-is-slowly-than-public-dns-providers
>
> Спасибо.
>
> --
> Faithfully yours,
>
> Vladimir Skubriev
>
>

Re: Помогите с bind.

[Nikolay Shestakov]

В письме от 24 сентября 2015 16:04:44 пользователь Vasiliy P. Melnik 
написал:
> 1) ничто не мешает в случае с форвардерс держать свои зоны в 
бинде
> 2) вам шашечки или ехать? удобство против скорости. Каждый сам 
решает. Если
> Вы зарабатываете деньги на скорости ответа, то лучше таки 
использовать
> гуглевые днгсы, а если это просто офисный сервер - то лучше свой.
Ну, в России лучше пользоваться DNS от Яндекса 
https://dns.yandex.ru/[1] 




[1] https://dns.yandex.ru/

Re: Помогите с bind.

[Vladimir Skubriev]

Передо мной стояла задача выяснить причину задержки первого запроса. Я вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в 2.5-5 секунд за то, что хочешь свой DNS сервер.Странно что на serverfault тишина. Может я не в том месте его задал ?Спасибо тем, кто откликнулся. 24.09.2015, 16:04, "Vasiliy P. Melnik" : 1) ничто не мешает в случае с форвардерс держать свои зоны в бинде 2) вам шашечки или ехать? удобство против скорости. Каждый сам решает. Если Вы зарабатываете деньги на скорости ответа, то лучше таки использовать гуглевые днгсы, а если это просто офисный сервер - то лучше свой. -- Faithfully yours,Vladimir Skubriev

Re: Помогите с bind.

[Tim Sattarov]

On 2015-09-24 11:51, Vladimir Skubriev wrote:
>
> Передо мной стояла задача выяснить причину задержки первого запроса. Я
> вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в
> 2.5-5 секунд за то, что хочешь свой DNS сервер.
>
> Странно что на serverfault тишина. Может я не в том месте его задал ?
>
> Спасибо тем, кто откликнулся.
>

Место верное, видимо вопрос слишком обширный и TL/DR (многабукав/ниасилил)
можно попробовать вынести сокращенную версию вопроса в начало и добавить
TL/DR ниже.

странно, что никто еще не попросил конфига bind ?
можно глянуть ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: Помогите с bind.

[Tim Sattarov]

On 2015-09-24 12:27, Tim Sattarov wrote:
> On 2015-09-24 11:51, Vladimir Skubriev wrote:
>> Передо мной стояла задача выяснить причину задержки первого запроса. Я
>> вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в
>> 2.5-5 секунд за то, что хочешь свой DNS сервер.
>>
>> Странно что на serverfault тишина. Может я не в том месте его задал ?
>>
>> Спасибо тем, кто откликнулся.
>>
> Место верное, видимо вопрос слишком обширный и TL/DR (многабукав/ниасилил)
> можно попробовать вынести сокращенную версию вопроса в начало и добавить
> TL/DR ниже.
>
> странно, что никто еще не попросил конфига bind ?
> можно глянуть ?
>
Сорри за личку в прошлый раз.
у меня  настроенный по дефолту bind от Дебьян:

# service bind9  restart
# dig @192.168.1.1 yandex.ru | grep time
;; Query time: 1059 msec
# dig @8.8.8.8 yandex.ru | grep time
;; Query time: 30 msec
# dig @192.168.1.1 yandex.ru | grep time
;; Query time: 0 msec

интересно и вправду посмотреть, зачем делать форвардинг на 8.8.8.8 если
можно просто делать кэширование ?

я добавил веселья ради себе в форвардеры
 forwarders {
8.8.8.8;
8.8.4.4;
 };

результаты ни капли не изменились.
разве что начальный запрос стал быстрее

# service bind9  restart
# dig @192.168.1.1 yandex.ru | grep time
;; Query time: 195 msec
# dig @8.8.8.8 yandex.ru | grep time
;; Query time: 50 msec
# dig @192.168.1.1 yandex.ru | grep time
;; Query time: 0 msec

ЧЯДНТ ? :)



smime.p7s
Description: S/MIME Cryptographic Signature

Re: Помогите с bind.

[Tim Sattarov]

On 2015-09-24 15:34, Mikhail A Antonov wrote:
> 24.09.2015 19:41, Tim Sattarov пишет:
>> интересно и вправду посмотреть, зачем делать форвардинг на 8.8.8.8 если
>> можно просто делать кэширование ?
>>
>> я добавил веселья ради себе в форвардеры
>>  forwarders {
>> 8.8.8.8;
>> 8.8.4.4;
>>  };
>>
>> результаты ни капли не изменились.
>> разве что начальный запрос стал быстрее
> Потому что используй forward first; чтобы дальше уже свой кэш использовать.
> И про dns.yandex.ru верно подсказали - мне он больше нравится.
> Там ещё и несколько уровней фильтрации есть.
> И ещё. Я не помню какой там сейчас дефолтный конфиг, но раньше он разрешал
> рекурсивные запросы делать всем. Не забудь запретить это и разрешать только 
> тем,
> кому правда можно.
>
А зачем мне что то дополнительное использовать, если результат меня
устраивает ?

ниже конфиг который дает кэшировать запросы, и проверяет кэш, а потом
форвардеров.

options {
directory "/var/cache/bind";
listen-on-v6 {
"any";
};
   forwarders {
  8.8.8.8;
  8.8.4.4;
   };
auth-nxdomain no;
dnssec-validation auto;
};
zone "." {
type hint;
file "/etc/bind/db.root";
};
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};


smime.p7s
Description: S/MIME Cryptographic Signature

Re: Помогите с bind.

[Mikhail A Antonov]

24.09.2015 19:41, Tim Sattarov пишет:
> интересно и вправду посмотреть, зачем делать форвардинг на 8.8.8.8 если
> можно просто делать кэширование ?
>
> я добавил веселья ради себе в форвардеры
>  forwarders {
> 8.8.8.8;
> 8.8.4.4;
>  };
>
> результаты ни капли не изменились.
> разве что начальный запрос стал быстрее
Потому что используй forward first; чтобы дальше уже свой кэш использовать.
И про dns.yandex.ru верно подсказали - мне он больше нравится.
Там ещё и несколько уровней фильтрации есть.
И ещё. Я не помню какой там сейчас дефолтный конфиг, но раньше он разрешал
рекурсивные запросы делать всем. Не забудь запретить это и разрешать только тем,
кому правда можно.

-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature