RE: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Michel Py via frnog 
> Mickael MONSIEUR a écrit :
> Intéressant. Est-ce que quelqu'un ici fait le choix de faire tourner par 
> exemple
> Knot/Unbound ou Knot/PowerDNS pour ses 2 resolvers afin d'éviter les pannes 
> totales
> qui proviendraient d'un 0day sur l'un ou l'autre ? Ou c'est overkill ?

Je ne suis pas spécialiste de DNS, mais ce n'est absolument pas overkill. En 
fait, la prudence conseillerait d'avoir plusieurs sources issues d'origines 
aussi différentes que possible. Je sais que je vais me faire taper dessus pour 
ce qui suit, mais avoir DNS basé _et_ sur Linux _et_ sur Windows, juste au cas 
ou l'un merde et pas l'autre, ce n'est pas aussi con que les bigots des deux 
cotés prétendent.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Dominique Rousseau 
Le Thu, Nov 25, 2021 at 11:04:02AM +0100, Mickael MONSIEUR 
[mickael.monsi...@gmail.com] a écrit:
> Bonjour,
> 
> Qu'est-ce que vous conseillez comme résolveur DNS pour ISP?
> 
> Actuellement on a 2 BIND, mais on sait que leur config de base n'est
> pas "optimale". (pas de QNAME minimisation par exemple, on en a parlé
> la semaine dernière...)
> 
> Seul prérequis : open source et compilé pour Debian amd64. (mais si la
> perle rare, il faut la compiler on le fera)

Par ici, le premier est un bind relativement ancien, qui finit toujours
par utiliser un peu trop de mémoire ( la VM est plutot modeste ) quand
il y a un "burst" de requetes [ genre 3 fois par an, un restart suffit ],
le deuxieme est un unbound de "meme génération" sur une VM similaire, on
y touche jamais :) Le volume de trafic est du meme ordre entre les 2,
avec 2 ips en anycast
(avec un exabgp local pour les annoncer).


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Bill Woodcock 


> On Nov 25, 2021, at 11:59 AM, Mickael MONSIEUR  
> wrote:
> Est-ce que quelqu'un ici fait le choix de faire tourner par exemple
> Knot/Unbound ou Knot/PowerDNS pour ses 2 resolvers afin d'éviter les
> pannes totales qui proviendraient d'un 0day sur l'un ou l'autre ? Ou
> c'est overkill ?

Oui, nous gérons les trois, pour la diversité. Et puis, quand un nouveau bogue 
est découvert, il arrive qu'il n'apparaisse pas dans l'un d'eux :-)

Mais cela pourrait être excessif pour votre objectif.

-Bill



signature.asc
Description: Message signed with OpenPGP

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Bill Woodcock 


> On Nov 25, 2021, at 11:04 AM, Mickael MONSIEUR  
> wrote:
> Qu'est-ce que vous conseillez comme résolveur DNS pour ISP?

Entre PCH et Quad9, nous utilisons les quatre, PowerDNS, Unbound, Knot, et 
BIND, dans des rôles différents, et pour la diversité.  Pour un ISP, qui 
souhaite une solution simple, je recommanderais PowerDNS, bien que nous ayons 
la chance d'avoir un embarras de richesses... Unbound et Knot sont également 
excellents. BIND a ses points forts, mais les performances pour l'utilisateur 
n'en font généralement pas partie, donc je ne le recommanderais pas pour vos 
besoins.

-Bill



signature.asc
Description: Message signed with OpenPGP

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Mickael MONSIEUR 
Le jeu. 25 nov. 2021 à 11:34, David Ponzone  a écrit :
>
> D’ailleurs, je corrige, CloudFlare utilise Knot Resolver, pas Unbound.
>
> Pourquoi Knot est « mieux » :
> https://ripe75.ripe.net/presentations/84-knot_resolver.pdf 
> 

Intéressant.
Est-ce que quelqu'un ici fait le choix de faire tourner par exemple
Knot/Unbound ou Knot/PowerDNS pour ses 2 resolvers afin d'éviter les
pannes totales qui proviendraient d'un 0day sur l'un ou l'autre ? Ou
c'est overkill ?

>
>
> > Le 25 nov. 2021 à 11:26, Raphael Mazelier  a écrit :
> >
> >
> > On 25/11/2021 11:04, Mickael MONSIEUR wrote:
> >> Bonjour,
> >>
> >> Qu'est-ce que vous conseillez comme résolveur DNS pour ISP?
> >
> > Hello,
> >
> > Un mix de unbound et knot surement.
> >
> > Cdt,
> >
> > --
> > Raphael Mazelier
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet David Ponzone 
D’ailleurs, je corrige, CloudFlare utilise Knot Resolver, pas Unbound.

Pourquoi Knot est « mieux » :
https://ripe75.ripe.net/presentations/84-knot_resolver.pdf 



> Le 25 nov. 2021 à 11:26, Raphael Mazelier  a écrit :
> 
> 
> On 25/11/2021 11:04, Mickael MONSIEUR wrote:
>> Bonjour,
>> 
>> Qu'est-ce que vous conseillez comme résolveur DNS pour ISP?
> 
> Hello,
> 
> Un mix de unbound et knot surement.
> 
> Cdt,
> 
> --
> Raphael Mazelier
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Artur 

  
  
Salut,

  
Le 25/11/2021 à 11:04, Mickael MONSIEUR a écrit :
  

  Actuellement on a 2 BIND, mais on sait que leur config de base n'est
pas "optimale". (pas de QNAME minimisation par exemple, on en a parlé
la semaine dernière...)

Seul prérequis : open source et compilé pour Debian amd64. (mais si la
perle rare, il faut la compiler on le fera)


Dans Buster bind9 n'a
pas l'option, mais dans Bullseye avec la version bind9 9.16 il y
a tout ce qu'il faut :
  
qname-minimization ( strict | relaxed | disabled | off );

On peut même installer bind9 depuis les backports dans Buster pour bénéficier d'une version avec qname-optimization.
Et d'après https://www.isc.org/blogs/bind-to-add-qname-minimization/ la version mini de bind9 avec cette option est 9.13.2.

Mais c'est juste pour apporter une précision concernant le support de qname-optimization dans bind9.
Je n'ai pas de recul dans l'utilisation ISP.

-- 
Cordialement,
Artur

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Raphael Mazelier 



On 25/11/2021 11:04, Mickael MONSIEUR wrote:

Bonjour,

Qu'est-ce que vous conseillez comme résolveur DNS pour ISP?


Hello,

Un mix de unbound et knot surement.

Cdt,

--
Raphael Mazelier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet David Ponzone 
Je crois qu’on est pas mal à être heureux avec PowerDNS.
La config pour faire un résolveur est plus que trivial.
J’ai appris récemment qu’on peut lui faire faire des trucs « compliqués » très 
facilement, avec des scripts externes (peut-être plus utiles sur un 
autoritaire).

Unbound doit pas être mal puisque c’est ce qui tourne sur 1.1.1.1.

Bind, ça fait très longtemps que j’ai pas utilisé (en fait, la dernière fois, 
c’était quand il n’y avait pas d’alternatives), donc aucun avis.

> Le 25 nov. 2021 à 11:04, Mickael MONSIEUR  a 
> écrit :
> 
> Bonjour,
> 
> Qu'est-ce que vous conseillez comme résolveur DNS pour ISP?
> 
> Actuellement on a 2 BIND, mais on sait que leur config de base n'est
> pas "optimale". (pas de QNAME minimisation par exemple, on en a parlé
> la semaine dernière...)
> 
> Seul prérequis : open source et compilé pour Debian amd64. (mais si la
> perle rare, il faut la compiler on le fera)
> 
> Merci.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Résolveurs DNS

2021-11-25 Par sujet Mickael MONSIEUR 
Bonjour,

Qu'est-ce que vous conseillez comme résolveur DNS pour ISP?

Actuellement on a 2 BIND, mais on sait que leur config de base n'est
pas "optimale". (pas de QNAME minimisation par exemple, on en a parlé
la semaine dernière...)

Seul prérequis : open source et compilé pour Debian amd64. (mais si la
perle rare, il faut la compiler on le fera)

Merci.


---
Liste de diffusion du FRnOG
http://www.frnog.org/