EDNS не поддерживается?

Я только что попробовал это, и получил такой ответ: rst.x486.rs.dns-oarc.net . rst.x454.x486.rs.dns-oarc.net . rst.x384.x454.x486.rs.dns-oarc.net . "208.69.34.6 DNS reply size limit is at least 486 bytes" "208.69.34.6 lacks EDNS, defaults to 512" Похоже, все в пределах нормы, как думаете?

Если у тебя есть под рукой Linux-машина, можешь запустить вот это: `dig +short rs.dns-oarc.net txt`. Это даст тебе какие-то данные о размерах пакетов.

snorris@silver:~/mrtg$ dig +short rs.dns-oarc.net txt
rst.x1220.rs.dns-oarc.net .
rst.x1202.x1220.rs.dns-oarc.net .
rst.x1243.x1202.x1220.rs.dns-oarc.net .
“68.15.4.39 DNS reply size limit is at least 1243 bytes”
“68.15.4.39 sent EDNS buffer size 1280”

Попробуй это против нескольких серверов и посмотри, что получится: `dig @serverip +short rs.dns-oarc.net txt`

sam

Да, Сергею, я попробовал увеличить размер udp-пакета, и сначала показалось, что проблема решена, но потом всё вернулось. Похоже, в тот день было несколько факторов, вызывавших проблемы с DNS, на стороне сервера, на стороне клиента, да кто знает, что ещё. Через несколько часов всё вернулось в норму. Мои текущие настройки DNS: max-udp-packet-size=1024 cache-size=8192KiB. Пока что проблем нет.

DNS-ответы иногда бывают размером в 4096 байт. Но каждый отдельный пакет будет всего в 1500 байт или в том размере, который установлен вашим MTU. Нужно установить max-udp-packet-size равным MTU или больше, полагаю. Я бы сделал его 4096, чтобы учесть как размер пакета, так и размер DNS-ответа. В следующем году DNS-пакеты будут часто превышать 1024 байт или больше. Сэм.

Ты всё ещё должен уметь запускать dig в Windows: ftp://ftp.isc.org/isc/bind9/9.6.1-P2/BIND9.6.1-P2.zip. Dig входит в состав дистрибутива BIND, просто распакуй архив и перемести dig в папку на своей Windows-машине, где он будет работать. Командная строка должна работать так же, как и в Windows.

Похоже, я наконец-то понял этот тест. Он проверяет максимальный размер пакета, который я могу принять, а не максимальный размер пакета, который отправляет DNS-сервер, верно? Ок, я внес исправление, перезапустил правило брандмауэра для перенаправления DNS-запросов на сам роутер (отключил/включил) и теперь, кажется, получил правильный ответ: rst.x4001.rs.dns-oarc.net . rst.x3985.x4001.rs.dns-oarc.net . rst.x4023.x3985.x4001.rs.dns-oarc.net . “80.78.65.130 DNS reply size limit is at least 4023 bytes” “80.78.65.130 sent EDNS buffer size 4096” Очень полезно, Сэм, большое спасибо.

Только что получил это письмо от администраторов .co.za, но распространяется ли это на Mikrotik? Начиная с начала этого месяца ICANN начали подписывать корневую зону в автономном режиме (то есть не в режиме реального времени). Это будет поэтапно внедряться в течение 2010 года, начиная с января и завершая полностью подписанной корневой зоной в июле 2010 года.

Технически это означает, что ответы на запросы к корневым DNS-серверам будут превышать 512 байт. Это может вызвать проблемы для некоторого разрешающего программного обеспечения, которое не поддерживает EDNS0, или для разрешателей, находящихся за неправильно настроенными файрволами, которые произвольно ограничивают трафик DNS до 512 байт. Также есть случаи обработки IP-фрагментации, где могут возникнуть проблемы.

Вам следует проверить, может ли ваша разрешающая инфраструктура справиться с этой проблемой - https://www.dns-oarc.net/oarc/services/replysizetest для методологии. Возможно, вам также стоит передать это вашим клиентам, особенно тем, кто поддерживает свою собственную разрешающую инфраструктуру и/или файрвол.

Официальный сайт:
http://www.root-dnssec.org/
Более подробную информацию можно найти на:
http://labs.ripe.net/content/preparing-k-root-signed-root-zone
Влияние на пользовательское оборудование:
http://download.nominet.org.uk/dnssec-cpe/DNSSEC-CPE-Report.pdf
Лучший график событий:
http://www.ripe.net/ripe/meetings/ripe-59/presentations/abley-signed-root.pdf