výpadky www

[H3lMuT]

ping drží (seznam.cz třeba) ale www načítají nahodně strašně dlouho či vůbec nenačtou po pár refreshech najedou třeba, někdy to jede ok několik minut. Dělá na více pc. GW RB750G
Nějaký nápad proč?

dns.png (7.96 KiB) Zobrazeno 2824 x

[lwq]

Nemas povoleny requesty ... A druha vec - DNS cache na RouterOS je dost na prdlajs ... Takze tam hod 8.8.8.8 ci nejakej jinej, normalni DNS resolver ...

[ludvik]

Agresivní nastavení kontroly počtu konexí. Ať už u uživatele, nebo poskytovatele. Je to typický projev. ICMP většinou počítané není.

[H3lMuT]

Agresivní nastavení kontroly počtu konexí. Ať už u uživatele, nebo poskytovatele. Je to typický projev. ICMP většinou počítané není.

nemám tam nic nastavené, dhcp klienta od poskytovatele, maškaráda v rb hotovo. zda něco má poskytovatel nevím, volal jsem tam a řekli mě, že u nich vše ok ať zkusím dát kabel do pc, měl jsem kabel přímo v PC a to mi po dobu testu jelo normálně, nyní jsem dal před rb switch a případně projevu přepnu pc do switche a testovat jak před rb tak i za rb.
nastavil jsem request v dns a dal 8.8.8.8 dns server.

[honza198]

Agresivní nastavení kontroly počtu konexí. Ať už u uživatele, nebo poskytovatele. Je to typický projev. ICMP většinou počítané není.

nemám tam nic nastavené, dhcp klienta od poskytovatele, maškaráda v rb hotovo. zda něco má poskytovatel nevím, volal jsem tam a řekli mě, že u nich vše ok ať zkusím dát kabel do pc, měl jsem kabel přímo v PC a to mi po dobu testu jelo normálně, nyní jsem dal před rb switch a případně projevu přepnu pc do switche a testovat jak před rb tak i za rb.
nastavil jsem request v dns a dal 8.8.8.8 dns server.

To co tu popisujes muze mit 3 priciny:
1, kousnutý NAT
2, spatne nastaveni DNS ( max. reguest size )
3, Anti-DOS filter

EDIT: max. reguest size na hodnotu 4096! tam je to

Pricina: nevejde se Ti do DNS dotazu cela otazka vc. priznaku

[ludvik]

Ty tam někde vidíš Max. request size? Já ne ... Ale vidím Max UDP Packet Size. Což je trochu něco jiného a rozhodně by to nemělo vadit - pro větší odpovědi se prostě použije TCP. Kromě toho nevidím zrovna rád doporučení posílat pomocí UDP větší odpovědi, než je MTU ... zvlášť pokud je tam někde wifina, nebo něco obdobně nespolehlivého. Když už, tak zvětšit na 1480.

Mimochodem si neumím představit DNS dotaz, který by se nevešel do 512B. Někdo jiný ano? I doména www.jatihotamnasroubuju.cz je podstatně menší ... Problém je v odpovědi, ta už se tam vejít nemusí, zvlášť v dnešní době DNSSEC. Ale na to platí můj první odstavec.

Ale jemu to může být vcelku fuk, když nemá povolené Remote Requests. Stanice to nepoužijí.

[honza198]

Ty tam někde vidíš Max. request size? Já ne ... Ale vidím Max UDP Packet Size. Což je trochu něco jiného a rozhodně by to nemělo vadit - pro větší odpovědi se prostě použije TCP. Kromě toho nevidím zrovna rád doporučení posílat pomocí UDP větší odpovědi, než je MTU ... zvlášť pokud je tam někde wifina, nebo něco obdobně nespolehlivého. Když už, tak zvětšit na 1480.

Mimochodem si neumím představit DNS dotaz, který by se nevešel do 512B. Někdo jiný ano? I doména http://www.jatihotamnasroubuju.cz je podstatně menší ... Problém je v odpovědi, ta už se tam vejít nemusí, zvlášť v dnešní době DNSSEC. Ale na to platí můj první odstavec.

Ale jemu to může být vcelku fuk, když nemá povolené Remote Requests. Stanice to nepoužijí.

Njn, ale pokud má jeho ISP nastaveno 4096 a on 512 nebude mu to chodit.

EDIT myslel jsem Max UDP Packet Size

[ludvik]

Ale notak ... fakt myslíš, že v takovém systému provázaných serverů, jako je DNS bude záležet na tom, aby byly VŠECHNY nastavené stejně? Zvlášť u takto v podstatě hodně staré technologie, která je stále použitelná?

Njn, ale pokud má jeho ISP nastaveno 4096 a on 512 nebude mu to chodit.

Kdysi bývala povinnost UDP paketu max 512B. Později rozšířeno na 4096. Není důvod, proč by nemělo chodit libovolné nastavení. Pokud se DNS klient zeptá na něco serveru a jemu se odpověď nevejde do paketu, je součástí odpovědi i TRUNCATE FLAG. Klient tedy ví, že neví všechno - a dotaz opakuje po TCP. Tam už na velikosti nezáleží ...

Jak to má nastavené ISP je opravdu NAPROSTO FUK. Pokud se zde zmíněný mikrotik na něco zeptá nadřízeného DNS, tak je klientem. Velikost tohoto parametru nehraje roli.
Můžu si tam nastavit LIBOVOLNÉ servery. To se musím nejdřív zeptat majitele, jak to má nastavené? A požadovat, aby mi dal vědět vždy, kdy to třeba změní?

Takže prosím tě nemluv o něčem, co neznáš.

Pokud narážíš na občas podivné chování mikrotikácké cache jako takové, tak je to problém implementace, nikoliv toho o čem mluvíš.

[ludvik]

Ono ani popisované chování na DNS nevypadá. I windows si odpovědi kešují. Dokonce i web browsery (chrome určitě). Takže pokud už by jednou stránku načetl, fungovala by mu po nějaký čas pořád. Na popisované problémy to prostě nesedí.

Anti-DOS si překládám jako kontrolu počtu konexí. S tím souhlasím. Ale co si představit pod "kousnutým NAT", to netuším.

[honza198]

Ono ani popisované chování na DNS nevypadá. I windows si odpovědi kešují. Dokonce i web browsery (chrome určitě). Takže pokud už by jednou stránku načetl, fungovala by mu po nějaký čas pořád. Na popisované problémy to prostě nesedí.

Anti-DOS si překládám jako kontrolu počtu konexí. S tím souhlasím. Ale co si představit pod "kousnutým NAT", to netuším.

Kousnutým NAtem mam na mysli, ze dochází src porty pro preklad. Prekladem pak zacnou "podjizdet konecny". ISP by pak videl komunikaci vnitrniho rozsahu.
Nevim jakej je tranzit na lince, ale stava se to pri velkem poctu konexi / vterinu.
Jinak proc jsem popisoval problem s DNS-kem vim, protoze jsem to nekolikrat i resil a pomohlo zvednuti max. velikosti. Ne kazdy OS je schopny 53/TCP.

Popisuju tu problemy se kteryma jsem se osobne setkal, tak bych poprosil se nenavazet do toho co vim a nevim.

EDIT: Jeste mi napada jedna vec: velikost MTU. K otestovani staci zadat do komand lajny: ping www.seznam.cz -f -l 1500

[ludvik]

Ne kazdy OS je schopny 53/TCP.

Příklad? A nechci implementace na 8051 ...

Dále opět nevím, co znamená "podjizdet konecny". Ono i předpokládat, že dojdou porty pro překlad je dost nepravděpodobné. Je jich opravdu HODNĚ. Jak ti tohle dojde, většinou to poznáš i jinak na vytížení. Sice mohou dojít i u ISP, což už moc nepoznáš, ale i to považuji to za dost nepravděpodobné.

Možný problém s MTU podle mě vylučuje to, že mu to občas funguje. A ani to by neměl být problém, pokud se někde "neztrácí" ty správné ICMP. Není to až tak dávno, co jsem to řešil s jedním webhostingem (a nevyřešil).