DNS cache

[basty]

Zdravím, řesíme celkovou otázku ohledně DNS serveru pro naši síť.

Požadavky jsou, co nejrychlejší vyřizování požadavků, malá blbuvzdorná krabička, kterou neodrovná vytáhnutí ze zásuvky (jako RB), malá spotřeba... Pokud by to umělo reverzní záznamy k IP, tak super.

V tomhle ohledu jsme dospěli k variantě turrisu, který bude sloužit jen jako práve dns cache. Dle informací používá unboud či knot, které by měly být celkem rychlé dle názorů na fóru.

Nechceme takové ty klasické linux mašiny a bindy apod.

Chceme jednoúčelovou malou krabičku, která bude splňovat požadavky. Ideálně nastavit a už se o to nestarat.

Řešil už někdo takto?

[ludvik]

Těžko ... většina z nás má alespoň jeden server, kde to může běžet. A málokdo má takovou síť, že by na to potřeboval něco extra ... A kdo ví, jestli je tak důležité mít specializovanou cache pro DNS.

Ale libovolný board, kde jde rozchodit linux bude blbuvzdorný. OpenWRT, nebo možná lépe Voyage distribuci a rozběhnout tam bind nebo unbound. Tedy nějaký ALIX a bude to za zlomek ceny.

Stejně to budeš muset udržovat v nějaké rozumné verzi. Opravy jsou každou chvilku ... Pokud chceš i tohle "samo", tak asi jen ten turris.

[hapi]

řešim právě to samí. Aktuálně máme unbount na alixu s voyage linuxem naprosto bez problému ale chce to už něco novýho a výkonnějšího. Koukám na 4core verzi novýho alixe s apučkem a docela se mi zamlouvá a že bych opět použil voyage linux? Poslední dobou se zdá že je tohle distro trochu mrtvý.

Jo no, turris, ale co ta cena? jako 9k za to? to se mi fakt nechce.

[basty]

https://www.lan-shop.cz/router-turris-o ... i-e-212337

Cena neni az tak vysoka... A to je webova cena... Takze to pude jeste niz.

Ano pro ty kteri holduji linuxu tak je to brnkacka... (Ja ne) Ale pokud to pujde tak chci takovou hotovou blbuvzdornou krabicku, ktera je samostatna a plni "jednu funkci"

Virt. Server mame kde by to mohlo bezet, ale kdyz se tam neco posere tak nefunguje net a je to v haji. Takto dulezite sluzby pro funkcinetu je z meho pohledu dobre mit poreseno takto. Na virt mame veci bez kterych internet lidem funguje...

Blby je ze chceme 2 turise kde sekundar dame do jine site na jine geog. Misto. Ale je to blby protoze je to stejny stroj a kdyz bude nejaka stejna chyba tak to nefunguje. Coz je problem.

[basty]

Jeste me napada openwrt...u sekundaru kdyz nebude nejrychlejsi tak je to asi jedno. Podle testu se dns dotaz z prohl. Posila na oba servery soucase a ten od koho prijde prvni ten se pouzije. Vypadek at uz dropem sluzby/pingu nebo rejektem jednoho z nich funguje.

Je proste potreba 2 takovy turrise ale jine znacky...

[Petr S.]

Jeste me napada openwrt...u sekundaru kdyz nebude nejrychlejsi tak je to asi jedno. Podle testu se dns dotaz z prohl. Posila na oba servery soucase a ten od koho prijde prvni ten se pouzije. Vypadek at uz dropem sluzby/pingu nebo rejektem jednoho z nich funguje.

Je proste potreba 2 takovy turrise ale jine znacky...

Na cem jsi to testoval? Co jsem slysel tak to u win funguje tak ze dokud pinga primar tak si ti na sekundar ani nesahne. Ale sam jsem to netestoval, tak treba to tak uz neni...

[basty]

2 pravidla sledujici komunikaci na server, pak dalsi pravidla kterama jsem daval dropy a rejecty na servery. Cisla na obou pravidlech byla stejna, takze to proste komunikuje soucasne na oba. Win 10 a prohlizece... Mozna to bude jine jinde...

[basty]

Dalsi vec, jestli umi turris nejak blokovat nepovolené stránky.

[hapi]

u turrisu vidim výhodu jenom v tom že se to koupí a zapne. Jenomže pokud budeš chtít s tim unboundem dělat trochu opiček tak trochu narazíš resp. budeš stejně muset do terminalu třeba kvůli tomu blokování. Například máme na dnsku 4 veřejky a unbound rovnoměrně posílá dotazy ven skrz všechny veřejky.

[pepulis]

u turrisu vidim výhodu jenom v tom že se to koupí a zapne. Jenomže pokud budeš chtít s tim unboundem dělat trochu opiček tak trochu narazíš resp. budeš stejně muset do terminalu třeba kvůli tomu blokování. Například máme na dnsku 4 veřejky a unbound rovnoměrně posílá dotazy ven skrz všechny veřejky.

Unbound pouzivam nekolik let, ale nad timhle jsem jeste nepremyslel. To mate na iface linuxu vice ip adress? A jak donutite inbound, aby pouzival rovnomerne vsechny: Muzete sem napsat cast toho konfigu? Dekuju.

[hapi]

outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x

rrset-roundrobin: yes



a to by mělo zajistit rozhazování při dotazování serveru ven. V linuxu na iface všechny ty ipčka mám.

[pepulis]

outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x
outgoing-interface: 95.80.x.x

rrset-roundrobin: yes



a to by mělo zajistit rozhazování při dotazování serveru ven. V linuxu na iface všechny ty ipčka mám.

Diky moc, slape to.

[basty]

Jako ano, kdyz budu chtit nejaky vopicarny, tak uz prikazak a jede to... coz neni az tak uplny problem... Budou na to navody nejspis...

ale spis resim to, ze je to fakt mala hotova krabicka... nic nebastlim a hlavne nastartuje vzdycky po vypnuti el.

[Pintero]

ale spis resim to, ze je to fakt mala hotova krabicka... nic nebastlim a hlavne nastartuje vzdycky po vypnuti el.

Nereš, nahoď na 2 virtuály Bind nebo Unbound.
Pokud jeden, nebo oba padnou tak na dobu, než je rozchodíš, přenatuješ DNS požadavky na 8.8.8.8 a je to.

[hapi]

To je dost laxní přístup. Jo tak šlo by nastavit netwatch kterej jak zjistí že dns server nejede zapne nat pravidla. Ale nepřijde mi to zrovna řešení na úrovni.


Velká škoda je, že mikrotik odříznul MetaRouter na x86. Takhle by se nějaký to openwrt nahrálo přímo do hlavní gw který většinou jede na x86 u každýho. Ale nabízí se možnost to nahrát do nějakýho RBčka co má mipsbe. Ale to taky neni kdoví jak super řešení.