Previous Entry Share Next Entry
2016-01

про dns и воркароунды

скажите, а вот если у юзера 2 и более DNS сервера, обслуживающие разные несвязанные TLD - это нормально, что я должен их все перечислить и у всех спросить SRV записи зоны, или юзер должен настроить так, чтобы DNS был только один?

(один от корпоративного VPN, второй просто-интернет или от другой компании, ищу я SRV записи XMPP сервера jabber.COMPANY1 и jabber.COMPANY2)


EDIT: спасибо, вопрос разрешился, это работать "из коробки" не должно, оставлю логику "спросить все найденные днсы".

Почему - см. http://wizzard0.livejournal.com/405899.html?thread=4081547#t4081547



UPDATE: ipconfig /all

C:\Users\USERNAME>ipconfig /all

(неактуальные части поскипаны)

Ethernet adapter INTERNET:

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 192.168.1.218(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.1.1

   DNS Servers . . . . . . . . . . . : 8.8.4.4
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter COMPANY1:

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 10.20.171.115(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   DHCP Server . . . . . . . . . . . : 10.20.171.1

   DNS Servers . . . . . . . . . . . : 10.20.171.1
   Primary WINS Server . . . . . . . : 10.20.171.1

Ethernet adapter COMPANY2:

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 10.10.81.14(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   DHCP Server . . . . . . . . . . . : 10.10.81.1

   DNS Servers . . . . . . . . . . . : 10.10.81.1
   Primary WINS Server . . . . . . . : 10.10.81.1



This entry was originally posted at http://wizzard.dreamwidth.org/351800.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
amarao_san February 25th, 2014
Чо?

Пока что не ясно о чём речь. По стандарту ты можешь спрашивать только один (любой) авторитетный для зоны сервер. Если сервера отдают разные зоны - кривая настройка.

wizzard0 February 25th, 2014
У юзера 2 NIC, обслуживающих скажем 10.*.*.* и 192.168.*.*
Оба имеют по DNS-серверу, ну и зоне.

Спрашивать оба? Или это ненормально и надо чтобы один обязательно форвардил другому?

amarao_san February 25th, 2014
В бинде называется view, иногда ещё split horizon.

Но тебя не должно быть в обоих сразу. Если есть - то это не поддерживаемая и не рабочая конфигурация.

wizzard0 February 25th, 2014
Я не уверен, что это оно

dennis_chikin February 25th, 2014
Из соображений надежности и неумножения траффика, для каждой из зон - один мастер, и один слэйв. Или стаб.

wizzard0 February 25th, 2014
Да при чем тут это?

dennis_chikin February 25th, 2014
Гм, тогда не понял суть вопроса.


aitisha February 25th, 2014
+

wizzard0 February 25th, 2014
Обновил пост.

Суть вопроса: должен ли я посылать DNS-запрос на все три ресолвера которые мне дали 3 разных DHCP сервера, или нет?

dennis_chikin February 25th, 2014
В норме - пользователь спрашивает одного, если то не знает ответ - спрашивает другого.
Если клиент совсем кривой, то прописываем свой, обслуживающий свою зону, а тот форвардит запросы чужих тем, кто знает.

amarao_san February 25th, 2014
первый раз слышу, что после отрицательного ответа от авторитетного сервера клиент должен проигнорировать существование отрицательного кеширования и пролезть на второй ns зоны. Это точно не по rfc'ам.

wizzard0 February 25th, 2014
Не, не второй ns зоны.

Грубо говоря, у меня есть .COMPANY1 и .COMPANY2, оба слыхом не слыхали друг про друга.

amarao_san February 25th, 2014
Поднимай локальный ресолвер и явно прописывай где что брать.

wizzard0 February 25th, 2014
Я у себя поднять могу. А что делать юзеру, который просто законектил впн по предписанным настройкам и всё?

Это имеет к твоему i2p гейту самое прямое отношение, кстати

amarao_san February 25th, 2014
i2p-гейт спокойно разруливается файлом полиси для проксей для браузера. Если же речь про приложения - запускать их в автономных network namespace'ах.

Нормальный же пользователь не должен иметь два разных VPN'а в разные компании с разными DNS'ами.

wizzard0 February 25th, 2014
> Нормальный же пользователь не должен иметь два разных VPN'а в разные компании с разными DNS'ами.

"Вы не должны этого хотеть" Но почему?

В смысле "таких пользователей мало"? Мало. Но они деньги платят.

В смысле "такой пользователь мудак"? Возможно. См. выше. У меня, кстати, тоже так настроено, я стараюсь разводить VPNы по разным виртуалкам, но на ноуте все же 8 оперативки, а не 32.

А, и одна из причин по которой Скайп откусил свой кусок рынка - он чаще других мессенжеров/звонилок работает с неправильно настроенным инетом.


Edited at 2014-02-25 05:10 pm (UTC)

amarao_san February 25th, 2014
Правильные компании должны юзать белые IP и нормальные доменные записи. В этом случае любой рекурсер правильно всё отресолвит.

Когда кто-то поднимает зону, не входящую в общую иерархию он взводит курок для выстрела в ногу.

wizzard0 February 25th, 2014
> Правильные компании должны юзать белые IP и нормальные доменные записи.

И демонстрировать всю структуру своей локальной сети на весь Интернет?

amarao_san February 25th, 2014
Да. DNS не подразумевает приватности записей.

Подводя итог: использовать собственную иерархию DNS в условиях мультихоуминга - решение задачи заведомо негодными средствами.

wizzard0 February 25th, 2014
Замечательно, только вот что делать?

amarao_san February 25th, 2014
Простому пользователю, которому зачем-то надо подключаться к двум сетям с несовместимой иерархией DNS?

Тривиальный ответ: использовать разные компьютеры или подключаться в разный момент времени.

Гик разрулит с помощью network namespaces или собственного DNS-сервера.

dennis_chikin February 25th, 2014
А с чего он авторитетный, если он про зону ваще ничего не знает ?

Но вообще - таки да, извращение это: плодить запросы, если сервер может их кэшировать.


Edited at 2014-02-25 03:13 am (UTC)

nponeccop February 25th, 2014
Удивительно, что не прозвучало слово "рекурсивный". ДНС-клиенты (в ОС) работают только с рекурсивными серверами. Т.е. помимо серверов, обслуживающих зоны, должен где-то быть сервер, исполняющий рекурсивные запросы от конечных клиентов (ноутбуков-телефонов).

Также удивительно, что не прозвучал запрос, "где перечислить"? В конфигурации резолвера ОС (который просто шлет рекурсивный днс-запрос на произвольный живой сервер из списка) или в конфигурации зоны (т.е. авторитетного сервера для зоны, по определению нерекурсивного).



Edited at 2014-02-25 07:21 am (UTC)

wizzard0 February 25th, 2014
В конфигурации резолвера ОС

wizzard0 February 25th, 2014
Обновил пост.

Суть вопроса: должен ли я посылать DNS-запрос на все три ресолвера которые мне дали 3 разных DHCP сервера, или нет?

nponeccop February 25th, 2014
По спецификации не должен. Если первый системный резолвер ответил, что такой зоны нет, значит нет. Второй используется, только если от первого ответа не пришло.

Тебе нужен рекурсивный резолвер, который будет отвечать на приватные запросы. Это не обязательно кастомная корневая зона - может даже быть кастомный поддомен. Т.е. private.public.com NS 192.168.22.33

aitisha February 25th, 2014
Задача описана нечетко. Обычно простые пользователи запрашивают одни DNS сервера, а зоны держат другие. Первые форвардят запрос ко вторым.

wizzard0 February 25th, 2014
Есть две несвязанные частные сети, обслуживаемые разными администраторами.

Клиентский компьютер подключен к обеим. Отсюда два днс-сервера.

aitisha February 25th, 2014
Как я понимаю, в resolv.conf (и его аналогах) нельзя указать, какие домены какой сервер обслуживает. Должен быть сервак, который скажет, какие зоны на каком сервере. Он может быть на том же хосте.
УПС. Прочитаю обновленный пост, и тогда, может отвечу точнее.

Edited at 2014-02-25 04:26 pm (UTC)

wizzard0 February 25th, 2014
То есть, юзеру ожидать, что после подключения VPN он сможет посещать одновременно интранет-1, интранет-2 и интернет без специальной настройки - бессмысленно?

aitisha February 25th, 2014
INTERNET
DNS Servers . . . . . . . . . . . : 8.8.4.4

Ethernet adapter COMPANY1:
DNS Servers . . . . . . . . . . . : 10.20.171.1

Ethernet adapter COMPANY2:
DNS Servers . . . . . . . . . . . : 10.10.81.1

Это не будет работать. Вам нучно что-то проксирующее, которое будет знать, что запросы к зонам COMPANY1 форвардить на 10.20.171.1 , COMPANY2 на 10.10.81.1 , а все остальное на 8.8.4.4.

Я правильно понимаю, что эти айпи забиты не жестко, а получаются по dhcp?

wizzard0 February 25th, 2014
Да, оно всё от трех разных dhcp серверов.

wizzard0 February 25th, 2014
> Это не будет работать.

В целом - спасибо, значит, оставлю логику "спросить все найденные днсы".

Почему - см. http://wizzard0.livejournal.com/405899.html?thread=4081547#t4081547

  • 1
?

Log in

No account? Create an account