[GTER] EDNS Client Subnet - Recursivo
Diego Canton de Brito
diegocantondebrito at outlook.com
Wed Aug 24 11:15:40 -03 2016
Bom dia a todos,
Atualmente instalamos um segundo GGC em nossa rede, ficando um instalado na cidade sede de uma região e outro na cidade sede de outra região que operamos.
Com isso encontramos um situação nova, gostaríamos que cada bloco só acesse o Google com o IP de sua região. Para tanto, como esperado, os prefixos são anunciados para cada GGC, mantendo, conforme manual do Google, um prefixo com prepend para Failover.Porém, nossos DNS ficam apenas em uma das regiões, e opera com IP de outgoing dessa região e portanto responde indiscriminadamente o IP desse GGC para qualquer cliente, uma solução seria o uso do EDNS CLIENT SUBNET, para que a consulta/resposta fosse feita baseada no IP do cliente, porém após tentar compilar Unbound, Bind e PowerDNS, os quais encontrei referencia de suporte, não obtive o comportamento esperado, incluindo o teste com um endereço especial do Google que retorna um TXT com o IP do Client Subnet.Outra solução que estamos analisando é a instalação de um novo grupo de servidores DNS naquela região que utilize como IP de outgoing um bloco localizado de lá.
Gostaria que os senhores citem suas experiencias com essa implementação do EDNS CLIENT SUBNET, se alguém conseguiu realmente utiliza-la e como, ou se conhecem alguma solução que forneça esse suporte.
Lembrando que, como já foi dito, compilei os pacotes:
Unbound edns-subnet => http://unbound.nlnetlabs.nl/svn/branches/edns-subnet/Bind EDNS Client-Subnet => https://www.gsic.uva.es/~jnisigl/dig-edns-client-subnet.htmlPoweDNS não consegui muitas informações
Para os que nunca ouviram falar do EDNS Client Subnet faça o teste abaixo e veja a diferença nas resposta obtidas.
nslookup -q=txt o-o.myaddr.l.google.com <seu servidor DNS>
nslookup -q=txt o-o.myaddr.l.google.com 8.8.8.8
nslookup -q=txt o-o.myaddr.l.google.com 208.67.222.222
Você também pode dar uma olhada neste artigo https://vincent.bernat.im/en/blog/2014-bind-edns0-client-subnet.html
Caso não consiga colocar isso em produção terei que optar por instalar mais 2 anycast naquela região.
More information about the gter
mailing list