[GTER] DNSSEC / EDNS
Douglas Fischer
fischerdouglas at gmail.com
Mon Jun 20 19:15:26 -03 2022
Interessante!
Pacotes que sejam de IPv4 do próprio ASN faz sentido que passem por CGNAT,
por isso minha afirmação anterior.
No entando, pacotes que sejam somente passantes por sobre essa rede, não
fazem sentido que passem por Firewalls mais arrochados.
A não ser que estejam em alguma mitigação ou scrubbing.
Uma coisa que me chamou a atenção?
(Sei que não devemos levar o bgp.he.net como total referência, mas é bom
ficar de olho...)
No link a seguir, o AS262286 aparece com Upstream da Copel
https://bgp.he.net/AS14868#_graph4
Em seg., 20 de jun. de 2022 às 18:57, Lucas Willian Bocchi via gter <
gter at eng.registro.br> escreveu:
> Boa noite Douglas.
> No caso deste cliente em específico, trânsito somente com a Ligga (IPv4 e
> v6 ativos), no Norte do Paraná.
> Em outro cliente, IPv4 válido da Ligga mesmo, no Sudoeste do Paraná.
> Clientes de outras regiões (corporativos) não estão com problema apesar de
> estarem com a mesma versão do BIND instalada.
> Os clientes residenciais ou com produtos Fibra tipo residenciais não
> apresentam problema, ou clientes que possuam somente recursivos com
> UNBOUND.
>
> Em seg., 20 de jun. de 2022 às 18:51, Douglas Fischer <
> fischerdouglas at gmail.com> escreveu:
>
> > Aôoba Lucas!
> > Bão?
> >
> > Pelas análises que você pôde fazer, você acredita que isso se aplica para
> > serviços que estejam usando os IPs da Ligga(Copel Telecom)?
> > - Cliente usando IPs da Ligga
> > - Servers respondendo através de IPs da Ligga
> > Ou você acha que envolve também casos de pacotes que passem por cima da
> > rede da Ligga (Ex.: Trânsito IP.)
> >
> >
> > Se os problemas forem específicamente para CLIENTS originado as requests
> > que usem IPv4 da Ligga, eu tenho uma GRANDE desconfiança de algo no CGNAT
> > deles.
> > Por isso te pergunto também se chegou a validar algo num cenário que
> > usasse IPv6 deles como CLIENTS originando as requests.
> >
> >
> >
> > Em seg., 20 de jun. de 2022 às 15:54, Lucas Willian Bocchi via gter <
> > gter at eng.registro.br> escreveu:
> >
> >> Boa tarde
> >>
> >> Após a mudança da Copel para a Ligga Telecom, estou percebendo e tendo
> >> vários problemas com servidores BIND9 com o recurso de DNSSEC / EDNS
> >> ativado. Estou tendo que deixar o DNSSEC desativado e o EDNS também em
> >> vários servidores ou eles param de resolver. Alguém mais notou este
> >> problema? Pelo jeito estão fazendo algum tipo de limite no tamanho dos
> >> datagramas UDP, pois em um dos locais, por coincidência, tenho uma VPN
> com
> >> OpenVPN e tive que mudar a mesma de UDP para TCP pois pacotes que antes
> >> conseguiam ser enviados com MTU de 1500 bytes através do túnel pararam
> de
> >> funcionar. Mudando para TCP normalizou.
> >>
> >> Engraçado que não são todos os lugares...
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list