[GTER] DNSSEC / EDNS
Lucas Willian Bocchi
lucas.bocchi at gmail.com
Mon Jun 20 19:45:56 -03 2022
Encaminhei uma reclamação a operadora, vamos ver.
Usei um servidor de testes meu que sabidamente tem DNSSEC / EDNS ativo. Vi
as consultas saindo mas não chegavam. Quando desabilitei, chegaram.
Depois, fiz o mesmo teste redirecionando o tráfego DNS sobre o túnel com o
MTU 1500. Adivinha só? Habilitei novamente DNSSEC / EDNS e as consultas
chegaram e o mesmo servidor resolveu tudo lindamente.
Provável que o pessoal esteja com algum problema relacionado a esses DDoS
que o pessoal se referiu aí em outra thread na CAIU e estejam mitigando
tráfego DNS acima de 512 bytes por algum motivo.
Em seg., 20 de jun. de 2022 às 19:15, Douglas Fischer <
fischerdouglas at gmail.com> escreveu:
> Interessante!
>
> Pacotes que sejam de IPv4 do próprio ASN faz sentido que passem por CGNAT,
> por isso minha afirmação anterior.
>
> No entando, pacotes que sejam somente passantes por sobre essa rede, não
> fazem sentido que passem por Firewalls mais arrochados.
> A não ser que estejam em alguma mitigação ou scrubbing.
>
>
> Uma coisa que me chamou a atenção?
> (Sei que não devemos levar o bgp.he.net como total referência, mas é bom
> ficar de olho...)
> No link a seguir, o AS262286 aparece com Upstream da Copel
> https://bgp.he.net/AS14868#_graph4
>
>
>
> Em seg., 20 de jun. de 2022 às 18:57, Lucas Willian Bocchi via gter <
> gter at eng.registro.br> escreveu:
>
>> Boa noite Douglas.
>> No caso deste cliente em específico, trânsito somente com a Ligga (IPv4 e
>> v6 ativos), no Norte do Paraná.
>> Em outro cliente, IPv4 válido da Ligga mesmo, no Sudoeste do Paraná.
>> Clientes de outras regiões (corporativos) não estão com problema apesar de
>> estarem com a mesma versão do BIND instalada.
>> Os clientes residenciais ou com produtos Fibra tipo residenciais não
>> apresentam problema, ou clientes que possuam somente recursivos com
>> UNBOUND.
>>
>> Em seg., 20 de jun. de 2022 às 18:51, Douglas Fischer <
>> fischerdouglas at gmail.com> escreveu:
>>
>> > Aôoba Lucas!
>> > Bão?
>> >
>> > Pelas análises que você pôde fazer, você acredita que isso se aplica
>> para
>> > serviços que estejam usando os IPs da Ligga(Copel Telecom)?
>> > - Cliente usando IPs da Ligga
>> > - Servers respondendo através de IPs da Ligga
>> > Ou você acha que envolve também casos de pacotes que passem por cima da
>> > rede da Ligga (Ex.: Trânsito IP.)
>> >
>> >
>> > Se os problemas forem específicamente para CLIENTS originado as requests
>> > que usem IPv4 da Ligga, eu tenho uma GRANDE desconfiança de algo no
>> CGNAT
>> > deles.
>> > Por isso te pergunto também se chegou a validar algo num cenário que
>> > usasse IPv6 deles como CLIENTS originando as requests.
>> >
>> >
>> >
>> > Em seg., 20 de jun. de 2022 às 15:54, Lucas Willian Bocchi via gter <
>> > gter at eng.registro.br> escreveu:
>> >
>> >> Boa tarde
>> >>
>> >> Após a mudança da Copel para a Ligga Telecom, estou percebendo e tendo
>> >> vários problemas com servidores BIND9 com o recurso de DNSSEC / EDNS
>> >> ativado. Estou tendo que deixar o DNSSEC desativado e o EDNS também em
>> >> vários servidores ou eles param de resolver. Alguém mais notou este
>> >> problema? Pelo jeito estão fazendo algum tipo de limite no tamanho dos
>> >> datagramas UDP, pois em um dos locais, por coincidência, tenho uma VPN
>> com
>> >> OpenVPN e tive que mudar a mesma de UDP para TCP pois pacotes que antes
>> >> conseguiam ser enviados com MTU de 1500 bytes através do túnel pararam
>> de
>> >> funcionar. Mudando para TCP normalizou.
>> >>
>> >> Engraçado que não são todos os lugares...
>> >> --
>> >> gter list https://eng.registro.br/mailman/listinfo/gter
>> >>
>> >
>> >
>> > --
>> > Douglas Fernando Fischer
>> > Engº de Controle e Automação
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>
More information about the gter
mailing list