Moin,
von Zeit zu Zeit ist der DNS Server von meinem Provider recht lahm. Die DSL Leitung an sich funktioniert aber einwandfrei. Nur die Namensauflösung dauert manchmal Sekunden. Für mich gab es da drei Möglichkeiten:
- Beim Provider beschweren: Wenig aussichtsreich
- Anderen DNS einstellen: Wer ist seriös? Wie sieht die Performance bei anderen offenen DNS Servern aus?
- Lokal einen Caching DNS Servier betreiben
Da hier eh schon ein Server in betrieb ist habe ich also einen Bind auf CentOS aufgesetzt und als Caching DNS konfiguriert. Forwarder sind die beiden DNS Server meines Providers.
Die Performance ist allerdings sehr schlecht. Das scheint am dnssec zu liegen. Mit DNSSEC dauern Abfragen mehrere hundert Millisekunden. Ich nehme an das liegt an der Art wie die Signatur des Response geprüft wird. Ohne DNSSEC sind Anfragend rasend schnell. Ist das ein grundsätzliches Problem bei DNSSEC oder kann man da noch was tunen?
von Zeit zu Zeit ist der DNS Server von meinem Provider recht lahm. Die DSL Leitung an sich funktioniert aber einwandfrei. Nur die Namensauflösung dauert manchmal Sekunden. Für mich gab es da drei Möglichkeiten:
- Beim Provider beschweren: Wenig aussichtsreich
- Anderen DNS einstellen: Wer ist seriös? Wie sieht die Performance bei anderen offenen DNS Servern aus?
- Lokal einen Caching DNS Servier betreiben
Da hier eh schon ein Server in betrieb ist habe ich also einen Bind auf CentOS aufgesetzt und als Caching DNS konfiguriert. Forwarder sind die beiden DNS Server meines Providers.
Code:
options {
listen-on port 53 { 192.168.1.50; };
listen-on-v6 { none; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { 192.168.1/24; };
forwarders {
PROVIDER-DNS1;
PROVIDER-DNS2;
};
/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};Die Performance ist allerdings sehr schlecht. Das scheint am dnssec zu liegen. Mit DNSSEC dauern Abfragen mehrere hundert Millisekunden. Ich nehme an das liegt an der Art wie die Signatur des Response geprüft wird. Ohne DNSSEC sind Anfragend rasend schnell. Ist das ein grundsätzliches Problem bei DNSSEC oder kann man da noch was tunen?
