медленный DNS

[zubzer0]

Прошивка 5.0.4. Имеется wg туннель и "Списки доменных имен" для маршрутизации на wg.
днс сервер встроенный, прописан 8.8.8.8, без провайдерского.
при запросах напрямую к 8.8.8.8 ответ в районе 40-50мс.
при запросах через роутер, к времени ответов стабильно прибавляется 100+мс
так-же отсутствует какое-либо кэширование, последующие dnslookup-запросы были отправлены мгновенно после предыдущего.
указанный домен encode.su - вне списка доменых имен для маршрутизации. (аналогичная ситуация и с доменами из списка)
отключение списка доменных имен - не приводит к улучшению. 

используемая утилита - https://github.com/ameshkov/dnslookup

Изменено 13 часов назад пользователем zubzer0

[Илья Картавенко]

3 минуты назад, zubzer0 сказал:

Прошивка 5.0.4. Имеется wg туннель и "Списки доменных имен" для маршрутизации на wg.
днс сервер встроенный, прописан 8.8.8.8, без провайдерского.
при запросах напрямую к 8.8.8.8 ответ в районе 40-50мс.
при запросах через роутер, к времени ответов стабильно прибавляется 100мс
так-же отсутствует какое-либо кэширование, последующие запросы были отправлены мгновенно после предыдущего.
указанный домен encode.su - вне списка доменых имен для маршрутизации. (аналогичная ситуация и с доменами из списка)
отключение списка доменных имен - не приводит к улучшению. 

Это скорее всего блокировки. у меня 8-ки вообще не пингуются.

[zubzer0]

19 минут назад, Илья Картавенко сказал:

Это скорее всего блокировки. у меня 8-ки вообще не пингуются.

Маршрутизация к 8.8.8.8 без тунеля. 
напрямую с пк - ответ в районе 40мс, через промежуточный DNS роутера на тотже 8.8.8.8 +100мс задержки.
когда-как должны быть ну максимум +5мс,а не +100мс и то в лучших моментах.

к чему это приводит? если у сайта 10+ доменых имен на коннекте, это может приводить к более +1сек задержки перед началом загрузки страницы. к примеру vkvideo.ru подгружает аж 38(!) доменных имен userapi.com и okcdn.ru

Изменено 13 часов назад пользователем zubzer0

[Илья Картавенко]

Только что, zubzer0 сказал:

Маршрутизация к 8.8.8.8 без тунеля. 
напрямую с пк - ответ в районе 40мс, через промежуточный DNS роутера на тотже 8.8.8.8 +100мс задержки.

А у меня с компа не идет без тунеля 10, с тунелем не идет. f c hjenthf 5 -7 

[zubzer0]

аналогичная ситуация с vk.com и dns-yandex 77.88.8.8 (на роутере так-же прописан он, и только он)
роутер стабильно тормозит в DNS'ах

никаких фильтров по вычищению рекламы. только "Списки доменных имен" для маршрутизации на wg, но (повторюсь) их отключение не меняет ситуацию. Использование tcp вместо udp, так-же не меняет ситуацию с задержкой.  



150-200мс ожидания DNS-ответа это ужас! вспоминаются времена спутникового интернета из 00'ых

Изменено 12 часов назад пользователем zubzer0

[zubzer0]

результаты пинга полным пакетом и tcp-пинг / http-ping 
используемая утилита https://github.com/pouriyajamshidi/tcping


роутер откликается быстро, но не по части работы встроенного DNS
даже страничка http://192.168.1.1/opkg - загружается через curl быстрее чем прилетают ответы от DNS

Что такого невообразимого пытается делать встроенный dns сервер, что он оказывается медленнее (доп. 100-150мс оверхед) чем встроенный http-сервер с 10-15мс О_о

Изменено 11 часов назад пользователем zubzer0

[krass]

А если вернуться на стабильную keenetic os 4.x ? Это решает проблему?

P.S. Сам пока не рискнул переходить на keenetic os 5.x -- подожду год-другой...

Изменено 11 часов назад пользователем krass

[zubzer0]

11 минут назад, krass сказал:

А если вернуться на стабильную keenetic os 4.x ? Это решает проблему?

P.S. Сам пока не рискнул переходить на keenetic os 5.x -- подожду год-другой...

Да возможно, но потом. Думаю дождаться ответа по типу, "проблема принята и будет решаться как можно быстрее". 
Если не дождусь, то откачусь на 4 + dnsmasq ipset iptables 

Изменено 11 часов назад пользователем zubzer0

[mrGhotius]

2 часа назад, zubzer0 сказал:

используемая утилита - https://github.com/ameshkov/dnslookup

А может все-таки с утилитой что-то не так?

Спойлер

А при захвате пакетов не видно таких задержек.

Спойлер

 

[zubzer0]

у меня и Wireshark показывает + 100-150мс
nslookup vk.com 77.88.8.8
nslookup vk.com 192.168.1.1

Изменено 10 часов назад пользователем zubzer0

[mrGhotius]

А кто-то из форумчан, может проверить на версии 4.x?

[mrGhotius]

15 минут назад, zubzer0 сказал:

у меня и Wireshark показывает + 100-150мс

На роутере используете DoH/DoT?

[zubzer0]

3 минуты назад, mrGhotius сказал:

На роутере используете DoH/DoT?

при тестах использовался чистый 8.8.8.8 (в 1 посте) и чистый 77.88.8.8
в повседневе использую dot.

[mrGhotius]

2 минуты назад, zubzer0 сказал:

при тестах использовался чистый 8.8.8.8 (в 1 посте) и чистый 77.88.8.8
в повседневе использую dot.

Это я понял, я имел ввиду в тесте при запросе к 192.168.1.1 DoT/DoH включены? Потому что у меня получается вот так:

Спойлер

 

[zubzer0]

при использовании DoT на роутере 77.88.8.8:853 задержка от днс-роутера скачет 200-300мс
тогда как задержка напрямую к tls://77.88.8.8:853 минуя днс-роутера, около 80-90мс

т.е. в случае использования DoT оверхед тайминг примерно тотже

upd. как и при использовании DOH https://77.88.8.8/dns-query 
роутер стабильно тормозит доп. 100-150мс сверху, вне зависимости от типа обычный/dot/doh

Изменено 10 часов назад пользователем zubzer0

[mrGhotius]

5 минут назад, zubzer0 сказал:

при использовании DoT на роутере 77.88.8.8:853 задержка от днс-роутера скачет 200-300мс

тогда как задержка напрямую к tls://77.88.8.8:853 минуя днс-роутера, около 80-90мс

Ну да, забавно. Попробуйте в ТП написать, здесь меньше шансов получить разъяснения.

[zubzer0]

сделал на роутере dnsmasq на 192.168.1.1:153
в dnsmasq прописал address=/zer0.zub/8.8.8.8

в настройках прошивки KeeneticOS указал сервер 192.168.1.1:153
т.е. ссылающийся на dnsmasq внутри себя!

в итоге +100-120мс если обращаться через :53 который обращается к :153
нежели если обращаться к :153 напрямую к dnsmasq

в Wireshark результат тот-же. утилита работает правильно.

Роутер стабильно тормозит DNS на 100+ мс



проверил и в самом роутере
днс стабильно тормозит хоть то 192.168.1.1 хоть 127.0.0.1



170мс !
минимальный трафик, ЦП нагружен 1-3%

Изменено 9 часов назад пользователем zubzer0

[dchusovitin]

5 часов назад, zubzer0 сказал:

отключение списка доменных имен - не приводит к улучшению. 

Не могу особо утверждать, но отключение немного странно работало (5.0.3). Убирались правила/маршруты, но наполнение ipset и/или опрос доменов продолжал крутиться в фоне (еще может от галочек зависеть, оба варианта). Надо было удалить правило полностью (список можно оставить), и лучше перезагрузиться.

dns-proxy debug  может помочь в определении, но вывода отладочной информации в журнал там будет много.

 

[zubzer0]

2 часа назад, dchusovitin сказал:

Надо было удалить правило полностью (список можно оставить), и лучше перезагрузиться.

Да! именно так. Удалил правила, но списки оставил, презагрузился. и только тогда встроенный dns стал работать адекватно! 
После добавления правил к спискам - проблема роста задержки вновь вернулась.
Последующая перезагрузка роутера - не помогает.

Проблема именно там - в наличии правил маршрутизации DNS. 

у меня 7 списков/правил по 30-50 доменов в каждом. дублей нет.
всего 233, все домены второго уровня - example.com
объединение всех доменов в один бОльшой список и одно правило - проблему не решает.

FQDN требует оптимизаций производительности !

Изменено 6 часов назад пользователем zubzer0

[zubzer0]

после небольших экспериментов(с перезагрузками), как оказалось в падении производительности - количество не влияет.
хоть 10 доменов, хоть 800 доменов по типу example.com
и так и так будет дополнительные 100+мс оверхеда, вне зависимости состоит ли запрашиваемый домен в списке или нет 

p.s. а я такой думаю, а чего это даже "белые" сайты стали подтупливать на загрузках...

Изменено 6 часов назад пользователем zubzer0

[zubzer0]

придумал такой костыль-решение:

1. запускаем dnsmasq на 153 порту, который слушает локалку (br0) и loopback (lo)
dns сервер указываем 127.0.0.1 на 53 порту
включаем кэширование на 300 трактористов (адресов)
отключаем подгрузки каких либо других настроек, кроме этого конфига
вписываем выдуманный домен - для проверки

/opt/etc/dnsmasq.conf

port=153
user=root
group=root
interface=br0
interface=lo
server=127.0.0.1#53
cache-size=300
no-resolv
address=/keen.etic/1.2.3.4

/opt/etc/init.d/S56dnsmasq restart

2. проверяем что dnsmasq работает, напр. через тулзу https://github.com/ameshkov/dnslookup
> dnslookup keen.etic 192.168.1.1:153
вы должны получить 1.2.3.4

3. создаем правило переадресации портов как на картинке:
тем самым переадресуем все входящие 192.168.1.х на 53 порту, в 153 порт внутри роутера, который в свою очередь обращается к 53 порту своего 127.0.0.1
Зачем? Это даст возможность кешировать днс записи, чтобы второе и последующие обращения происходили без этого 100-200мс тормоза.

При этом мы оставляем рабочим и родной DNS и логику FQDN.
Просто слегка бустим/исправляем кэш-перехватом. 



костыль

Изменено 2 часа назад пользователем zubzer0