медленный DNS

[zubzer0]

Прошивка 5.0.4. Имеется wg туннель и "Списки доменных имен" для маршрутизации на wg.
днс сервер встроенный, прописан 8.8.8.8, без провайдерского.
при запросах напрямую к 8.8.8.8 ответ в районе 40-50мс.
при запросах через роутер, к времени ответов стабильно прибавляется 100+мс
так-же отсутствует какое-либо кэширование, последующие dnslookup-запросы были отправлены мгновенно после предыдущего.
указанный домен encode.su - вне списка доменых имен для маршрутизации. (аналогичная ситуация и с доменами из списка)
отключение списка доменных имен - не приводит к улучшению. 

используемая утилита - https://github.com/ameshkov/dnslookup

Изменено 1 февраля пользователем zubzer0

[zubzer0]

5 часов назад, avn сказал:

Ну так в чем проблема, используйте adh, и маршрутизация keenetic, Но не используйте dns- кеенетик.  В поиск, adh+ioset.

в отсутствии банального кэширования по TTL в Keenetic DNS при включенной маршрутизации FQDN. 

Изменено Понедельник в 13:22 пользователем zubzer0

[avn]

23 минуты назад, zubzer0 сказал:

в отсутствии банального кэширования по TTL в Keenetic DNS при включенной маршрутизации FQDN. 

Так я же говорю, уберите это звено и используйте agh 

[zubzer0]

28 минут назад, avn сказал:

Так я же говорю, уберите это звено и используйте agh 

эта тема была создана для демонстрации плохой работы при общении со службой тех.поддержки. для решения проблемы прошивки. 
а решая проблемы прошивки подобным стилем, можно в конечном итоге уйти на другие роутеры на базе openwrt. 

это не запрос на доп.функционал или что-то, что используется у одного из тысячи. Это DNS, основа, то, что должно/обязано работать идеально быстро в любом роутере, вне зависимости от настроек, притом настроек в GUI

если подобная оптимизация невозможна, то в GUI прошивки должно быть указано, что использование "Маршрутов DNS" - приведет к значительному увеличению времени отклика. Если такой плашки нет - то значит, это проблема, которую нужно решать. 

Изменено Понедельник в 14:10 пользователем zubzer0

[zubzer0]

кстати, тех.поддержка ответили:
" мы передали информацию разработчикам, но прямо сейчас (в версиях 5.0.Х) никаких изменений не ожидается. " 

😐

Изменено Понедельник в 14:35 пользователем zubzer0

[Илья Картавенко]

19 минут назад, zubzer0 сказал:

кстати, тех.поддержка ответили:
" мы передали информацию разработчикам, но прямо сейчас (в версиях 5.0.Х) никаких изменений не ожидается. " 

😐

попробуйте 5.1 Маршрутизация DNS по моим ощущениям и наблюдениям, стала работать лучше.

[zubzer0]

2 минуты назад, Илья Картавенко сказал:

попробуйте 5.1 Маршрутизация DNS по моим ощущениям и наблюдениям, стала работать лучше.

я не рискну использовать альфу. особенно после количества и характера отзывов которое было сделано в ветке dev-тестирования на 5.1

эти "ощущения" - измеримы. я приводил примеры как это делать

Изменено Понедельник в 15:00 пользователем zubzer0

[Илья Картавенко]

Только что, zubzer0 сказал:

я не рискну использовать альфу. особенно после количества и характера отзывов которое было сделано в ветке dev-тестирования на 5.1

Чужие отзывы это чужие отзывы, но нужно проверять самому.

[Buba]

7 часов назад, avn сказал:

Ну так в чем проблема, используйте adh, и маршрутизация keenetic, Но не используйте dns- кеенетик.  В поиск, adh+ioset.

Так я и использую ADGH (на своем локальном клиенте, не на роутере), но для работы "Маршруты DNS" нужно, чтобы дергался DNS в Keenetic, поэтому в ADGH прописал как upstream DNS самого Keenetic — 192.168.1.1:53.
По "adh+ioset" ничего не нашел, видимо вы имели ввиду возможность ADGH формировать ipset, только вот не использую Entware и ADGH не на роутере, если знаете как подружить это нативно с Keenetic без залезания в Entware, то пожалуйста, расскажите.

[jinndi]

для интереса попробовал, как бы кеширует получается? прошивка 5.0.4

[zubzer0]

29 минут назад, jinndi сказал:

для интереса попробовал, как бы кеширует получается? прошивка 5.0.4

- если ответы приходят быстро, то кэширование работает.
- вы делали "Маршрутизация - Маршруты DNS - Правила маршрутизации" ? (основа проблемы)
- вы делали какой либо кэш-перехват, как из моего примера с unbound ?

Изменено Понедельник в 15:38 пользователем zubzer0

[jinndi]

2 минуты назад, zubzer0 сказал:

- вы делали "Маршрутизация - Маршруты DNS" ?
- вы делали какой либо кэш-перехват, как из моего примера с unbound ?

да, в маршрутизации в список добавил домен, в правилах направил этот список в политику в которой WG  по умолчанию

[zubzer0]

кхмм.. решил перепроверится еще раз.

ситуация та-же, при наличии правил (даже если они выключены), кэш не работает + оверхед задержка.
правила удаляю, оставляя списки - кэш начинает работать, оверхед задержка пропадает. 

- каких либо настроек KeeneticDNS через CLI - вообще не делались, ни разу. 

Маршруты DNS - Правила маршрутизации (есть)
https://images4.imagebam.com/7f/3f/ba/ME1AVGUT_o.png

Маршруты DNS - Правила маршрутизации (отсутствуют)
https://images4.imagebam.com/a0/3f/d9/ME1AVGUU_o.png

Изменено Понедельник в 16:02 пользователем zubzer0

[jinndi]

32 минуты назад, zubzer0 сказал:

кхмм.. решил перепроверится еще раз.

ситуация та-же, при наличии правил (даже если они выключены), кэш не работает + оверхед задержка.
правила удаляю, оставляя списки - кэш начинает работать, оверхед задержка пропадает. 

- каких либо настроек KeeneticDNS через CLI - вообще не делались, ни разу. 

Маршруты DNS - Правила маршрутизации (есть)
https://images4.imagebam.com/7f/3f/ba/ME1AVGUT_o.png

Маршруты DNS - Правила маршрутизации (отсутствуют)
https://images4.imagebam.com/a0/3f/d9/ME1AVGUU_o.png

Правильно ли я понял, что используется на роутере не DoT/DoH DNS сервера?
что показывает ping encode.su если через WG подключение?

[mrGhotius]

1 час назад, jinndi сказал:

для интереса попробовал, как бы кеширует получается? прошивка 5.0.4

Устройство, с которого тестируете, в политике по умолчанию?

Изменено Понедельник в 16:26 пользователем mrGhotius

[jinndi]

8 минут назад, mrGhotius сказал:

Устройство, с которого тестируете, в политике по умолчанию?

по умолчанию основное подключение, в другой политике WG подключение по умочанию на эту политику направляю список доменов, но что-то кажется это не работает

[jinndi]

вообще как я понимаю эта схема должна работать без DoT/DoH днс, тогда резолв днс будет всегда на стороне WG сервера идти и поэтому это и будет постоянный оверхед как автор пишет

Изменено Понедельник в 16:38 пользователем jinndi

[zubzer0]

в настройках (GUI) днс у роутера пробывались варианты:

- dot/doh на 1.1.1.1 8.8.8.8
- обычный dns (53) на 1.1.1.1 8.8.8.8
- обычный dns на встроенный 192.168.1.1:153 (с обычным dns 53 на 1.1.1.1 8.8.8.8, с кэшем)
- обычный dns на встроенный 192.168.1.1:153 (с обычным dns 53 на 1.1.1.1 8.8.8.8, без кэша)
- обычный dns на встроенный 192.168.1.1:153 (с dot/doh на 1.1.1.1 8.8.8.8, с кэшем)
- обычный dns на встроенный 192.168.1.1:153 (с dot/doh на 1.1.1.1 8.8.8.8, без кэша)
- обычный dns на встроенный 192.168.1.1:153 с записью фейк домена zer0.zub

во всех сценариях 1.1.1.1 и 8.8.8.8 маршрутизируются напрямую. без впн, и без внесения их в правила маршрутизации.

даже когда KeeneticDNS получал запись от встроенного dnsmasq с фейк записью zer0.zub
- не было кэширования
- была оверхед задержка
- в тоже время, если с клиента обращаться напрямую к 192.168.1.1:153 - все отлично.

Изменено Понедельник в 16:54 пользователем zubzer0

[jinndi]

12 минут назад, zubzer0 сказал:

в настройках днс у роутера пробывались варианты:

- dot/doh на 1.1.1.1 8.8.8.8
- обычный dns (53) на 1.1.1.1 8.8.8.8
- обычный dns на встроенный 192.168.1.1:253 (с обычным dns 53 на 1.1.1.1 8.8.8.8, с кэшем)
- обычный dns на встроенный 192.168.1.1:253 (с обычным dns 53 на 1.1.1.1 8.8.8.8, без кэша)
- обычный dns на встроенный 192.168.1.1:253 (с dot/doh на 1.1.1.1 8.8.8.8, с кэшем)
- обычный dns на встроенный 192.168.1.1:253 (с dot/doh на 1.1.1.1 8.8.8.8, без кэша)
- обычный dns на строенный 192.168.1.1:253 с записью фейк домена zer0.zub

во всех сценариях 1.1.1.1 и 8.8.8.8 маршрутизируются напрямую. без впн, и без внесения их в правила маршрутизации.

даже когда KeeneticDNS получал запись от встроенного dnsmasq с фейк записью zer0.zub
- не было кэширования
- была оверхед задержка
- в тоже время, если с клиента обращаться напрямую к 192.168.1.1:253 - все отлично.

смотри, кеширование у меня работает, но есть нюанс на счет работы маршрутизации, например если добавить в список домен 2ip.ru и направить его в политику с WG подключением , то будет ли этот сайт показывать айпи WG сервера?

[zubzer0]

сделал маршрутизацию на 1.0.0.1 через WG, проверил
1.0.0.1 в роутере  - оверхед и без кэша
1.0.0.1 на клиенте - значительно меньше чем с роутера, но больше чем с 1.1.1.1
трассировка маршрута от клиента к 1.1.1.1 идёт через провайдера.
трассировка маршрута  от клиента к 1.0.0.1 идет через WG, как и полагается. 
FQDN работает, он правильно распределяет трафик.

Мне кажется, у вас всеже есть кэш перехват. 
jinndi попробуйте сделать тест внутри роутера, можно и через dig (он тоже пишет время ответа)
dig @127.0.0.1 example.com
dig @192.168.1.1 example.com

Изменено Понедельник в 17:16 пользователем zubzer0

[jinndi]

11 минут назад, zubzer0 сказал:

попробуйте сделать тест внутри роутера, можно и через dig

через dig в entware попробовал, действительно есть постоянная задержка при задействованных правилах маршрутизации, если их удаляют то после первого запроса дальше нулевая задержка

[zubzer0]

4 минуты назад, jinndi сказал:

через dig в entware попробовал, действительно есть постоянная задержка при задействованных правилах маршрутизации, если их удаляют то после первого запроса дальше нулевая задержка

проблема подтверждается.
её можно не видеть, если есть кэш перехват, либо на уровне ОС, либо как я описывал ранее - через unbound

Изменено Понедельник в 17:22 пользователем zubzer0

[jinndi]

Только что, zubzer0 сказал:

проблема подтверждается. её можно не видеть, если есть кэш перехват, либо на уровне ОС, либо как я описывал ранее через unbound

я вообще в работе самой маршрутизации не могу удостовериться если что) какой мне кеш

[zubzer0]

3 минуты назад, jinndi сказал:

я вообще в работе самой маршрутизации не могу удостовериться если что) какой мне кеш

а вот тут интересный момент, но без точного анализа.
в unbound есть target-fetch-policy: "3 2 1 0 0", и вроде с этой опцией ютуб стал маршрутизироваться лучше, без проскакиваний.
с этой опцией в FQDN записывается больше субдоменов.
можно еще чуть глубже  target-fetch-policy: "4 3 2 1 0" (но это только если ARM64)

Изменено Понедельник в 17:27 пользователем zubzer0

[avn]

2 часа назад, Buba сказал:

Так я и использую ADGH (на своем локальном клиенте, не на роутере), но для работы "Маршруты DNS" нужно, чтобы дергался DNS в Keenetic, поэтому в ADGH прописал как upstream DNS самого Keenetic — 192.168.1.1:53.
По "adh+ioset" ничего не нашел, видимо вы имели ввиду возможность ADGH формировать ipset, только вот не использую Entware и ADGH не на роутере, если знаете как подружить это нативно с Keenetic без залезания в Entware, то пожалуйста, расскажите.

Agh должен стоять на роутере для того, что бы добавлять записи в ipset. По другому никак.

[jinndi]

23 минуты назад, zubzer0 сказал:

а вот тут интересный момент, но без точного анализа.
в unbound есть target-fetch-policy: "3 2 1 0 0", и вроде с этой опцией ютуб стал маршрутизироваться лучше, без проскакиваний.
с этой опцией в FQDN записывается больше субдоменов.
можно еще чуть глубже  target-fetch-policy: "4 3 2 1 0" (но это только если ARM64)

я это не ставил, просто хотел попробовать встроенный инструмент, по логике как я настроил домен 2ip.ru должен показать айпи WG подключения, но он провайдерский показывает, если честно не разбирался как правильно настроить, поддерживаются ли субдомены и тд, если есть информация по этому поводу почитал бы

[jinndi]

37 минут назад, zubzer0 сказал:

проблема подтверждается.

интересный момент, задержка при тестировании с роутера через dig и dnslookup происходит даже при обращении к любому другому домену которого нет в списке на маршрутизацию, получается сам факт активного правила ее добавляет

[mrGhotius]

27 минут назад, jinndi сказал:

если честно не разбирался как правильно настроить, поддерживаются ли субдомены и тд, если есть информация по этому поводу почитал бы

А что мешает?

https://support.netcraze.ru/giga/nc-1012/ru/51150-dns-based-routes.html

Цитата

В окне Списки доменных имен укажите Имя списка и в поле Доменные имена, IPv4/IPv6-адреса введите доменные имена и/или IP-адреса, по одному в строке. Все поддомены указанного имени автоматически учитываются, не используйте символ * в доменных именах. Нажмите кнопку Сохранить.

 

22 минуты назад, jinndi сказал:

получается сам факт активного правила ее добавляет

Именно это мы уже и выяснили в середине темы

[jinndi]

3 минуты назад, mrGhotius сказал:

В окне Списки доменных имен укажите Имя списка и в поле Доменные имена, IPv4/IPv6-адреса введите доменные имена и/или IP-адреса, по одному в строке. Все поддомены указанного имени автоматически учитываются, не используйте символ * в доменных именах. Нажмите кнопку Сохранить.

спасибо за ссылку, именно так и делал, но 2ip.ru не показывает айпи выбранного интерфейса, попробую завтра после перезагрузки роутера
 

 

8 минут назад, mrGhotius сказал:

Именно это мы уже и выяснили в середине темы

ок, я не читал просто, тогда что тут осуждать😀

 

[zubzer0]

target-fetch-policy: "3 2 1 0 0"
делает проникание не в *.example.com , а в NS записи

описание: https://www.reddit.com/r/dns/comments/fkof57/unbound_dns_unclear_setting/

unbound очень хорошая палочка-выручалочка для любых видов DNS-маршрутизации, не только встроенный FQDN. 

prefetch + serve-expired + target-fetch-policy 

Изменено Понедельник в 18:58 пользователем zubzer0

[dchusovitin]

3 часа назад, zubzer0 сказал:

я не рискну использовать альфу. особенно после количества и характера отзывов которое было сделано в ветке dev-тестирования на 5.1

Тоже самое, +100-200 мс на любой запрос, при наличии одного правила с пустым списком.