Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2165 views
  • Users 0 members are here
Options
Suggested

[8.161][QUESTION][ANSWERED] Why does my ASG still talk to all the root dns at restart time?

RFCat_vk_01
This is an ongoing issue, every restart the stats are useless for that day because of all the packets from the root servers, 1000s of them.

I have use ISPs DNS in the DNS tab, no other DNS entry.

Ian M
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 8.161

    Type: QUESTION

    State: ANSWERED

    Reporter: RFCat_vk

    Contributor: Billybob

    MantisID: 

    Target version: 

    Fixed in version: 

    --------------------------------
  • 0
    I cannot reproduce this here in my environment, can you please post the result of

    [FONT="Courier New"]cc get dns[/FONT]



    You need to be logged in as root on the shell to run this command.
  • 0 in reply to kbr
    Hi kai,
    see below for the details as requested.

    Question for you about your ASG, is it a single CPU (core) or a multi CPU (core) setup?

    Ian

    dns = {
              "allowed_networks" => [
                                      "REF_kXziFBhiKC",
                                      "REF_MRTRmQkACB"
                                    ],
              "axfr" => [],
              "email" => "do-not-reply\@fw-notify.net",
              "fwd_dynamic" => 1,
              "fwd_static" => [],
              "mappings" => [
                              "REF_ZInZikNmSn",
                              "REF_bcERmyPiJV",
                              "REF_VmODYXYOAE",
                              "REF_xkpnLVVsLF",
                              "REF_HQvocfLtiW",
                              "REF_mFdiKWtFPm",
                              "REF_xXdvNcSaUS",
                              "REF_ndIocMSdKt",
                              "REF_epfoqraUPs",
                              "REF_mJMYpCQWtT",
                              "REF_gKggwXIYvO",
                              "REF_DnsMapMynetphone",
                              "REF_DnsMapCatsserver",
                              "REF_DnsMapCatsvista"
                            ],
              "routes" => []
            }
  • 0
    Hi Ian,

    i'm using single core (VMware instance), but i see the main differnece in the fwd_static entry:

    i have additionally configured a fixed host in the DNS forwarders section.

    Would mind like to do a quick test: add a known good public dns server (Google, OpenDNS, etc). in that "DNS forwarders" section and see if it still is an issue?

    To find a good, fast DNS server in your region, it might be a good idea to take a look at steve gibsons dns benchmark tool (available from grc.com).

    Cheers,
    Kai
  • 0 in reply to kbr
    I believe I have this problem as well on a box... it's a DSL connected unit, so I'm guessing the ASG is doing lookups before PPPOE comes up.  It's done this for as long as I can remember, going back to Version 7.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Same problem on pppoe connected box so Bruce's theory sounds pretty good. This only happens on a reboot by the way.

    Regards
    Bill.
  • 0 in reply to Billybob
    Same problem on pppoe connected box so Bruce's theory sounds pretty good. This only happens on a reboot by the way.

    Regards
    Bill.


    Exactly -- a reboot causes this.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Now i think i remember this from an earlier V8 thread. As far as i know, this is because the DNS (named) is started at boot time with a working default configuration, before the interface comes up. Only after the interface has brought up, the named is reconfigured to ask the ISPs nameserver. As a result, there's a short period before you are connected to the internet, during which the machine tries to connect to all the root servers.

    While i see that this is a little bit annoying in the reporting charts, i don't think that we'll change this behavior, as this could have severe consequences to anything trying to resolve names on the LAN side of your network.

    Anyone of you guys interested in testing my idea of configuring google DNS instead? [;)]

    Cheers,
    Kai
  • 0 in reply to kbr
    Now that I am fully awake, I remembered what is going on. The way bind (DNS) is setup for astaro, the forwarders are queried first for all requests. If the forwarders don't answer, the root servers are queried. This is also the default behavior of bind. If however you want to change this you can add forward only in forwarders section of named.conf-default and it will only query your forwarder and not the root servers.
    []
    forward only;
    };


    I would leave it as default since its a failover feature but if you know what you are doing, you can change to forward only and you will get unknown host messages much quicker making your dns faster for unknown hosts etc.

    Regards 
    Bill.
  • 0 in reply to Billybob
    Hi kai,
    I initially added the google DNS until I was able to run the grc test from home.

    The fastest, was local ISP and not far behind was one of the DNS provided by my current ISP.

    I have added the fastest DNS as first choice by name and the my ISP's fastest DNS as second choice. I still have use the ISP's forwarders disabled.

    The differences are extremely small. 1 or 2 msec for the fastest response and about 3 msec for the average.

    I have restarted the ASG and there doesn't appear to be any increase in the dropped DNS (53) packets since this morning's restart.
    I will re-do the restart test because I forgot to enable the PF rule blocking internal access to external DNS.

    Ian
Cookie Information Banner