30 января. Проблема с доступность в зоне *.ru

Internet censorship all around the world Russia
1

Началось в 18:30. Системы мониторинга StatusCake начали присылать уведомления одним за другим.
Проверка через ping-admin показывает что из РФ в РФ так же наблюдаются проблемы.
ICMP ходит без проблем, а вот домены через раз резолвятся.

Без имени
Без имени1600×1171 271 KB

2

UPD:

изображение

3
4

Отключение DNSSEC тоже не помогает

image
image749×296 17.6 KB

5

UDP2: Начало оживать

6

хехе впн и ничего не заметил

7

Ну если все RU-домены, к которым Вы обращались, успешно закэшировались DNS-сервером Вашего VPN - то возможно. Или если этот DNS-сервер хитро настроен глобально забивать на DNSSEC (но это само по себе так себе идея).
А так и через 1.1.1.1, и через 8.8.8.8, и через 9.9.9.9 ресолвинг не работает. И через свои DNS-сервера, которые форвардят запросы на любой из перечисленных, соответственно, тоже.

8

с российского ip одни сайты норм (2гис) другие нет (ya)
dns 1111 1001

9

И не поможет, из-за Max Sig Life, который в лучшем случае часы. 1800 для зоны .com, например
Кстати, Max Sig Life в зоне .ru — 345600, так что отключайте дней за пять перед тем, как что-то куда-то переносить

Вообще, не припомню, чтобы слетал DNSSEC всей зоны когда-нибудь. Похоже, кто-то бросил валенок на клавиатуру

10

77.88.8.8 днс от яндекса пока используйте, решает проблему. как починят, поменяете :slight_smile:

11

Или уснули

12

Например, 192.168.104.1😄

13

Яндексовский DNS тоже через раз ошибки выдаёт…

14

А что 192.168.104.1? Он куда запросы перенаправляет-то? Речь же не про DNSSEC между клиентом и его собственным DNS-сервером, а между этим DNS-сервером и вышестоящим и далее по цепочке.

15

В unbound
domain-insecure: ru.
работает отлично

16

Я это у себя пробовал и не работало. Я так понимаю, что дабы это заработало, надо, чтобы вышестоящий сервер хоть какой-то ответ отдавал, пусть с невалидной подписью. А если он отдаёт SERVFAIL - то никакие настройки на своей стороне не помогут. Возможно, если вместе с яндексовскими / НСДИ серверами это применить… но, честно говоря, устал уже пробовать разные настройки и потом flush’ить кэши везде для проверки. Пусть чинят, жду.

17

о ya заработал. mail всё ещё нет

18

Вы unbound используете как форвардер к гуглу и пр.? Тогда конечно работать не будет :slight_smile:

19

Split DNS для своих доменов, остальное форвардилось на Quad9. Как бы до сего момента этого было более чем достаточно для всех нужд.

P.S. Отключил форвардинг, заработало (ожидаемо). Но я ж взращен на рекомендациях “не дёргай корневые серверы всуе” :slight_smile: , надо потом обратно вернуть, наверное…

20

вот и mail заработал. чинят