unbound проблема

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

unbound проблема

Непрочитанное сообщение opt1k » 2008-11-21 17:09:43

Проблема такая, если падает инет минут на 10, то после поднятия ресолвинг не происходит. Смотрю логи с вербозностью 2, при нормальной работе после каждого запроса идет ответ, после отваливания и поднятия инета в логах видно только что идут запросы, а ответов нет. Помогает только рестарт сервиса, что подскажете?

Код: Выделить всё

server:
        verbosity: 2
        num-threads: 1
        interface: 192.168.0.2
        port: 53
        outgoing-range: 512
        #outgoing-port-avoid: 0-32767
        #outgoing-port-avoid: 65001-65535
        msg-cache-size: 1m
        msg-cache-slabs: 2
        num-queries-per-thread: 512
        rrset-cache-size: 1m
        rrset-cache-slabs: 2
        cache-max-ttl: 86400
        infra-host-ttl: 900
        infra-lame-ttl: 900
        infra-cache-slabs: 2
        infra-cache-numhosts: 10000
        infra-cache-lame-size: 10k
        do-ip4: yes
        do-ip6: no
        do-udp: yes
        do-tcp: yes
        do-daemonize: yes

        access-control: 0.0.0.0/0 refuse
        access-control: 192.168.0.0/24 allow
        access-control: 127.0.0.0/8 allow
        access-control: ::0/0 refuse
        access-control: ::1 allow
        access-control: ::ffff:127.0.0.1 allow

        chroot: "/usr/local/etc/unbound"
        username: "unbound"
        directory: "/usr/local/etc/unbound"
        logfile: "/usr/local/etc/unbound/unbound.log"
#        logfile: ""
        use-syslog: no
        pidfile: "/usr/local/etc/unbound/unbound.pid"
        root-hints: "/usr/local/etc/unbound/named.cache"

        identity: "DNS"
        version: "1.0"
        hide-identity: yes
        hide-version: yes
        harden-glue: yes
        do-not-query-address: 127.0.0.1/8
        do-not-query-address: ::1
        do-not-query-localhost: yes
        module-config: "iterator"

forward-zone:
        name: "."
        forward-addr: 111.111.111.111
#        forward-addr: 222.222.222.222
#        forward-addr: 333.333.333.333

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: unbound проблема

Непрочитанное сообщение terminus » 2008-11-22 16:12:50

"падает инет минут на 10" - это имеется в виду, что физически коннект на сетевухе пропадает или у провайдера что-то с маршрутизацией случается?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: unbound проблема

Непрочитанное сообщение opt1k » 2008-11-24 0:40:43

сетевуха не отваливается, просто валится доступ в инет. Обычно это бывает когда падает инет от прова. Но недавно для эксперимента я закрыл инет на сервак с unbound'ом, эффект тот же. Причём если инет валится, скажем минуты на 2, то всё ок - после поднятия инета unbound дальше рулит запросы. Если минут на 5, то после поднятия инета в логах видно что запросы на резолвинг unbound принимает и всё.
К примеру нормальный лог выглядит так:

Код: Выделить всё

Кто такой ya.ru
ответ ya.ru такой то
кто такой mail.ru
ответ mail.ru такой то
и т.д.
Лог после сабжа:

Код: Выделить всё

кто такой rambler.ru
кто такой mail.ru
кто такой ya.ru
и т.д.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: unbound проблема

Непрочитанное сообщение terminus » 2008-11-24 16:54:57

В портах появилась новая версия unbound 1.1.1 - попробуйте обновить до нее. Там теперь можно использовать потоки вместе с libevent - обновиться стоит хотя бы из-за этого.

Мне повторить такую же ситуацию не удалось... У вас интернет простой ethernet или "с дозвоном" - в смысле какой-нибудь PPPoE или еще что-нить, что требует переинициализации сессий?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: unbound проблема

Непрочитанное сообщение opt1k » 2008-11-24 17:14:08

между машиной раздающей инет и unbound'ом shdsl мост в 1.5 мегабита, машина раздающая инет получает его по ethernet.

ща обновлюсь, попробую.

А конфиг у мну нормальный? просто я писал его по вашей статье, но менял многое для того что бы памяти unbound кушал поменьше, может я перестарался?

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: unbound проблема

Непрочитанное сообщение terminus » 2008-11-24 17:52:04

Конфиг нормальный, только rrset-cache-size должен быть в два раза больше чем msg-cache-size - это рекомендация которую я вычитал в mail листах unbound-users@ - это стоит подкрутить.

msg-cache-size - тут хрянится всякая дополнительнеая информация получаемая из ответов в процессе разрешения имен, а в rrset-cache-size сам кеш DNS записей.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: unbound проблема

Непрочитанное сообщение opt1k » 2008-11-24 17:57:54

ща вкрутил вербозность 3 и намутил логи, из дома приаттачу на форуме.
как удалось заметить как раз выдаёт что-то про кэш после отваливания инета.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: unbound проблема

Непрочитанное сообщение opt1k » 2008-11-24 22:45:03

воть , логи
каждый следующий лог содержит предыдущий...
Вложения
10min_fall_unbound.txt
10 минут нет инета, тут происходит иХс
(118.79 КБ) 11 скачиваний
normal_unbound.txt
нормальная работа
(24.93 КБ) 10 скачиваний
Последний раз редактировалось opt1k 2008-11-24 22:53:09, всего редактировалось 1 раз.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: unbound проблема

Непрочитанное сообщение opt1k » 2008-11-24 22:52:07

ещё логи
Вложения
restart_unbound.txt.bz2
передёргиваю сервис, после чего работает нормально
(6.18 КБ) 9 скачиваний
inet_up_unbound.txt.bz2
инет поднялся, а резолвинга нет
(5.44 КБ) 8 скачиваний

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: unbound проблема

Непрочитанное сообщение terminus » 2008-11-25 0:45:48

Ага - теперь и я такую же багу словил! Дома повторил эксперимент - сделал forward-zone: на DNS провайдера и заблокировал доступ на этот адрес, после чего Unbound впал в описанное вами состояние сна (out of query targets -- returning SERVFAIL ; return error response SERVFAIL)... После возвращения доступа он из сна не вышел, и полечилось все только жестким рестартом.
О как! :cf:

Короче мы поймали баг. Я отправлю сообщение в листы - опишу возникшую ситуацию и алгоритм как повторить. Пусть лечат.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: unbound проблема

Непрочитанное сообщение terminus » 2008-11-25 11:54:05

Прикольно - в листах ответили, что это не баг а фича! Есть такой параметр как nfra-host-ttl: который по умолчанию выставлен в 900 секунд (15мин). Он управляет временем жизни кеша infra-cache в котором храняться адреса сбойных и неправильно работающих серверов - вот туда и попадает неотвечающий сервер.

Короче выкрутите nfra-host-ttl: в 60 - тогда таймаут будет только минута. :cf:


Я потом, когда буду статью переписывать, внесу туда более детальное описание этой ситуации и рекомендацию про сниженные настройки для nfra-host-ttl:
В общем спасибо, что тему подняли ;-)
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: unbound проблема

Непрочитанное сообщение opt1k » 2008-11-26 12:13:40

большое спасибо !