unbound проблема

[opt1k]

Проблема такая, если падает инет минут на 10, то после поднятия ресолвинг не происходит. Смотрю логи с вербозностью 2, при нормальной работе после каждого запроса идет ответ, после отваливания и поднятия инета в логах видно только что идут запросы, а ответов нет. Помогает только рестарт сервиса, что подскажете?

Код: Выделить всё

server:
        verbosity: 2
        num-threads: 1
        interface: 192.168.0.2
        port: 53
        outgoing-range: 512
        #outgoing-port-avoid: 0-32767
        #outgoing-port-avoid: 65001-65535
        msg-cache-size: 1m
        msg-cache-slabs: 2
        num-queries-per-thread: 512
        rrset-cache-size: 1m
        rrset-cache-slabs: 2
        cache-max-ttl: 86400
        infra-host-ttl: 900
        infra-lame-ttl: 900
        infra-cache-slabs: 2
        infra-cache-numhosts: 10000
        infra-cache-lame-size: 10k
        do-ip4: yes
        do-ip6: no
        do-udp: yes
        do-tcp: yes
        do-daemonize: yes

        access-control: 0.0.0.0/0 refuse
        access-control: 192.168.0.0/24 allow
        access-control: 127.0.0.0/8 allow
        access-control: ::0/0 refuse
        access-control: ::1 allow
        access-control: ::ffff:127.0.0.1 allow

        chroot: "/usr/local/etc/unbound"
        username: "unbound"
        directory: "/usr/local/etc/unbound"
        logfile: "/usr/local/etc/unbound/unbound.log"
#        logfile: ""
        use-syslog: no
        pidfile: "/usr/local/etc/unbound/unbound.pid"
        root-hints: "/usr/local/etc/unbound/named.cache"

        identity: "DNS"
        version: "1.0"
        hide-identity: yes
        hide-version: yes
        harden-glue: yes
        do-not-query-address: 127.0.0.1/8
        do-not-query-address: ::1
        do-not-query-localhost: yes
        module-config: "iterator"

forward-zone:
        name: "."
        forward-addr: 111.111.111.111
#        forward-addr: 222.222.222.222
#        forward-addr: 333.333.333.333

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

"падает инет минут на 10" - это имеется в виду, что физически коннект на сетевухе пропадает или у провайдера что-то с маршрутизацией случается?

[opt1k]

сетевуха не отваливается, просто валится доступ в инет. Обычно это бывает когда падает инет от прова. Но недавно для эксперимента я закрыл инет на сервак с unbound'ом, эффект тот же. Причём если инет валится, скажем минуты на 2, то всё ок - после поднятия инета unbound дальше рулит запросы. Если минут на 5, то после поднятия инета в логах видно что запросы на резолвинг unbound принимает и всё.
К примеру нормальный лог выглядит так:

Код: Выделить всё

Кто такой ya.ru
ответ ya.ru такой то
кто такой mail.ru
ответ mail.ru такой то
и т.д.

Лог после сабжа:

Код: Выделить всё

кто такой rambler.ru
кто такой mail.ru
кто такой ya.ru
и т.д.

[terminus]

В портах появилась новая версия unbound 1.1.1 - попробуйте обновить до нее. Там теперь можно использовать потоки вместе с libevent - обновиться стоит хотя бы из-за этого.

Мне повторить такую же ситуацию не удалось... У вас интернет простой ethernet или "с дозвоном" - в смысле какой-нибудь PPPoE или еще что-нить, что требует переинициализации сессий?

[opt1k]

между машиной раздающей инет и unbound'ом shdsl мост в 1.5 мегабита, машина раздающая инет получает его по ethernet.

ща обновлюсь, попробую.

А конфиг у мну нормальный? просто я писал его по вашей статье, но менял многое для того что бы памяти unbound кушал поменьше, может я перестарался?

[terminus]

Конфиг нормальный, только rrset-cache-size должен быть в два раза больше чем msg-cache-size - это рекомендация которую я вычитал в mail листах unbound-users@ - это стоит подкрутить.

msg-cache-size - тут хрянится всякая дополнительнеая информация получаемая из ответов в процессе разрешения имен, а в rrset-cache-size сам кеш DNS записей.

[opt1k]

ща вкрутил вербозность 3 и намутил логи, из дома приаттачу на форуме.
как удалось заметить как раз выдаёт что-то про кэш после отваливания инета.

[opt1k]

воть , логи
каждый следующий лог содержит предыдущий...

[opt1k]

ещё логи

[terminus]

Ага - теперь и я такую же багу словил! Дома повторил эксперимент - сделал forward-zone: на DNS провайдера и заблокировал доступ на этот адрес, после чего Unbound впал в описанное вами состояние сна (out of query targets -- returning SERVFAIL ; return error response SERVFAIL)... После возвращения доступа он из сна не вышел, и полечилось все только жестким рестартом.
О как!

Короче мы поймали баг. Я отправлю сообщение в листы - опишу возникшую ситуацию и алгоритм как повторить. Пусть лечат.

[terminus]

Прикольно - в листах ответили, что это не баг а фича! Есть такой параметр как nfra-host-ttl: который по умолчанию выставлен в 900 секунд (15мин). Он управляет временем жизни кеша infra-cache в котором храняться адреса сбойных и неправильно работающих серверов - вот туда и попадает неотвечающий сервер.

Короче выкрутите nfra-host-ttl: в 60 - тогда таймаут будет только минута.


Я потом, когда буду статью переписывать, внесу туда более детальное описание этой ситуации и рекомендацию про сниженные настройки для nfra-host-ttl:
В общем спасибо, что тему подняли

[opt1k]

большое спасибо !