Již více než 10 let mají uživatelé Internetu, nejen v České republice, možnost volně využít tzv. Otevřené DNSSEC Validující Resolvery CZ.NIC, zkráceně ODVR, namísto DNS resolverů od poskytovatelů internetového připojení. Jedná se o českou alternativu k veřejným DNS resolverům od společností Google (tzv. „čtyři osmičky“) nebo Cloudflare (tedy „čtyři jedničky“). Mimochodem i v případě Cloudflare resolverů jde tak trochu o „českou“ alternativu, protože využívá námi vyvíjený KNOT Resolver (viz blogpost kolegy Petra Špačka.
Původní ODVR
Původní ODVR bylo provozováno na dvou oddělených platformách. Na první s IPv4+IPv6 adresou (217.31.204.130, 2001:1488:800:400::130) naslouchaly samostatné servery umístěné pouze v pražských datacentrech, kde byl fail-over řešen softwarovou implementací. Druhá platforma s IPv4+IPv6 adresou (193.29.206.206, 2001:678:1::206) byla propagována z vybraných serverů v anycastu pro .CZ. Tyto servery byly umístěny jak v České republice, tak i Evropě a na dalších kontinentech. Fail-over byl v tomto případě realizován přímo BGP protokolem.
Na servery jsme instalovali zejména Debian a Ubuntu Linux a jako DNS resolver jsme na všech serverech použili Unbound, samozřejmě se zapnutou validací DNSSEC.
Právě společné prostředí .CZ anycastu a části ODVR bylo hlavním impulsem k tomu, abychom tyto dvě součásti zcela oddělili a provozovali nezávisle na sobě. Nasazováním převážně malých DNS stacků, viz také můj dřívější blogpost, do zahraničních lokalit vedlo k větší složitosti správy celého řešení. Současně také logicky docházelo ke sdílení prostředků jednotlivých serverů, které jsme navrhovali zejména pro provoz .CZ domény, a s ohledem na odolnost proti případným útokům jsme se rozhodli provoz ODVR oddělit.
Využití ODVR v České republice v průběhu několika let ukazuje následující graf. Každý modrý sloupec představuje průměrný počet požadavků za sekundu v daném měsíci získaný z průměrných hodnot z každého dne. Maximální využití ve špičkách pak znázorňuje červená linka.
Dle grafu je zřejmé, že zájem o tyto DNS resolvery mezi uživateli Internetu v České republice neustále roste. Naše stávající infrastruktura ale zvládala i daleko větší objem provozu. Důkazem budiž graf provozu (viz níže) z 22. listopadu 2016, kdy došlo k výpadku DNS resolverů společnosti Google (viz také dřívější blogpost kolegy Zdeňka Brůny.)
Nové ODVR
V čem je nové ODVR jiné? Za prvé, všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (v době vydání tohoto blogpostu ve verzi 4.0), a to se zapnutou podporou DNS over TLS.
Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice. Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.
Vyzkoušejte si nové ODVR!
Je to jednoduché. Stačí si v konfiguraci síťového připojení ve vašem PC, telefonu nebo tabletu nastavit IPv4 adresy 193.17.47.1 a 185.43.135.1. Pokud máte k dispozici i připojení pomocí protokolu IPv6, můžete použít i adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.
Podpora šifrované komunikace DNS over TLS je dostupná na adrese odvr.nic.cz, na standardním portu TCP/853. DoT si můžete sami vyzkoušet v Linuxu pomocí stub resolveru Stubby a nebo na mobilních zařízeních s Androidem verze 9, který má tuto podporu přímo integrovanou.
Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.
Přeji vám příjemné (a šifrované) brouzdání po Internetu s našimi novými DNS resolvery a budu se těšit na další stoupající využití ODVR.
Bude puvodni ODVR 217.31.204.130 fungovat i nadale nebo se chysta jeho shutdown?
Dobrý den,
původní adresy 217.31.204.130 a 193.29.206.206 budeme postupem času utlumovat. Konkrétní termín pak samozřejmě včas oznámíme. Nepředpokládáme tedy souběžný běh obou prostředí.
VS.
Jak je to s blokací služeb podle Babišova zákonu o cenzuře Internetu (tedy 186/2016 Sb., o hazardních hrách), předpokládám, že když nejste ISP, tak to asi neřešíte, nebo ano?
Dobrý den,
nemusíte mít obavu, neřešíme a ODVR nic nefiltruje, s výjimkou privátních IPv4 a IPv6 rozsahů (ochrana proti útoku DNS rebinding).
VS.
Chtěl bych se zeptat jestli podporovat také dns over https a nebo pouze dns over TLS
Dobrý den,
ano, plánujeme v brzké době nasadit, zatím ještě testujeme. V okamžiku nasazení budeme určitě informovat.
VS.
Detaily: https://blog.nic.cz/2019/05/20/na-odvr-podporujeme-take-dns-over-https/
Dobrý den, je možné, že zatím nové resolvery nemají nastaveny reverzní DNS záznamy?
A jinak si myslím, že by nebylo špatné do článku (či syndikovaných článků na Lupě, Rootu…) doplnit informaci o tom, že staré adresy se už nebudou používat :)
Každopádně díky moc za to, že takovouto službu provozujete.
Dobrý den,
děkuji za připomenutí, reverzní záznamy doplníme.
O odstavení původních adres budeme včas informovat. Zmínka v článku by mohla zapadnout.
VS.
Dobrý den,
pointou spíše bylo zmínit, jestli jsou vůbec plány stávající IP adresy zachovat, či ne.
Každopádně díky :)
S pozdravem,
Jan Dušák
Dobrý den,
je možné, že by občas nebylo možné přeložit adresu csas.cz nebo bezpecnost.csas.cz ?
nslookup csas.cz 185.43.135.1
Server: UnKnown
Address: 185.43.135.1
Name: csas.cz
nslookup csas.cz 193.17.47.1
Server: odvr.nic.cz
Address: 193.17.47.1
Name: csas.cz
Nebo mám hledat problém jinde. Problémy s bankovnictvím, ale začaly po změně IP adres použitých DNS serverů, s původními 217.31.204.130 a 193.29.206.206 problém nikdy nebyl.
Děkuji
Dobrý den,
napiště mi prosím na vaclav.steiner (zavináč) nic.cz, zkusíme to projít společně.
VS.
Také se mi stává, že nové ODVR servery úplně vypadnou. Bohužel si to nemůžu dovolit, ty původní, co se budou vypínat, byly vždy stabilní. Používám DoT na svém firewallu pfSense.
Z logu:
Jun 15 02:13:19 unbound 57706:0 error: SSL_read syscall: Connection reset by peer
Jun 15 02:13:19 unbound 57706:1 error: SSL_handshake syscall: Connection reset by peer