Spouštíme nové ODVR

Již více než 10 let mají uživatelé Internetu, nejen v České republice, možnost volně využít tzv. Otevřené DNSSEC Validující Resolvery CZ.NIC, zkráceně ODVR, namísto DNS resolverů od poskytovatelů internetového připojení. Jedná se o českou alternativu k veřejným DNS resolverům od společností Google (tzv. „čtyři osmičky“) nebo Cloudflare (tedy „čtyři jedničky“). Mimochodem i v případě Cloudflare resolverů jde tak trochu o „českou“ alternativu, protože využívá námi vyvíjený KNOT Resolver (viz blogpost kolegy Petra Špačka.

Původní ODVR

Původní ODVR bylo provozováno na dvou oddělených platformách. Na první s IPv4+IPv6 adresou (217.31.204.130, 2001:1488:800:400::130) naslouchaly samostatné servery umístěné pouze v pražských datacentrech, kde byl fail-over řešen softwarovou implementací. Druhá platforma s IPv4+IPv6 adresou (193.29.206.206, 2001:678:1::206) byla propagována z vybraných serverů v anycastu pro .CZ. Tyto servery byly umístěny jak v České republice, tak i Evropě a na dalších kontinentech. Fail-over byl v tomto případě realizován přímo BGP protokolem.

Na servery jsme instalovali zejména Debian a Ubuntu Linux a jako DNS resolver jsme na všech serverech použili Unbound, samozřejmě se zapnutou validací DNSSEC.

Právě společné prostředí .CZ anycastu a části ODVR bylo hlavním impulsem k tomu, abychom tyto dvě součásti zcela oddělili a provozovali nezávisle na sobě. Nasazováním převážně malých DNS stacků, viz také můj dřívější blogpost, do zahraničních lokalit vedlo k větší složitosti správy celého řešení. Současně také logicky docházelo ke sdílení prostředků jednotlivých serverů, které jsme navrhovali zejména pro provoz .CZ domény, a s ohledem na odolnost proti případným útokům jsme se rozhodli provoz ODVR oddělit.

Využití ODVR v České republice v průběhu několika let ukazuje následující graf. Každý modrý sloupec představuje průměrný počet požadavků za sekundu v daném měsíci získaný z průměrných hodnot z každého dne. Maximální využití ve špičkách pak znázorňuje červená linka.

Dle grafu je zřejmé, že zájem o tyto DNS resolvery mezi uživateli Internetu v České republice neustále roste. Naše stávající infrastruktura ale zvládala i daleko větší objem provozu. Důkazem budiž graf provozu (viz níže) z 22. listopadu 2016, kdy došlo k výpadku DNS resolverů společnosti Google (viz také dřívější blogpost kolegy Zdeňka Brůny.)

Nové ODVR

V čem je nové ODVR jiné? Za prvé, všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (v době vydání tohoto blogpostu ve verzi 4.0), a to se zapnutou podporou DNS over TLS.

Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice. Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.

Vyzkoušejte si nové ODVR!

Je to jednoduché. Stačí si v konfiguraci síťového připojení ve vašem PC, telefonu nebo tabletu nastavit IPv4 adresy 193.17.47.1 a 185.43.135.1. Pokud máte k dispozici i připojení pomocí protokolu IPv6, můžete použít i adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.

Podpora šifrované komunikace DNS over TLS je dostupná na adrese odvr.nic.cz, na standardním portu TCP/853. DoT si můžete sami vyzkoušet v Linuxu pomocí stub resolveru Stubby a nebo na mobilních zařízeních s Androidem verze 9, který má tuto podporu přímo integrovanou.

Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.

Přeji vám příjemné (a šifrované) brouzdání po Internetu s našimi novými DNS resolvery a budu se těšit na další stoupající využití ODVR.

Autor:

Komentáře (13)

  1. neznalek říká:

    Bude puvodni ODVR 217.31.204.130 fungovat i nadale nebo se chysta jeho shutdown?

    • Václav Steiner říká:

      Dobrý den,

      původní adresy 217.31.204.130 a 193.29.206.206 budeme postupem času utlumovat. Konkrétní termín pak samozřejmě včas oznámíme. Nepředpokládáme tedy souběžný běh obou prostředí.

      VS.

  2. Michal Breškovec říká:

    Jak je to s blokací služeb podle Babišova zákonu o cenzuře Internetu (tedy 186/2016 Sb., o hazardních hrách), předpokládám, že když nejste ISP, tak to asi neřešíte, nebo ano?

    • Václav Steiner říká:

      Dobrý den,

      nemusíte mít obavu, neřešíme a ODVR nic nefiltruje, s výjimkou privátních IPv4 a IPv6 rozsahů (ochrana proti útoku DNS rebinding).

      VS.

  3. Jan Kučera říká:

    Chtěl bych se zeptat jestli podporovat také dns over https a nebo pouze dns over TLS

  4. Jan Dušák říká:

    Dobrý den, je možné, že zatím nové resolvery nemají nastaveny reverzní DNS záznamy?
    A jinak si myslím, že by nebylo špatné do článku (či syndikovaných článků na Lupě, Rootu…) doplnit informaci o tom, že staré adresy se už nebudou používat :)

    Každopádně díky moc za to, že takovouto službu provozujete.

    • Václav Steiner říká:

      Dobrý den,

      děkuji za připomenutí, reverzní záznamy doplníme.

      O odstavení původních adres budeme včas informovat. Zmínka v článku by mohla zapadnout.

      VS.

  5. Jan Dušák říká:

    Dobrý den,

    pointou spíše bylo zmínit, jestli jsou vůbec plány stávající IP adresy zachovat, či ne.

    Každopádně díky :)

    S pozdravem,

    Jan Dušák

  6. Martin říká:

    Dobrý den,

    je možné, že by občas nebylo možné přeložit adresu csas.cz nebo bezpecnost.csas.cz ?

    nslookup csas.cz 185.43.135.1
    Server: UnKnown
    Address: 185.43.135.1

    Name: csas.cz

    nslookup csas.cz 193.17.47.1
    Server: odvr.nic.cz
    Address: 193.17.47.1

    Name: csas.cz

    Nebo mám hledat problém jinde. Problémy s bankovnictvím, ale začaly po změně IP adres použitých DNS serverů, s původními 217.31.204.130 a 193.29.206.206 problém nikdy nebyl.

    Děkuji

    • Václav Steiner říká:

      Dobrý den,

      napiště mi prosím na vaclav.steiner (zavináč) nic.cz, zkusíme to projít společně.

      VS.

    • Václav S. říká:

      Také se mi stává, že nové ODVR servery úplně vypadnou. Bohužel si to nemůžu dovolit, ty původní, co se budou vypínat, byly vždy stabilní. Používám DoT na svém firewallu pfSense.
      Z logu:
      Jun 15 02:13:19 unbound 57706:0 error: SSL_read syscall: Connection reset by peer
      Jun 15 02:13:19 unbound 57706:1 error: SSL_handshake syscall: Connection reset by peer

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..