Přicházím s posledním připomenutím nutnosti změny nastavení svých počítačů či síťových zařízení. V pondělí 20. ledna v 9:00 by Vám mohl přestat fungovat Internet, protože vypneme první část platformy starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR. Samozřejmě jen v případě, pokud tuto odstavovanou službu ještě využíváte.
Opakuji, že k tomuto kroku jsme se rozhodli přistoupit proto, abychom zvýšili bezpečnost provozu DNS anycastu pro českou národní doménu. Část staré instance ODVR totiž sdílí s DNS anycastem pro .CZ nejen fyzickou infrastrukturu, ale používá i IP adresu z rozsahu určeného primárně DNS anycastu pro .CZ. O nové instanci ODVR a konkrétních důvodech vypnutí původního ODVR informujeme poměrně intenzívně již tři čtvrtě roku, termín vypnutí staré jsme oznámili před více jak měsícem. Jak jsme na tom dnes s překlopením provozu na nové řešení, je vidět z následujícího grafu. Většina provozu, která směřuje na naše resolvery, je již odbavována z nového řešení a jsme tedy velmi rádi, že naši uživatelé vyslyšeli naše výzvy ke změně. Děkujeme!
Vhledem k faktu, že provoz na původním unicastu je ale stále poměrně silný, rozhodli jsme se v uvedený termín 20. ledna vypnout pouze starou anycast část. Analýzou provozu jsme totiž zjistili, že drtivá většina IP adres, ze kterých přicházejí požadavky na starou instanci ODVR, využívá jak anycast, tak unicast instancí. Tedy vypnutí anycastu by na těchto zařízeních nemělo způsobit problém. Pouze několik málo stovek IP adres (v pracovní dny cca 200 až 300) využívá ze původních ODVR pouze anycast instanci a jejich provoz nedosahuje ani tři procenta z celku. Ano, uživatelé za těmito IP adresami na problém po 20. lednu narazí, pokud ještě neprovedou změnu, viz níže, ale kvůli tak malému počtu uživatelů odkládat vypnutí nechceme (navíc, pokud mají doporučené nastavení svých DNS, mají v konfiguraci ještě alespoň jeden další server). Odložíme však vypnutí staré unicast části do doby, až její provoz dále výrazněji poklesne. Postup vypnutí anycastu provedeme, zjednodušeně řečeno, tak, že na anycast nodech zastavíme `unbound` a aby nedocházelo ke zbytečným timeoutům u uživatelů, přidáme do iptables `REJECT` na adresy 193.29.206.206 / 2001:678:1::206. Pár dní necháme takto odstavené, teprve pak přistoupíme k dalším krokům.
Apel na správce sítě a uživatele, i přes pokračující provoz staré unicast části, zůstává. Prosíme zkontrolujte si, zda nevyužíváte stále ještě onu vypínanou část ODVR. Pokud neumíte zjistit, jaký používáte na svém počítači resolver, využijte našeho pomocného nástroje, který vám odpoví, zda máte změnu nastavení provádět nebo ne. Pokud Vám test vrátí zelené „fajfky“ u starých instancí, nemusí se zmíněného 20. ledna obávat. Pokud se mu ale ve výsledcích testu objeví červené „křížky“, měl by zbystřit a zajistit si okamžitou změnu nastavení u sebe nebo svého poskytovatele připojení.
Pro ty zkušenější, ještě znovu opakuji výzvu pro změnu zcela konkrétně. Zapomeňte prosím na: 217.31.204.130, 2001:1488:800:400::130 a 193.29.206.206, 2001:678:1::206, přejděte včas na: 193.17.47.1, 2001:148f:ffff::1 a 185.43.135.1, 2001:148f:fffe::1.
Dobrý den, já tomu vůbec nerozumím. Vy dokážete zjistit, zda se mne to také týká? Děkuji Vodičková
Dobrý den, prosím zadejte tuto adresu: https://odvr.cz/ do svého prohlížeče a pošlete mi výsledek testů.
Vůbec nevím o čem je řeč napište mi prosím zda mi bude fungovat
internet od dubna až mi ho zase zapnete
Dobrý den, také tomu vůbec nerozumím, dala jsem spustit test a nic to nedělá. A nedaří se mi k vám dovolat. Byla bych ráda, pokud byste mne mohli co nejdříve kontaktovat. Potřebuji připojení ke své práci.
Děkuji.
Vypnutí ODVR se týká minima uživatelů, opravdu není důvod k panice. Ohledně fungování připojení na Vašich počítačích se prosím obracejte se svoje obvyklé správce, ti by měli podle instrukcí z blogu poznat, zda patříte mezi vyjímky, kterých se vypnutí ODVR dotkne.
Vůbec nevím o čem je řeč, prosím normální informací pro běžné uživatele. Doufám že mne budete informovat, nejsem žádný IT.
Zkoušel jsem ten test spustit, ale ani po 10 minutách nereaguje.
V jakém to zkoušíte prohlížeči? Zkoušel jsem teď v Chrome, Firefoxu a Opeře a funguje bez problémů.
Dobrý den,
před vypnutím druhé části platformy starých ODVR by bylo určitě dobré informovat koncové uživatele prostřednictvím nějakého běžného „ne IT“ portálu.
Váš blog a IT portály čteme my z oboru, ale ne běžný uživatel internetu. Nedostane se tak k informaci ani k odkazu, kde by si připojení sám ověřil.
S přáním všeho dobrého Lukáš
Ráda bych věděla, jakou školou mám projít, abych pochopila text, maturita asi nestačí Iva