20. ledna vypínáme staré ODVR. Nebo ne?

Přicházím s posledním připomenutím nutnosti změny nastavení svých počítačů či síťových zařízení. V pondělí 20. ledna v 9:00 by Vám mohl přestat fungovat Internet, protože vypneme první část platformy starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR. Samozřejmě jen v případě, pokud tuto odstavovanou službu ještě využíváte.

Opakuji, že k tomuto kroku jsme se rozhodli přistoupit proto, abychom zvýšili bezpečnost provozu DNS anycastu pro českou národní doménu. Část staré instance ODVR totiž sdílí s DNS anycastem pro .CZ nejen fyzickou infrastrukturu, ale používá i IP adresu z rozsahu určeného primárně DNS anycastu pro .CZ. O nové instanci ODVR a konkrétních důvodech vypnutí původního ODVR informujeme poměrně intenzívně již tři čtvrtě roku, termín vypnutí staré jsme oznámili před více jak měsícem. Jak jsme na tom dnes s překlopením provozu na nové řešení, je vidět z následujícího grafu. Většina provozu, která směřuje na naše resolvery, je již odbavována z nového řešení a jsme tedy velmi rádi, že naši uživatelé vyslyšeli naše výzvy ke změně. Děkujeme!

Vhledem k faktu, že provoz na původním unicastu je ale stále poměrně silný, rozhodli jsme se v uvedený termín 20. ledna vypnout pouze starou anycast část. Analýzou provozu jsme totiž zjistili, že drtivá většina IP adres, ze kterých přicházejí požadavky na starou instanci ODVR, využívá jak anycast, tak unicast instancí. Tedy vypnutí anycastu by na těchto zařízeních nemělo způsobit problém. Pouze několik málo stovek IP adres (v pracovní dny cca 200 až 300) využívá ze původních ODVR pouze anycast instanci a jejich provoz nedosahuje ani tři procenta z celku. Ano, uživatelé za těmito IP adresami na problém po 20. lednu narazí, pokud ještě neprovedou změnu, viz níže, ale kvůli tak malému počtu uživatelů odkládat vypnutí nechceme (navíc, pokud mají doporučené nastavení svých DNS, mají v konfiguraci ještě alespoň jeden další server). Odložíme však vypnutí staré unicast části do doby, až její provoz dále výrazněji poklesne. Postup vypnutí anycastu provedeme, zjednodušeně řečeno, tak, že na anycast nodech zastavíme `unbound` a aby nedocházelo ke zbytečným timeoutům u uživatelů, přidáme do iptables `REJECT` na adresy 193.29.206.206 / 2001:678:1::206. Pár dní necháme takto odstavené, teprve pak přistoupíme k dalším krokům.

Apel na správce sítě a uživatele, i přes pokračující provoz staré unicast části, zůstává. Prosíme zkontrolujte si, zda nevyužíváte stále ještě onu vypínanou část ODVR. Pokud neumíte zjistit, jaký používáte na svém počítači resolver, využijte našeho pomocného nástroje, který vám odpoví, zda máte změnu nastavení provádět nebo ne. Pokud Vám test vrátí zelené „fajfky“ u starých instancí, nemusí se zmíněného 20. ledna obávat. Pokud se mu ale ve výsledcích testu objeví červené „křížky“, měl by zbystřit a zajistit si okamžitou změnu nastavení u sebe nebo svého poskytovatele připojení.

Pro ty zkušenější, ještě znovu opakuji výzvu pro změnu zcela konkrétně. Zapomeňte prosím na: 217.31.204.130, 2001:1488:800:400::130 a 193.29.206.206, 2001:678:1::206, přejděte včas na: 193.17.47.1, 2001:148f:ffff::1 a 185.43.135.1, 2001:148f:fffe::1.

Autor:

Komentáře (10)

  1. Radka Vodičková říká:

    Dobrý den, já tomu vůbec nerozumím. Vy dokážete zjistit, zda se mne to také týká? Děkuji Vodičková

    • Zdeněk Brůna říká:

      Dobrý den, prosím zadejte tuto adresu: https://odvr.cz/ do svého prohlížeče a pošlete mi výsledek testů.

  2. Husák Petr říká:

    Vůbec nevím o čem je řeč napište mi prosím zda mi bude fungovat
    internet od dubna až mi ho zase zapnete

  3. Dagmar Jelínková říká:

    Dobrý den, také tomu vůbec nerozumím, dala jsem spustit test a nic to nedělá. A nedaří se mi k vám dovolat. Byla bych ráda, pokud byste mne mohli co nejdříve kontaktovat. Potřebuji připojení ke své práci.
    Děkuji.

  4. Zdeněk Brůna říká:

    Vypnutí ODVR se týká minima uživatelů, opravdu není důvod k panice. Ohledně fungování připojení na Vašich počítačích se prosím obracejte se svoje obvyklé správce, ti by měli podle instrukcí z blogu poznat, zda patříte mezi vyjímky, kterých se vypnutí ODVR dotkne.

  5. Šárka Havrdová říká:

    Vůbec nevím o čem je řeč, prosím normální informací pro běžné uživatele. Doufám že mne budete informovat, nejsem žádný IT.

  6. Bedřich Routner říká:

    Zkoušel jsem ten test spustit, ale ani po 10 minutách nereaguje.

    • Zdeněk Brůna říká:

      V jakém to zkoušíte prohlížeči? Zkoušel jsem teď v Chrome, Firefoxu a Opeře a funguje bez problémů.

  7. bubbleit.cz říká:

    Dobrý den,
    před vypnutím druhé části platformy starých ODVR by bylo určitě dobré informovat koncové uživatele prostřednictvím nějakého běžného „ne IT“ portálu.
    Váš blog a IT portály čteme my z oboru, ale ne běžný uživatel internetu. Nedostane se tak k informaci ani k odkazu, kde by si připojení sám ověřil.
    S přáním všeho dobrého Lukáš

  8. Iva Svárovská říká:

    Ráda bych věděla, jakou školou mám projít, abych pochopila text, maturita asi nestačí Iva

Napsat komentář: Zdeněk Brůna Zrušit odpověď na komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..