[Pdns-users] implementing hyperlocal root-zone (IETF 103) concept using pdns_recursor and pdns authoritative

Thomas Mieslinger Wed, 13 Mar 2019 06:08:04 -0700

Hi,

today I wanted to move some 12k qps from root-nameservers to mine.


I'm using pdns_recursor 4.1.8 and pdns 4.1.5.

So I started AXFRing all available zones from IANA to my pdnsauthoritative servers.


And added the following to my pdns_recursor config:
dnssec=process
forward-zones-file=/etc/pdns-recursor/anytest2/forward.zones
lua-config-file=/etc/pdns-recursor/anytest2/nta.lua

forward.zones contains:
+.=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+224.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+225.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+226.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+227.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+228.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+229.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+230.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+231.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+232.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+233.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+234.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+235.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+236.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+237.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+238.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+239.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+ip6-servers.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+ip6.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+ipv4only.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+mcast.net=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+root-servers.net=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a

The nta.lua does _NOT_ contain anything for the above zones. I do notwant to kill dnssec validation from the beginning.

everything worked fine until users tried to visit dnssec signed 3rdlevel domains like bbc.co.uk, facebook.co.uk or google.co.uk.

Of course 2nd level dnssec signed zones just work fine (gmx.net, web.de,facebook.com, google.com).

I've generated a trace (rec_control trace-regex..) of the resolution ofbbc.co.uk, but, to be honest, I have no idea what is handled incorrectly.

Upon request, I can share the trace regex, but it is so large that it isnot forwarded to the mailling list.


Best regrads

Thomas
_______________________________________________
Pdns-users mailing list
Pdns-users@mailman.powerdns.com
https://mailman.powerdns.com/mailman/listinfo/pdns-users

[Pdns-users] implementing hyperlocal root-zone (IETF 103) concept using pdns_recursor and pdns authoritative

Reply via email to