Dnsmasq cache muy lento.



  • Señores aqui de nuevo.

    Como les habia mencionado en un post hacerca de pfsense y squid, uno de los problemas que como muchos han detectado pero aun no hay una solucion interna de pfsense para esto hasta donde he investigado.

    Es el dns cache, instale una maquina con freebsd 7.2 + bind como dns cache, los tiempos de respuesta no se comparan para nada con el dns interno de pfsense(dnsmasq).

    Por ejemplo con la otra maquina recibia la 1ra respuesta en unos 20-40 ms, y si volvia a ejecutar el mismo query tomaba 1ms y esto probando con varios nombres esto me indica que bind si esta haciendo bien su trabajo.

    Ahora regreso con pfsense por todas la funcionalidades que tiene, hago las mismas pruebas y la mera verdad me deja mucho que desear el dns cache interno.

    Repitiendo los mismos querys no he visto ninguno que me de 1ms, la mayoria esta entre 20-30ms y aclarando corriendo el mismo query, hay unos que la 1ra vez tardan arriba  de 100ms o a veces me arrojan el "server timeout".

    Es algo preocupante ya que llevar esto a las grandes ligas con 30+ equipos haciendo querys a distintos sitios, un dnsmaqs que solo acepta hasta 150 nombres, creo que tenemos un gran cuellos de botella. Esto nos lleva a tener que meter otro equipo solo para hacerla de dns cache lo cual ya es otro gasto para la empresa que nos contrate para esto.

    Creo que tinydns no puede ser un cache server hasta donde he leido.

    Otra cosa, por default /etc/resolv.conf no pone a localhost como nameserver primario, sino a los dns de mi ISP, tuve que hacer un truco para cambiar esto cada que pfsense reinicia ya que de lo contrario estamos usando el dns del ISP y se supone que estamos usando el cache.

    Ustedes como han atacado el problema del cache dns?
     Instalado otra equipo para esta funcion?
     Instalado algun software extra en pfsense?

    Saludos a todos  ;D

    Puse la misma caja donde tengo a bind trabajando como dns server solo para confirmar lo dicho, los tiempos de respuesta no se comparan 2do query entre 4-7ms vs 20-30ms de dnsmasq de pfsense, no he tenido ningun "server timeout" cuando ejecuto querys.



  • :) hola…

    tus pruebas son muy interesantes...
    en el caso de tu equipo ya sea el pfsense o el freebsd + bind has habilitado la resolucion con opendns??

    tal como comentas el pfsense tiende a ser lento al resolver el DNS, he configurado el dns con las direcciones del opendns (www.opendns.org) que son  208.67.222.222 y 208.67.220.220, se nota una mejoria, pero al fijarlas cuando se apaga el servidor o falla la red electrica entonces no deja navegar ya que tengo activo el captive portal en todos los equipos y al no habilitarse la comunicacion con internet no se resuelve el dns, lo cual no he logrado solucionar.

    por ejemplo para el caso del bind los pasos son:

    https://www.opendns.com/start/device/bind

    se habla de que se puede usar en ip-cop (firewall en linux equivalente al pfsense) pero no se habla de pfsense, aunque se puede implementar.



  • Hola Sanchezluys.

    Nunca he usado opendns.

    He leido en el foro este paquete, ahora ese ahi que bajarlo e instalarlo dentro del pfsense? O ahi que poner otro equipo para solo poner a operar esa aplicacion.

    Si me pudieras dar una breve explicacion de como opera esto te lo agradecere, tengo donde probarlo.

    Si estoy interesado en esto, ya que vuelvo a repetir, para poner a pfsense en las grandes ligas estos detallitos sin son importantes.

    Saludos!!!



  • ¡Hola!

    OpenDNS no es ningún programa. Son sólo servidores DNS a emplear, con filtrado de contenido.

    http://forum.pfsense.org/index.php/topic,17404.msg90809.html#msg90809

    Por otra parte si el número de peticiones DNS es elevado va muy bien tener un DNS local "grande".

    De esta manera se puede poner como primer DNS a consultar por parte de pfSense. También se puede informar a las estaciones que empleen dicho DNS en la configuración del DHCP de pfSense, como primer o segundo DNS, según se desee.

    Saludos,

    Josep Pujadas



  • Hola bellera.

    Mira todo esto vino a razon de lo siguiente.

    Tengo en la empresa donde laboro un equipo que la hace de Firewall, DNS, DHCP, Proxy(squid),VPN con OpenVPN el cual saca la chamba, no necesito ningun DNS Cache externo.

    Entonces viendo que todo esto casi lo tengo con Pfsense con GUI, estaba pensando en cambiar le software por uno con Pfsense, el equipo es una P4 512RAM y saca la chamba.

    Entonces cuando veo estos valores de respuesta por parte de pfsense comparados con my firewall de casa y el del trabajo veo que tenemos un problema, por que ya no solo necesito pensar en poner a pfsense a trabajar sino que debo pensar en como acelerar las respuesta del dns y esto me hace pensar en poner otra maquina que solo sea un dns cache y esto ya acarrea un costo extra para el cliente y espacio  en equipos.

    Lo estoy viendo del lado del cliente, si seria importante dotar a pfsense con un dns cache que este a el tu por tu vs un bind.

    Voy a seguir investigando para ver como hacer esto posible.

    Opendns ya veo que es un servicio, pensaba que era algun paquete a instalar.

    Hasta el momento es el unico detallito que le he visto a pfsense pero me llamo mucho la atencion, ya que el dns es una pieza critica en la operacion de una empresa con varios clientes conectados con sucursales y es importante tener un dns agil.

    Bueno vamos a seguirle ojala y pronto los desarrolladores tengan algo para atacar este detallito.

    Saludos y gracias por su respuestas!!!


Log in to reply