<div dir="ltr"><div>Hi Brian</div><div><br></div><div>Understood re. "user ecs" vs "pass" = semantic error on my side.</div><div><br></div><div>And yes, a local per branch recursor would better but we have to take installation/operational management overhead into account for doing this at a lot of sites; as well, we're trying to move away from local infrastructure.</div><div><br></div><div>I have a loaded config for table-based proxy mapping now via a lua-config-file entry - busy testing ...</div><div><br></div><div>On an unrelated note (although it would certainly help with above troubleshooting), I'm running the pdns-recursor docker image via:</div><div><br></div><div>powerdns/pdns-recursor-48:latest</div><div><br></div><div>And there doesn't seem to be any logging inside the container - am I missing something?</div><div><br></div><div>Regards, Robby<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 8 Nov 2022 at 11:44, Brian Candler <<a href="mailto:b.candler@pobox.com">b.candler@pobox.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 08/11/2022 09:20, Robby Pedrica via Pdns-users wrote:<br>
<br>
> The CDN services work correctly when a branch uses the ISP-assigned <br>
> DNS for that specific branch/link. But as mentioned, it's difficult to <br>
> manage these DNS entries when you have many branches across the world <br>
> (180 sites with 2 different ISP links at each site). It would be much <br>
> easier if we had a central recursor that could use ecs to determine <br>
> geo-located services for each branch.<br>
<br>
The central recursor would be able to see the source IP addresses of all <br>
the clients, correct?  Would it see the public (post NAT) or internal <br>
address (e.g. site-to-site VPN)?<br>
<br>
The recursor itself doesn't "use ecs" as such, but it could *pass* the <br>
client's IP address via ecs to the authoritative servers.  However, <br>
whether the authoritative servers use that information or not is not <br>
within your control.  They may ignore it, and look at the source IP <br>
address of the request only (i.e. the IP address of your recursor).  In <br>
which case, you're stuck.<br>
<br>
In any case, getting clients to use a local DNS cache would be much <br>
better for resilience and performance than routing all queries via a <br>
central recursor.<br>
<br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature">Robby Pedrica<br>XStore<br>c: +27 82 416 8696<br>f: +27 86 538 5810<br>m: <a href="mailto:rpedrica@xstore.co.za" target="_blank">rpedrica@xstore.co.za</a><br>w: <a href="http://wwww.xstore.co.za/" target="_blank">http://wwww.xstore.co.za/</a></div>