[Pdns-users] implementing hyperlocal root-zone (IETF 103) concept using pdns_recursor and pdns authoritative

Thomas Mieslinger miesi at india.com
Wed Mar 13 13:07:51 UTC 2019 

Hi,

today I wanted to move some 12k qps from root-nameservers to mine.

I'm using pdns_recursor 4.1.8 and pdns 4.1.5.

So I started AXFRing all available zones from IANA to my pdns 
authoritative servers.

And added the following to my pdns_recursor config:
dnssec=process
forward-zones-file=/etc/pdns-recursor/anytest2/forward.zones
lua-config-file=/etc/pdns-recursor/anytest2/nta.lua

forward.zones contains:
+.=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+224.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+225.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+226.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+227.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+228.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+229.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+230.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+231.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+232.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+233.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+234.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+235.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+236.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+237.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+238.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+239.in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+in-addr.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+ip6-servers.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+ip6.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+ipv4only.arpa=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+mcast.net=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a
+root-servers.net=217.160.80.247,217.160.81.247,217.160.82.247,217.160.83.247,2001:8d8:fe:53:616e:7973:6c76:310a,2001:8d8:fe:53:616e:7973:6c76:330a,2001:8d8:fe:53:616e:7973:6c76:320a,2001:8d8:fe:53:616e:7973:6c76:340a

The nta.lua does _NOT_ contain anything for the above zones. I do not 
want to kill dnssec validation from the beginning.

everything worked fine until users tried to visit dnssec signed 3rd 
level domains like bbc.co.uk, facebook.co.uk or google.co.uk.

Of course 2nd level dnssec signed zones just work fine (gmx.net, web.de, 
facebook.com, google.com).

I've generated a trace (rec_control trace-regex..) of the resolution of 
bbc.co.uk, but, to be honest, I have no idea what is handled incorrectly.

Upon request, I can share the trace regex, but it is so large that it is 
not forwarded to the mailling list.

Best regrads

Thomas

More information about the Pdns-users mailing list