
<div>We have been working on DNS stuff and I will make some DNS Recommendations </div><div>within the next couple of days - if that would help. </div><div><br></div><div>Bind is an unnecessary waste of memory. </div><div><br>

</div><div>UnBound is too slow. </div><div><br></div><div>We are making custom modifications to MaraDNS to make it </div><div>have the right low memory footprint and optimizations for a router. </div><div><br></div><div>George. </div>

<div><br></div><br><br><div class="gmail_quote">On Mon, Aug 20, 2012 at 2:25 PM, Dave Taht <span dir="ltr"><<a href="mailto:dave.taht@gmail.com" target="_blank">dave.taht@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

The ongoing DNS issues bug me. For most uses these days I disable bind<br>

entirely, as the 12-20MB it uses up are better used for packets. I do<br>

use it on 3800s but not on 3700v2s.<br>

<br>

0) the circular time issue (bug #113) remains a PITA. I was really<br>

scarred by trying to fix that one last year and keep hoping someone<br>

else will fix it...<br>

<br>

1) The luci gui has hooks for dnsmasq's "use dns servers advertised by<br>

peer" and "use custom dns servers", which are not tied into the bind<br>

configuration.<br>

<br>

This is confusing users. The way to do that manually is to get the<br>

advertisement once, validate that those servers do NXDOMAIN and<br>

DNSSEC, and toss them into forwarders.conf and enable forwarders.conf<br>

<br>

2) Going the the DNS roots with bind, is OK, but it is always faster,<br>

and more reliable to use the ISP provided DNS servers, if they can be<br>

trusted to send DNSSEC information. Comcast's (if you are on comcast)<br>

are fast as heck. I also recently discovered that google DNS does<br>

indeed do dnssec, and although much further away than comcast on the<br>

networks I have access to, they are universally available.<br>

<br>

So I am thinking of enabling forwarding by default to google DNS. This<br>

reduces enabling forwarding to another set of servers provided by the<br>

ISP, if usable....<br>

<br>

I would like a test of some sort that would prove a delegated ISP's<br>

DNS server was "worthy", this test would include NXDOMAIN, DNSSEC, and<br>

whatever else would be required to validate it as a potential<br>

forwarder to overwrite the forwarders.conf file with that information.<br>

<br>

I wouldn't mind establishing a global white/blacklist of DNS servers<br>

that did NXDOMAIN/DNSSEC right/wrong somewhere, either...<br>

<br>

dnsmasq may gain DNSSEC by the winter, btw....<br>

<br>

3) A related problem is that when behind many walled gardens (a hotel,<br>

for example), going to the DNS roots via bind doesn't work at all,<br>

neither do things like google dns, and usually the forwarder is pretty<br>

crappy in the first place. dnsmasq works in this scenario just fine...<br>

<br>

4) A final alternative is to drop bind by default and install it<br>

optionally. While this would lose DNSSEC, and split views and local<br>

delegations, it would buy the integration with dnsmasq, which includes<br>

things like AAAA naming, etc., and get some memory back. (I note that<br>

the OOM issues we're encountering are USEFUL to encounter in that<br>

optimizing for memory use throughout the system is very important, and<br>

I have similar issues on 32MB routers like the picostation/nanostation<br>

even without bind)<br>

<br>

Given the amount of time, energy, and money (all 0) I personally have<br>

to deal with these issues, I'm mostly tempted to save on hair by<br>

making dnsmasq the default going forward, and write off bind for now.<br>

Certainly continue to make it available for advanced users, but<br>

install it optionally.<br>

<br>

The advantages of having something closer to full blown dns in the<br>

home are not apparent without tighter integration with dhcp, dhcpv6,<br>

ahcp, etc, than presently exists anywhere.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Dave Täht<br>

<a href="http://www.bufferbloat.net/projects/cerowrt/wiki" target="_blank">http://www.bufferbloat.net/projects/cerowrt/wiki</a> - "3.3.8-17 is out<br>

with fq_codel!"<br>

_______________________________________________<br>

Cerowrt-devel mailing list<br>

<a href="mailto:Cerowrt-devel@lists.bufferbloat.net">Cerowrt-devel@lists.bufferbloat.net</a><br>

<a href="https://lists.bufferbloat.net/listinfo/cerowrt-devel" target="_blank">https://lists.bufferbloat.net/listinfo/cerowrt-devel</a><br>

</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>P THINK BEFORE PRINTING: is it really necessary?<br><br>This e-mail and its attachments are confidential and solely for the<br>intended addressee(s). Do not share or use them without approval. If received in error, contact the sender<br>

and delete them.<br>