BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

¿Es mejor tener los DNS de la operadora o unos públicos?

SIMPfloyd
1

Llevo unos dias comiendome la cabeza de una forma agresiva sobre los servidores DNS.

Se como se mantienen, funcionan, etc. Y aquí en un sitio desde el cual trabajo, la conexión a internet es por wireless (osea wifi ya que la antena PoE es una Ubiquiti AirMAX), con 30 Mbps de bajada y 3 Mbps de subida y una latencia aceptable pero no la mejor. Y utilizo los servidores DNS de la compañía.

La cosa es que cuando me pongo a hacer un apt update en mi Debian tarda mucho en resolver los nombres de las direcciones de los repositorios o al cargar ciertas webs.

Lo que hice fue ejecutar el benchmark de DNS de GRC, y el DNS de la operadora era el más rápido con las resoluciones en caché, pero las no cacheadas y las "dotcom" era el más lento. Por lo que vi que los DNS de Cloudflare eran los más rápidos para todo, y los estoy utilizando ahora y se nota la diferencia.

Y en internet no paro de ver artículos algunos recomendando seguir usando los DNS de la operadora, otros que mejor hacer uno local de cacheado que apunte a otro público, otros que mejor utilizar uno público… Y me hago un tremendo lío, porque luego en mi domicilio particular tengo contratada fibra de una operadora local, y los DNS de la operadora en sí no van mal, y en otro domicilio el cual tienen O2, los DNS de Telefónica van genial.

Entonces, ¿merece la pena que tarde más en realizar las resoluciones por tener un servidor DNS mas cercano, o utilizar uno público rápido a pesar de que esté "lejos" (aunque use AnyCast y un gran CDN)?

Y otra cosa, ¿me podrían contar su experiencia con servidores DNS públicos (Quad9, Cloudflare, Google, etc.) y de otras operadoras?

Benchmark

Aqui teneis el benchmark (3 pasadas limpiando la cache antes de hacer cada test) por si os sirve de algo.

Cabe destacar que en cada test, el DNS del ISP según el programa perdía más consultas que el resto, de acuerdo con el manual del programa (barra roja en la columna de dirección).

Benchmark
Final benchmark results, sorted by nameserver performance:
 (average cached name retrieval speed, fastest to slowest)

  185. 44. 24. 10 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,005 | 0,009 | 0,014 | 0,002 | 100,0 |
  - Uncached Name | 0,025 | 0,486 | 1,522 | 0,579 | 100,0 |
  - DotCom Lookup | 0,034 | 0,319 | 1,253 | 0,501 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             dns-ntp.electronicamartinez.es
               ELECTRONICAMARTINEZ-AS, ES


    9.  9.  9.  9 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  + Cached Name   | 0,015 | 0,019 | 0,024 | 0,002 | 100,0 |
  + Uncached Name | 0,016 | 0,068 | 0,279 | 0,072 | 100,0 |
  + DotCom Lookup | 0,017 | 0,027 | 0,050 | 0,010 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                     dns9.quad9.net
                     QUAD9-AS-1, US


  149.112.112.112 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  + Cached Name   | 0,015 | 0,019 | 0,026 | 0,003 | 100,0 |
  + Uncached Name | 0,016 | 0,069 | 0,277 | 0,072 | 100,0 |
  + DotCom Lookup | 0,016 | 0,027 | 0,047 | 0,010 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
           rpz-public-resolver1.rrdns.pch.net
                     QUAD9-AS-1, US


    1.  1.  1.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,014 | 0,020 | 0,026 | 0,003 | 100,0 |
  - Uncached Name | 0,020 | 0,082 | 0,301 | 0,079 | 100,0 |
  - DotCom Lookup | 0,018 | 0,043 | 0,058 | 0,010 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                     one.one.one.one
                    CLOUDFLARENET, US


    1.  0.  0.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,015 | 0,020 | 0,026 | 0,002 | 100,0 |
  - Uncached Name | 0,021 | 0,100 | 0,405 | 0,097 | 100,0 |
  - DotCom Lookup | 0,021 | 0,042 | 0,052 | 0,007 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                     one.one.one.one
                    CLOUDFLARENET, US


    8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,015 | 0,034 | 0,052 | 0,010 | 100,0 |
  - Uncached Name | 0,038 | 0,067 | 0,261 | 0,050 | 100,0 |
  - DotCom Lookup | 0,041 | 0,048 | 0,055 | 0,003 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                       dns.google
                       GOOGLE, US


    8.  8.  4.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,019 | 0,039 | 0,053 | 0,011 | 100,0 |
  - Uncached Name | 0,042 | 0,075 | 0,267 | 0,054 | 100,0 |
  - DotCom Lookup | 0,048 | 0,055 | 0,065 | 0,004 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                       dns.google
                       GOOGLE, US


  UTC: 2021-10-26, from 11:44:10 to 11:44:33, for 00:22,655
vukits

¿Tan dificil es instanciarte un resolver local? o por lo menos uno local que haga de caché

🗨️ 10
SIMPfloyd

Lo habia pensado pero no tengo una raspberry o equipo para dedicarlo a eso y tenerlo 24/7 activo

🗨️ 9
Solospam

una raspberry te cuesta 100€ con todo para funcionar salvo que quieras la versión de 8 gb de ram… por 150€ en ebay se venden servidores Xeon (de 10 años, pero marcas como Dell o HP), así que todo es buscar y comparar… si sólo quieres un servidor de DNS o prefieres otros menesteres aparte del servidor de DNS

Todo es como quieras planteártelo

🗨️ 4
campi
2

Te sale la luz gratis?

Anda que estás conversaciones para rascar unos ms…

Amigo, pilla el DNS que tengas cerca y resuelva rápido resultado no cacheados, da igual de quién sea.

🗨️ 3
Solospam
🗨️ 2
campi
🗨️ 1
pepejil
1

Puedes montar un resolver caché en el propio equipo.

vukits

firmwares de routers, como OpenWrt, DD-WRT, et al., tienen opción de eso.

JCDev

Compra un host fuera de tu casa

🗨️ 1
pepejil

Para eso que siga usando una solución pública. Si con un proveedor de DNS público tiene 15 ms y le haces contratar un host "fuera de su casa" donde va a tener siempre el problema de la latencia entre ese servidor y su conexión, es como venderle homeopatía.

El que tenga un resolver caché es precisamente para que peticiones DNS posteriores tengan 0 ms.

pepejil

Entonces, ¿merece la pena que tarde más en realizar las resoluciones por tener un servidor DNS mas cercano, o utilizar uno público rápido a pesar de que esté "lejos" (aunque use AnyCast y un gran CDN)?

La DNS más rápida es, si no usas un resolver local, la que te sirve la propia ISP que te da conexión. Si una DNS Anycast tarda menos que la del propio ISP, es que algo grave está haciendo la ISP.

Si es verdad que los DNS públicos ofrecen funcionalidades que los DNS de las ISP no, ya sea por simple vagueza o por desinterés de los que lo mantienen, como validación DNSSEC. Luego la mayoría de DNS públicos ofrecen sistemas de cifrado en tránsito como DNS over HTTP.

Yo he probado diversos servidores DNS y ahora lo tengo con las de Vodafone con el "DNS seguro" activo en el router (vamos, ponga el servidor DNS que ponga, va a redirigir a la ISP) y no he notado problemas de latencia en ninguno de los casos. También te digo, la mayoría de los que apoyan a usar DNS que no sean las de su operadora es para saltarse diversos "capados" (cosa que me parece absurda, porque el capado ya te lo hacen vía SNI) o por un infundado miedo a que su ISP tenga datos de navegación (como si los proveedores públicos no guardasen registros de las peticiones, cosa que sí pasa).

Todos los navegadores y SO como Android ya incorporan funciones de DNS seguro para hacer "override" hacia servidores DoH, así que cambiar las DNS a nivel de red, en mi opinión, es cada vez más irrelevante cuando puedes obtener "privacidad" con otros métodos como el que he expuesto. Céntrate en la latencia de cada servidor DNS y usa el que menor latencia te dé, aunque sigo manteniendo que si necesitas latencias mínimas en la resolución, uses algún tipo de resolver caché local.

🗨️ 1
SIMPfloyd

Yo lo hago por ganar algo de rendimiento a pesar de tener una conexión un poco regulera, por asi decirlo. Lo de privacidad no me es un motivo porque se como va un DNS, las peticiones HTTP y registro que hacen los ISP y es algo normal dicho asi. Por saltarme bloqueos tampoco, existen las VPNs y los webproxies.

En cuanto a latencia, el del ISP tiene muchisima (estamos hablando de 368ms hacia arriba en resoluciones sin cachear y dotcom, segun el test GRC), pero cacheado obvio que es mas rapido que el resto ya que esta cerca.

kotBegemot
2

o utilizar uno público rápido a pesar de que esté "lejos" (aunque use AnyCast y un gran CDN)?

Anycast, ese gran desconocido. Con anycast puede ser que no esté tan lejos como crees. Por ejemplo, la copia de 8.8.8.8 a la que accedes puede estar más cerca que el de tu operadora, o al menos en el mismo lugar.

Lo que es seguro es que si usas el DNS de una grande (Google, cloudfare) los servicios alojados en esa grande tendrán alguna ventajilla, porque la CDN en concreto te tiene mejor identificado.

Yo uso los de Google y no va mal, sobre todo porque uso mucho servicios de Google y así te go más optimizadas las copias que uso de cada cosa.

Los DNS de las operadoras tienen la ventaja de que es seguro que están cerca y la desventaja de que es mucho más posible un error en una telefónica o en un internet pepe que en un Google o en un cloudfare. Oye, que yo no digo que los grandes no tengan errores, pero tienen menos porque dedican más gente a reducir los errores.

Y la opción de montarte el tuyo. Mola, se aprende mucho, pero al final todo lo que tienes montado en casa es poco fiable. Si se cae, como no lo soluciones tu, no lo hace nadie, nadie lo actualiza, etc, etc y etc. Es cuestión de prioridades: ¿A qué quieres dedicar tu tiempo? Precisamente dedicar tiempo al DNS no es mi objetivo.

🗨️ 1
SIMPfloyd

Lo de montarme uno local lo descarto porque no tengo tiempo y recursos para manterlo yo mismo.

lhacc

Te estás calentando la cabeza con una chorrada. Pon los de Google, que por necesidad tendrán buen peering con tu operadora, y te olvidas.

🗨️ 1
SIMPfloyd

Yo soy nato calentandome la cabeza, como podras comprobar XD

BocaDePez
BocaDePez

Échale un vistazo a nextdns.io

🗨️ 2
dconde

Yo tengo nextdns.io y la verdad es que estoy encantado por que aparte de ser como un Google o cloudflare te filtran publicidad y malware y es gratuito hasta 300.000 consultas

🗨️ 1
Weikis336

300.000 no son nada. Tengo AdGuardHome instalado en un router y cada día hace unas 25000 y son pocas por que no le metemos mucha caña a la red.

BocaDePez
BocaDePez

A mí el técnico instalador de mi conexión por WiMAX me configuró el router con las DNS de Google y así me lo he anotado. Huelga decir que la conexión va fina filipina.

Primario: 8.8.8.8

Secundario: 8.8.4.4

🗨️ 1
SIMPfloyd

He subido el benchmark por si te sirve de guia.

Weikis336
1

A lo mejor te sirve. Es lo que hago yo. Tengo un router con OpenWrt con AdGuardHome instalado en una SD y guarda las peticiones el mismo router con eso. Y de paso hago que filtre para bloquear anuncios.

Black Hole
1

SIMPfloyd: Pregunta: ¿vives en Madrid? Solo si la respuesta es afirmativa, tendrás un retardo de 2 a 4 milisegundos con ambos Google (8.8.8.8/8.8.4.4) y CloudFlare (1.1.1.1/1.0.0.1)

🗨️ 1
SIMPfloyd

Vivo en Cartagena. He subido el benchmark por si te sirve de guia.