Google dns dan AWS CloudFront

Kamal Mustafa - Apr 24 '18 - - Dev Community

Bermula dengan nak buka website runcloud tak boleh - imej tiba-tiba tak keluar.

runcloud

Rupanya domain cf1.cdn.runcloud.io tak dapat resolve kalau guna Google dns server 8.8.8.8.

dig ns-02.cloudfront.net @8.8.8.8

; <<>> DiG 9.8.3-P1 <<>> ns-02.cloudfront.net @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17627
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ns-02.cloudfront.net.      IN  A
Enter fullscreen mode Exit fullscreen mode

Manakala kalau guna Cloud Flare dns 1.1.1.1 dapat pula:-

dig cf1.cdn.runcloud.io @1.1.1.1

; <<>> DiG 9.8.3-P1 <<>> cf1.cdn.runcloud.io @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18693
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;cf1.cdn.runcloud.io.       IN  A

;; ANSWER SECTION:
cf1.cdn.runcloud.io.    295 IN  CNAME   dih3ogc1nwj1a.cloudfront.net.
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.61
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.64
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.69
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.83
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.113
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.135
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.144
dih3ogc1nwj1a.cloudfront.net. 55 IN A   13.33.172.203

;; Query time: 89 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Tue Apr 24 19:59:11 2018
Enter fullscreen mode Exit fullscreen mode

Lepas post kat group telegram #devkini dan Jomweb Johor, rupanya memang ada masalah dengan Google dns.

Pada masa ini juga aku baru perasan dns 1.1.1.1 dah boleh guna daripada Digi. Sebelum ini tak boleh sebab Digi block semua access ke port 53 kecuali untuk 8.8.8.8. Tapi kenalan kat Twitter bagitahu kat tempat dia masih tak boleh sebab 1.1.1.1 digunakan untuk IP captive portal !

Jadi ada orang guna public IP address untuk private network. Tapi rupanya ia sesuatu yang biasa. Banyak device seperti Cisco yang menggunakan 1.1.1.1 sebagai ip.

Seorang rakan dalam group telegram devkini berkongsi artikel yang mencadangkan IP range DoD (Department of Defence) sebagai alternative untuk private IP. Ini kerana 30.0.0.0/8 block telah diberikan kepada DoD tetapi ia hanya digunakan untuk rangkaian dalaman DoD dan ip tersebut tidak routable ke mana-mana. Jadi tidak ada risiko ip tersebut tiba-tiba digunakan seperti mana yang berlaku kepada 1.1.1.1 yang diberikan oleh APNIC kepada CloudFlare awal bulan ini. Ini suatu yang praktikal bagi organisasi besar (seperti telco dan isp) yang telah pun kehabisan private ip range.

Ok, itu saja cerita untuk malam ini.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .