Sobre

dns.rnp.br

Quais são os servidores disponíveis?

{ dns.rnp.br }
* 200.19.16.53
* 200.137.53.53
* 2001:12f0:253::53
* 2001:12f0:353::53

O que é o serviço EduDNS?

O EduDNS é um serviço de DNS Anycast recursivo que pode ser utilizado por todas as organizações usuárias da RNP. O serviço foi projetado para ter 100% de disponibilidade e roda em vários servidores localizados nos diversos PoPs da RNP, o que faz com que continue funcionando mesmo com múltiplas falhas.

O EduDNS está em conformidade com aspectos legais do Marco Civil da Internet e da Lei Geral de Proteção de Dados Pessoais (LGPD).

Por que utilizar Anycast?

Através da técnica de IP Anycast é possível rodar múltiplas réplicas de um serviço em diferentes localidades utilizando o mesmo endereçamento IP. Desta forma, o roteador escolhe o caminho mais curto para encaminhar o pacote e, consequentemente, acessar o nó mais próximo do serviço.

Uma grande vantagem do IP Anycast está associada a disponibilidade. No caso de haver queda de um cluster qualquer do serviço em determinada localidade, automaticamente o usuário é encaminhado para outro ponto (cluster) de entrega do serviço.

Para usuários finais

Formas de uso do serviço EduDNS para usuários finais

Usuários finais

Realizar a configuração dos resolvedores DNS de forma estática dentro do seu sistema operacional!

Importante, o DNS somente irá resolver se estiver conectada dentro de uma organização usuária que tenha trânsito pelo backbone da RNP.

Para administradores

Formas de ganhar escala com o serviço DNS RNP para administradores de infraestrutura

Para administradores de rede / infraestrutura

Importante, o DNS somente irá resolver se estiver conectada dentro de uma organização usuária que tenha trânsito pelo backbone

Realizar a configuração do DNS Forward dentro do servidor recursivo da instituição

Realizar o DNS forward dentro da diretiva options, conforme exemplo:

options {
...
        forwarders {
                // SERVICO DNS.RNP.BR
                200.19.16.53;
                200.137.53.53;
                2001:12f0:253::53;
                2001:12f0:353::53;
        };
...
}

Após salvar, pode aplicar através do comando

$ sudo rndc reload

Configurar a forward zone editando o arquivo principal ou criando um arquivo para ser incluído. Geralmente o diretório padrão de inclusão é: /etc/unbound/unbound.conf.d/

Passo 1) Criar arquivo forward.conf

forward-zone:
        name: "."
        forward-addr: 200.19.16.53
        forward-addr: 200.137.53.53
        forward-addr: 2001:12f0:253::53
        forward-addr: 2001:12f0:353::53

Passo 2 ao finalizar, reinicie o unbound

$ sudo service unbound reload

Passo 3) validar:

$ dig @127.0.0.1 www.rnp.br

Configuring DNS Forwarders:

Logar no servidor de DNS como administrador
Clique em iniciar e digite DNSMgmt.msc, então pressione ENTER para abrir o Console de Gerenciamento de DNS
Localize a lista com os servidores, então clique com o botão direito e escolha propriedades
Navegue até o tab Forwarders

Clique no botão editar e adicione os servidores da RNP

Entre com os IPs dos servidores da RNP, sendo:

200.19.16.53
200.137.53.53
2001:12f0:253::53
2001:12f0:353::53

Ao finalizar, clique em OK

Para adicionar o encaminhamento para os serviços da RNP, basta mudar o arquivo de configuração do serviço.

/etc/dnsmasq.conf

[...]
no-resolv

# servidores DNS Anycast RNP
server=200.19.16.53
server=200.137.53.53
server=2001:12f0:253::53
server=2001:12f0:353::53

A forma mais simples de distribuir corporativamente os servidores DNS é através do serviço DHCP controlado pela organização.

Segue alguns exemplos de configuração:

servidor isc-dhcp-server

No escopo global

/etc/dhcpd.conf
...
option domain-name-servers 200.19.16.53, 200.137.53.53;
...

Ou diretamente dentro do escopo de uma uma subrede

subnet 192.168.1.0 netmask 255.255.255.0 {

        option routers                  192.168.1.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        192.168.1.255;
        option domain-name-servers      200.19.16.53, 200.137.53.53;
....
}

FAQ

Perguntas frequentes

Como posso saber em qual PoP está resolvendo?

Para saber em qual cluster está resolvendo, basta realizar testes como:

1) DIG

$ dig chaos txt version.bind @dns.rnp.br
"RNP ANYCAST - sc 9e9bb4025247"

2) NSLOOKUP

$ nslookup  -q=txt -class=CHAOS version.bind 200.19.16.53
Server:		200.19.16.53
Address:	200.19.16.53#53

version.bind	text = "RNP ANYCAST - sc 442cb87c1971"

Nestes exemplos acima, estão apontando para o servidor de SC.

Por que minha consulta está retornando "REFUSED"?

Provavelmente o IP público de navegação não tem trânsito pela RNP. Se você validou, por ex, em meuip.com, e está saindo com IP autorizado, entre em contato com atendimento@rnp.br.

Quais são as boas práticas para o serviço de DNS

Em linhas gerais podemos mapear essas boas práticas para a gestão de serviços DNS

DNSSEC: Como saber se meu DNS está realizando as devidas validações?

Teste com sucesso

Teste realizado com sucesso! Suas consultas estão protegidas contra ataques de "homem do meio".

Caso apareça essa imagem informando erro, confira qual é o servidor que seu equipamento está utilizando para resolver o DNS. Se estiver configurado com um servidor da sua instituição, solicite ao administrador do serviço habilitar a validação do DNSSEC.

Caso o servidor corporativo estiver realizando forward para o serviço de DNS recursivo da RNP, poderá ser necessário habilitar a validação DNSSEC no servidor recursivo local.

O serviço está disponível para quais PoPs?

O serviço está disponível e acessível para as organizações usuárias presentes em todos os 27 PoPs da RNP. Nesta fase o serviço está implantado nos PoPs:

DF, MA, PA (*), PR, RJ, RS, SC, SP e TO.

* em implantação

Análise legal e dados coleados

Análise da oferta de serviço DNS à luz do Marco Civil da Internet (MCI) e Lei Geral de Proteção de Dados Pessoais (LGPD)

Para o serviço EduDNS, à RNP em fornecer um serviço adequado aos aspectos legais do MCI e LGPD, sendo validado pelo seu Centro de Atendimento de Incidentes de Segurança - CAIS, onde descreve no relatório da análise da oferta do serviço:

"Considerando as características de funcionamento do protocolo DNS, do funcionamento do serviço de resolução de nomes e as disposições das leis 12.965 e 13.709, conclui-se que a oferta de uma infraestrutura de DNS Anycast, como serviço opcional ofertado às instituições integrantes do SistemaRNP, não ferem nem comprometem o cumprimento da RNP quanto ao Marco Civil da Internet ou à Lei geral de proteção de dados pessoais."

Dados coletados no serviço DNS

O serviço DNS transaciona, de forma padronizada, dados necessários para a identificação e resposta de consultas a nomes de domínios, além de dados para o correto registro dessas consultas.

Abaixo segue um exemplo de log gerado numa consulta DNS, com descrição dos principais tipos de dados:

// TAPLOG

type: MESSAGE
identity: d03221680db1
version: ABC X.Y.Z
message:
type: CLIENT_RESPONSE
response_time: !!timestamp 2021-09-09T14:54:58Z *1
message_size: 98b
socket_family: INET
socket_protocol: UDP
query_address: 192.0.0.1 *2
response_address: 200.137.53.53 *3
query_port: 40193
response_port: 0
response_message_data:
opcode: QUERY
status: NOERROR
id: 56071
flags: qr rd ra cd
QUESTION: 1
ANSWER: 1
AUTHORITY: 0
ADDITIONAL: 1
OPT_PSEUDOSECTION:
EDNS:
version: 0
flags: do
udp: 1232
COOKIE: 820046fd52cc4e4a01000000613a2042f11d9f4fbb792302
QUESTION_SECTION:
- fale-conosco.caixa.gov.br. IN *4
ANSWER_SECTION:
- fale-conosco.caixa.gov.br. 900 IN A 200.201.171.171 *5
response_message: |
;; ->>HEADER< ;; flags: qr rd ra cd ; QUESTION: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: 820046fd52cc4e4a01000000613a2042f11d9f4fbb792302
;; QUESTION SECTION:
;fale-conosco.caixa.gov.br. IN A
;; ANSWER SECTION:
fale-conosco.caixa.gov.br. 900 IN A 200.201.171.171

Sendo os principais:

*1 - Carimbo de tempo *2 - IP do originador da consulta *3 - IP do servidor de DNS (EduDNS) *4 - Domínio consultado *5 - IP do domínio/nome consultado

Como demonstrado no quadro acima, os dados utilizados numa consulta DNS são principalmente: • Dados para controle da consulta – timestamp, ID, etc • Dados do originador da consulta – Endereço IP, porta, protocolo, etc • Dados do servidor DNS - dados de identificação do servidor, versão do sistema, endereço IP, etc • Dados da consulta – domínio consultado e IP de resposta

Sobre

dns.rnp.br

Quais são os servidores disponíveis?

{ dns.rnp.br }
* 200.19.16.53
* 200.137.53.53
* 2001:12f0:253::53
* 2001:12f0:353::53

O que é o serviço EduDNS?

O EduDNS está em conformidade com aspectos legais do Marco Civil da Internet e da Lei Geral de Proteção de Dados Pessoais (LGPD).

Por que utilizar Anycast?

Para administradores

Formas de ganhar escala com o serviço DNS RNP para administradores de infraestrutura

Para administradores de rede / infraestrutura

Importante, o DNS somente irá resolver se estiver conectada dentro de uma organização usuária que tenha trânsito pelo backbone

Realizar a configuração do DNS Forward dentro do servidor recursivo da instituição

Realizar o DNS forward dentro da diretiva options, conforme exemplo:

options {
...
        forwarders {
                // SERVICO DNS.RNP.BR
                200.19.16.53;
                200.137.53.53;
                2001:12f0:253::53;
                2001:12f0:353::53;
        };
...
}

Após salvar, pode aplicar através do comando

$ sudo rndc reload

Configurar a forward zone editando o arquivo principal ou criando um arquivo para ser incluído. Geralmente o diretório padrão de inclusão é: /etc/unbound/unbound.conf.d/

Passo 1) Criar arquivo forward.conf

forward-zone:
        name: "."
        forward-addr: 200.19.16.53
        forward-addr: 200.137.53.53
        forward-addr: 2001:12f0:253::53
        forward-addr: 2001:12f0:353::53

Passo 2 ao finalizar, reinicie o unbound

$ sudo service unbound reload

Passo 3) validar:

$ dig @127.0.0.1 www.rnp.br

Configuring DNS Forwarders:

Logar no servidor de DNS como administrador
Clique em iniciar e digite DNSMgmt.msc, então pressione ENTER para abrir o Console de Gerenciamento de DNS
Localize a lista com os servidores, então clique com o botão direito e escolha propriedades
Navegue até o tab Forwarders

Clique no botão editar e adicione os servidores da RNP

Entre com os IPs dos servidores da RNP, sendo:

200.19.16.53
200.137.53.53
2001:12f0:253::53
2001:12f0:353::53

Ao finalizar, clique em OK

Referência:

Para adicionar o encaminhamento para os serviços da RNP, basta mudar o arquivo de configuração do serviço.

/etc/dnsmasq.conf

[...]
no-resolv

# servidores DNS Anycast RNP
server=200.19.16.53
server=200.137.53.53
server=2001:12f0:253::53
server=2001:12f0:353::53

A forma mais simples de distribuir corporativamente os servidores DNS é através do serviço DHCP controlado pela organização.

Segue alguns exemplos de configuração:

servidor isc-dhcp-server

No escopo global

/etc/dhcpd.conf
...
option domain-name-servers 200.19.16.53, 200.137.53.53;
...

Ou diretamente dentro do escopo de uma uma subrede

subnet 192.168.1.0 netmask 255.255.255.0 {

        option routers                  192.168.1.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        192.168.1.255;
        option domain-name-servers      200.19.16.53, 200.137.53.53;
....
}

Preciso de ajuda

Após visitar o guia de ajuda e ler nossa FAQ, se ainda necessitar de contato com os especialistas do serviço, seja para obter informação do serviço ou reportar algum problema do EduDNS, basta registrar sua demanda em -> Preciso de ajuda em algum serviço -> EduDNS.

Para usuários finais

Formas de uso do serviço EduDNS para usuários finais

Usuários finais

Realizar a configuração dos resolvedores DNS de forma estática dentro do seu sistema operacional!

Importante, o DNS somente irá resolver se estiver conectada dentro de uma organização usuária que tenha trânsito pelo backbone da RNP.

Linux - Interface gráfica Gnome {debian/ubuntu, etc...}

DNS IPv4: 200.19.16.53,200.137.53.53
DNS IPv6: 2001:12f0:253::53,2001:12f0:353::53

Escolha a interface desejada e clique em configurações

Desabilite a entrega automática do DNS através do DHCP, em IPv4 e IPv6

Dependendo da distribuição, basta editar o arquivo /etc/resolv.conf e inserir os servidores da RNP.

nameserver 200.19.16.53
nameserver 200.137.53.53
nameserver 2001:12f0:253::53
nameserver 2001:12f0:353::53

DNS IPv4:

200.19.16.53
200.137.53.53

DNS IPv6:

2001:12f0:253::53
2001:12f0:353::53

Acesse o menu de configurações do Windows 10 clicando em iniciar e depois na opção “Configurações” em seguida escolha a opção “Rede e Internet”.

Na tela seguinte clique em “Alterar opções de adaptador”.

Na tela seguinte, clique com o botão direito do mouse na conexão que deseja modificar e em seguida escolha o item “Propriedades”.

Dentro da janela de propriedades, clique na opção “Usar os seguintes endereços de servidor DNS” e em seguida, digite o endereço IP dos servidores nos dois campos do quadro. Quando terminar, clique no botão “OK” para confirmar a alteração.

Abra o aplicativo "Preferências do Sistema" e escolha a opção "Rede"

Em seguida selecione a interface de rede à qual deseja aplicar a configuração e clique no botão "Avançado...":

Selecione a aba "DNS":

Clique no botão de "+" para adicionar as novas entradas do DNS. Caso haja algum servidor configurado automaticamente, ele será sobreescrito:

Ao terminar clique no botão OK e na tela seguinte clique em "Aplicar" para efetivar a configuração:

Linux - Interface gráfica Gnome {debian/ubuntu, etc...}

DNS IPv4: 200.19.16.53,200.137.53.53
DNS IPv6: 2001:12f0:253::53,2001:12f0:353::53

Escolha a interface desejada e clique em configurações

Desabilite a entrega automática do DNS através do DHCP, em IPv4 e IPv6

Dependendo da distribuição, basta editar o arquivo /etc/resolv.conf e inserir os servidores da RNP.

nameserver 200.19.16.53
nameserver 200.137.53.53
nameserver 2001:12f0:253::53
nameserver 2001:12f0:353::53

DNS IPv4:

200.19.16.53
200.137.53.53

DNS IPv6:

2001:12f0:253::53
2001:12f0:353::53

Acesse o menu de configurações do Windows 10 clicando em iniciar e depois na opção “Configurações” em seguida escolha a opção “Rede e Internet”.

Na tela seguinte clique em “Alterar opções de adaptador”.

Na tela seguinte, clique com o botão direito do mouse na conexão que deseja modificar e em seguida escolha o item “Propriedades”.

Abra o aplicativo "Preferências do Sistema" e escolha a opção "Rede"

Em seguida selecione a interface de rede à qual deseja aplicar a configuração e clique no botão "Avançado...":

Selecione a aba "DNS":

Clique no botão de "+" para adicionar as novas entradas do DNS. Caso haja algum servidor configurado automaticamente, ele será sobreescrito:

Ao terminar clique no botão OK e na tela seguinte clique em "Aplicar" para efetivar a configuração:

Análise legal e dados coleados

Análise da oferta de serviço DNS à luz do Marco Civil da Internet (MCI) e Lei Geral de Proteção de Dados Pessoais (LGPD)

Dados coletados no serviço DNS

O serviço DNS transaciona, de forma padronizada, dados necessários para a identificação e resposta de consultas a nomes de domínios, além de dados para o correto registro dessas consultas.

Abaixo segue um exemplo de log gerado numa consulta DNS, com descrição dos principais tipos de dados:

// TAPLOG

type: MESSAGE
identity: d03221680db1
version: ABC X.Y.Z
message:
type: CLIENT_RESPONSE
response_time: !!timestamp 2021-09-09T14:54:58Z *1
message_size: 98b
socket_family: INET
socket_protocol: UDP
query_address: 192.0.0.1 *2
response_address: 200.137.53.53 *3
query_port: 40193
response_port: 0
response_message_data:
opcode: QUERY
status: NOERROR
id: 56071
flags: qr rd ra cd
QUESTION: 1
ANSWER: 1
AUTHORITY: 0
ADDITIONAL: 1
OPT_PSEUDOSECTION:
EDNS:
version: 0
flags: do
udp: 1232
COOKIE: 820046fd52cc4e4a01000000613a2042f11d9f4fbb792302
QUESTION_SECTION:
- fale-conosco.caixa.gov.br. IN *4
ANSWER_SECTION:
- fale-conosco.caixa.gov.br. 900 IN A 200.201.171.171 *5
response_message: |
;; ->>HEADER< ;; flags: qr rd ra cd ; QUESTION: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: 820046fd52cc4e4a01000000613a2042f11d9f4fbb792302
;; QUESTION SECTION:
;fale-conosco.caixa.gov.br. IN A
;; ANSWER SECTION:
fale-conosco.caixa.gov.br. 900 IN A 200.201.171.171

Sendo os principais:

*1 - Carimbo de tempo *2 - IP do originador da consulta *3 - IP do servidor de DNS (EduDNS) *4 - Domínio consultado *5 - IP do domínio/nome consultado

FAQ

Perguntas frequentes

Como posso saber em qual PoP está resolvendo?

Para saber em qual cluster está resolvendo, basta realizar testes como:

1) DIG

$ dig chaos txt version.bind @dns.rnp.br
"RNP ANYCAST - sc 9e9bb4025247"

2) NSLOOKUP

$ nslookup  -q=txt -class=CHAOS version.bind 200.19.16.53
Server:		200.19.16.53
Address:	200.19.16.53#53

version.bind	text = "RNP ANYCAST - sc 442cb87c1971"

Nestes exemplos acima, estão apontando para o servidor de SC.

Por que minha consulta está retornando "REFUSED"?

Provavelmente o IP público de navegação não tem trânsito pela RNP. Se você validou, por ex, em meuip.com, e está saindo com IP autorizado, entre em contato com atendimento@rnp.br.

Quais são as boas práticas para o serviço de DNS

Em linhas gerais podemos mapear essas boas práticas para a gestão de serviços DNS

DNSSEC: Como saber se meu DNS está realizando as devidas validações?

Uma forma simples é realizar um teste através do site: , clicando no botar "start" para iniciar a validação.

Teste com sucesso

Teste realizado com sucesso! Suas consultas estão protegidas contra ataques de "homem do meio".

Caso o servidor corporativo estiver realizando forward para o serviço de DNS recursivo da RNP, poderá ser necessário habilitar a validação DNSSEC no servidor recursivo local.

O serviço está disponível para quais PoPs?

O serviço está disponível e acessível para as organizações usuárias presentes em todos os 27 PoPs da RNP. Nesta fase o serviço está implantado nos PoPs:

DF, MA, PA (*), PR, RJ, RS, SC, SP e TO.

* em implantação