<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 12pt; font-family: Terminal,Monaco,monospace'>
<p>Hello all,</p>
<p>I would have to agree on this it appears that the DNS failure timeout is too low. I have more then enough bandwidth to host tor exit nodes, and my own unbound full recursive relay and yet i still get the timeout message 1-1.5%. Sometimes even weird amounts such as 40-50%.</p>
<p>I have been working with a few people on this issue and nothing we have tried has fixed this. The other thing is that all other servers i run have no issue with DNS timeouts. It appears to only be a TOR issue. I would even say that some DNS queries that TOR makes are to taken down sites, fake sites or non-existent domains.</p>
<div id="signature">
<p><span style="font-size: 9pt; font-family: terminal, monaco, monospace;">Thanks,</span><br /><span style="font-size: 9pt; font-family: terminal, monaco, monospace;">John C.</span><br /><span style="font-size: 9pt; font-family: terminal, monaco, monospace;">+1 (216) XXX-XXXX</span></p>
</div>
<p><br /></p>
<p id="reply-intro">On 2021-11-08 06:25 PM, Anders Trier Olesen wrote:</p>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0">
<div id="replybody1">
<div dir="ltr">
<div>Hi Ibex</div>
<div> </div>
<div>There's some discussion about this issue on #tor-relays. First of all, I actually don't think there's any problem with your Exit node. IMO 1.5% is expected and the current threshold is just too low (or the timeout too low).</div>
<div> </div>
<div>We're hosting some fairly high capacity exit nodes (around 100mbit/s each), generating about 100 DNS queries/sec in total. We're also seeing around 1.5% failed DNS queries.</div>
<div> </div>
<div>Here's what I think is going on:</div>
<div>For some queries (1.5%?), the authoritative DNS servers for the requested domain are not responding. Recursive DNS resolvers are by default more patient than the Tor software. Eventually the recursive resolver will return a 'SERVFAIL' to Tor, but by then, Tor has already given up, and counts it as a timeout.</div>
<div> </div>
<div>One example of a domain that is currently (2021-11-08T23:40+01:00) failing to resolve because of its authoritative DNS servers being down is <a href="http://mzfgbh.com" target="_blank" rel="noopener noreferrer">mzfgbh.com</a>. Try running `dig +trace +additional <a href="http://mzfgbh.com" target="_blank" rel="noopener noreferrer">mzfgbh.com</a>` (for some reason, dig ignores the 'additional' section of one of the answers. Essentially the problem is that this query (and a few others) times out: `dig <a href="http://mzfgbh.com" target="_blank" rel="noopener noreferrer">mzfgbh.com</a> @<a href="http://1.1.1.20" target="_blank" rel="noopener noreferrer">1.1.1.20</a>`).</div>
<div> </div>
<div> </div>
<div>On a related note, when this metric was introduced, we were seeing around 5-6% failed queries. The recursive DNS resolver we were using was hosted on the same IP as a guard node. Apparently many authoritative DNS servers block traffic from all Tor relays!</div>
<div> </div>
<div>The most extreme example of this I found, is that the authoritative DNS servers for the entire .by ccTLD (Belarus) are blocking DNS requests from guard and exit nodes. This resulted in all <domain>.by queries timing out!</div>
<div> </div>
<div>By moving our recursive DNS resolver to an IP not used by any Tor relays, the DNS timeouts fraction reported by Tor dropped from 5-6% to 1.5%.</div>
<div> </div>
<div>The Tor relay guide should recommend running your recursive resolver (unbound) on a different IP than your exit: <a href="https://community.torproject.org/relay/setup/exit/" target="_blank" rel="noopener noreferrer">https://community.torproject.org/relay/setup/exit/</a></div>
<div> </div>
<div>- Anders Trier Olesen</div>
</div>
<br />
<div class="v1gmail_quote">
<div class="v1gmail_attr" dir="ltr">On Sat, Nov 6, 2021 at 5:53 PM Intrepid Ibex via tor-relays <<a href="mailto:tor-relays@lists.torproject.org" rel="noreferrer">tor-relays@lists.torproject.org</a>> wrote:</div>
<blockquote class="v1gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid #cccccc; padding-left: 1ex;">
<p>Hi everybody,</p>
<p>I am new to tor (as server operator) and try to support the network by operating an exit node. </p>
<p>Machine is running Ubuntu 20.04 - Tor 0.4.6.8. </p>
<p>nyx is giving me a notive every 10 minutes or so: [NOTICE] General overload -> DNS timeouts (6) fraction 1.4742% is above threshold of 1.0000%</p>
<p>DNS on this machine however works perfectly. I told my tor browser to use my specific exit node, everything works fine.</p>
<p>Node is running since 4 days now. Load is as expected.</p>
<p>Thanks in advance for any help!</p>
<p>Ibex</p>
<br /><br />--
<div>Sent using <a href="https:/www.msgsafe.io/?utm_source=msgsafe&utm_medium=email&utm_campaign=freemailsignature" target="_blank" rel="noopener noreferrer">MsgSafe.io</a>'s Free Plan</div>
<div>Private, encrypted, online communication</div>
<div>For everyone. <a href="https:/www.msgsafe.io/?utm_source=msgsafe&utm_medium=email&utm_campaign=freemailsignature" target="_blank" rel="noopener noreferrer">www.msgsafe.io</a></div>
_______________________________________________<br />tor-relays mailing list<br /><a href="mailto:tor-relays@lists.torproject.org" rel="noreferrer">tor-relays@lists.torproject.org</a><br /><a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays" target="_blank" rel="noopener noreferrer">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a></blockquote>
</div>
</div>
<br />
<div class="pre" style="margin: 0; padding: 0; font-family: monospace">_______________________________________________<br />tor-relays mailing list<br /><a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a><br /><a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays" target="_blank" rel="noopener noreferrer">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a></div>
</blockquote>
</body></html>