DNS Проблема
-
Приветствую участников форума.
У меня Pfsense 2.2.1
Последнее время в работе интернета появились странности.
Суть: При попытке обращения к некоторым сайтам (типа mail.ru, клиент банкинг и пр.) возникает ошибка DNS_PROBE_FINISHED_NXDOMAIN.
Причем через некоторое время ошибка исчезает сама собой. Кстати, такое происходит на половине корпоративных компьютеров в сети. Я сначала думал, может в провайдере проблема, часть компов пустил через другой gateway, но проблема осталась.
Еще странней то, что глючат только сайты из зоны .ru .ua
А, да. Еще на pfsense включен резолвер.
Начинаю подозревать, что проблема в DNSSEC.
Кто нибудь с таким сталкивался?
Поделитесь, пожалуйста. -
Схема ? Скрины правил fw, настроек WAN. В миллионный раз >:(
Если несколько WAN - стоит ли галка на Allow default gateway switching и на Stickly connections ?
P.s. https://translate.google.ru/translate?sl=auto&tl=en&js=y&prev=_t&hl=ru&ie=UTF-8&u=https%3A%2F%2Fforum.pfsense.org%2Findex.php%3Ftopic%3D85734.0&edit-text=&act=url
I personally do not use the DNS forwarder. In networks with AD, he let them do the own cache. No ad, you can for example use the dns operator or google itself (8.8.8.8).
Не исп. DNS forwarder . В кач-ве DNS исп. гугловские\яндекс\ etc.
P.p.s Как вариант - http://forums.techguy.org/web-email/1123062-help-please-error-code-dns_probe_finished_nxdomain.html
Try opening a command prompt as "administrator" and type the following command:
netsh winsock reset catalog
Then restart your computer.
-
Сорри, что-то совсем забыл скрины прикрепить.
Схема самая что есть обычная.
По сути все стандартно.
Один провайдер цепляется по pppoe, другие два по dhcp.
Два из них объединены в группу для балансировки.
Галка стоит на Allow default gateway switching. На Stickly connections не стоит. (она у меня никогда не стояла и проблем не было)Правила openvpn не скринил, т.к они отношения к делу вроде не имеют.
К сожалению, раздать гугловский dns клиентам не вариант. У клиентов как dns выступает pfsense. А на самом pfsense днс прописан и провайдерский (он забирается по dhcp и гугловский)Причем, что странно. Если завернуть трафик какого нибудь компьютера в проблемной сети через vpn на другую pfsense (которая в другом городе), то проблема отпадает. В других местах у меня проблем с dns нет. Хотя настройки везде идентичные, как и железо (ну почти).
p.s Я начинаю думать, что в проблеме виноват провайдер, т.к он внедряет у себя dpi. Проблема плавающая, еще понаблюдаю - отпишусь.
Вроде все прикрепил.
Заранее спасибо за ответ.UPD. Совсем забыл. Может важно. На pfsense подняты openvpn с маршрутизацией через ospf. Вроде отношения к теме не имеет, ну может я что-то упускаю…
-
А зачем вы вместо block исп. reject в правилах fw (пиктограмма "желтый х") ?
-
У меня проблема один в один только стоит 2.1.5 DNS forwarder включен.
Заметил, что когда возникает проблема в статусе сетевого соединения стоит другой DNS! Потом сам собой встает правильный DNS и все работает! Компьютеры получают DNS по DHCP. Есть несколько серверов, которым назначено вручную. Так у них такой проблемы нет. Может это информация поможет решить проблему. DNS форвард включен из-за того, что в нем удобно прописывать имена локальных хостов, нет необходимости держать отдельный DNS сервер. -
У меня проблема один в один только стоит 2.1.5 DNS forwarder включен.
Заметил, что когда возникает проблема в статусе сетевого соединения стоит другой DNS! Потом сам собой встает правильный DNS и все работает! Компьютеры получают DNS по DHCP. Есть несколько серверов, которым назначено вручную. Так у них такой проблемы нет. Может это информация поможет решить проблему. DNS форвард включен из-за того, что в нем удобно прописывать имена локальных хостов, нет необходимости держать отдельный DNS сервер.Выставите в настройках pf в кач-ве ДНС тот же 8.8.8.8
-
А зачем вы вместо block исп. reject в правилах fw (пиктограмма "желтый х") ?
Там стоит блокировка соцсетей. Если ставить block, то некоторые сайты очень тупят, т.к на них есть ссылки на соцсети.
Я на всех pfsense, которые ставлю, всегда выставляю гугловские dns.
И кстати, форвардер использую тоже для того, что-бы не держать отдельный dns, хотя парк машин растет и начинаю задумываться, что-бы поставить на отдельный сервак dns.Последнюю неделю проблема не наблюдается. Похоже странности именно в резолвере, который ставится в 2.2
Сегодня на одной инсталляции пока не переключил с резолвера на форвардер (который был в старых версиях), интернет у клиентов не заработал, хотя vpn до головного сервера работали.