Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS Тормоза

    Scheduled Pinned Locked Moved
    Russian
    2
    10
    2.3k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vehpbkrby
      last edited by

      Здравствуйте!
      Помогите разобраться. Голову мучаю уже не первую неделю.

      Проблемы: сайты через pfsense (squid) открываются медленно. Медленно это выглядит приблизительно так: запрос страницы, думает 5-30 секунд, резко загружает 80-90% страницы. потом догружает остатки какой то период времени.

      Все попытки поиска данной проблемы не увенчались успехом до тех пор пока я на персоналке не  добавил ДНС сервер сторонний (в настройках тисипиайпи в4 добавил еще один днс, имеющий выход наружу, первичный и вторичный днс сервера не имеют выходна в интернет) и страницы стали грузиться в считанные секунды.
      Обьясните пожалуйста, каким образом должен быть настроен днс резолвер или днс форвадер.

      Как отдиагностировать эти тормоза?

      Если я отключаю резолвер, форвадер не работает (странички не грузятся вообще)

      Если делать nslookup ya.ru IP_PFSENSE  я получаю ответ:
      ╤хЁтхЁ:  UnKnown
      Address:  192.168.1.18
      *** UnKnown не удалось найти ya.ru: Query refused

      Добавил в DNS Resolver свою подсеть внутреную в Acsess лист и nslookup заработал…

      Скажите, куда копать и как последовательно отследить работу ДНС.

      Из того, что у меня есть:
      1. сам по себе пфсенсе виртуалка
      2. Наличие 2 ван интерфейса. автопереключение.
      3. Снорт (его остановка не решает совсем)
      4. ClamAV Antivirus - его остановка тоже не решает проблемы.
      5. squid Squid Proxy Server Service
      squidGuard Proxy server filter Service

      6. пользователи заходят в интернет через логин\пароль. (указание проксисервера в браузере)

      Пример тайминга: (нслукап из интерфейса пфсенса)
      Timings
      Name server Query time
      127.0.0.1 0 msec
      83.149..... 4 msec
      83.149..... 3 msec
      213.17..... 28 msec
      213.17.... 1 msec

      В фаерволе на LAN интерфейсе первым правилом сделал PASS any to any. Результат такой же отрицательный.

      В настройках сквида:
      Resolve DNS IPv4 First  и Use Alternate DNS Servers for the Proxy Server  с указанием провайдерских серверов не приводит к эффекту.

      Останавливал Proxy filter SquidGuard тоже никакого эффекта. Видимо однозначно определяется DNS.

      Конфиг резолвера:

      /var/unbound/unbound.conf

      ##########################

      Unbound Configuration

      ##########################

      Server configuration

      server:

      chroot: /var/unbound
      username: "unbound"
      directory: "/var/unbound"
      pidfile: "/var/run/unbound.pid"
      use-syslog: yes
      port: 53
      verbosity: 1
      hide-identity: yes
      hide-version: yes
      harden-glue: yes
      do-ip4: yes
      do-ip6: yes
      do-udp: yes
      do-tcp: yes
      do-daemonize: yes
      module-config: "validator iterator"
      unwanted-reply-threshold: 0
      num-queries-per-thread: 4096
      jostle-timeout: 200
      infra-host-ttl: 900
      infra-cache-numhosts: 10000
      outgoing-num-tcp: 10
      incoming-num-tcp: 10
      edns-buffer-size: 4096
      cache-max-ttl: 86400
      cache-min-ttl: 0
      harden-dnssec-stripped: yes
      msg-cache-size: 4m
      rrset-cache-size: 8m

      num-threads: 2
      msg-cache-slabs: 2
      rrset-cache-slabs: 2
      infra-cache-slabs: 2
      key-cache-slabs: 2
      outgoing-range: 4096
      #so-rcvbuf: 4m
      auto-trust-anchor-file: /var/unbound/root.key
      prefetch: no
      prefetch-key: no
      use-caps-for-id: no

      Statistics

      Unbound Statistics

      statistics-interval: 0
      extended-statistics: yes
      statistics-cumulative: yes

      Interface IP(s) to bind to

      interface: 0.0.0.0
      interface: ::0
      interface-automatic: yes

      Outgoing interfaces to be used

      DNS Rebinding

      For DNS Rebinding prevention

      private-address: 10.0.0.0/8
      private-address: 172.16.0.0/12
      private-address: 169.254.0.0/16
      private-address: 192.168.0.0/16
      private-address: fd00::/8
      private-address: fe80::/10

      Access lists

      include: /var/unbound/access_lists.conf

      Static host entries

      include: /var/unbound/host_entries.conf

      dhcp lease entries

      include: /var/unbound/dhcpleases_entries.conf

      Domain overrides

      include: /var/unbound/domainoverrides.conf

      Remote Control Config

      include: /var/unbound/remotecontrol.conf

      1 Reply Last reply Reply Quote 0
      • V
        vehpbkrby
        last edited by

        Никто не имеет ответа? Скажите тогда может быть это облегчит ситуацию.
        1. Я отключаю Services - DNS resolving\forvarding
        Интернет работает так же с тормозами. Почему он работает если DNS отключен?
            SystemGeneral Setup удалил все днс. Продолжает работать….
        Перезагружаю PF sense  работать интернет перестает.
        Что за беда такая?

        1 Reply Last reply Reply Quote 0
        • V
          vehpbkrby
          last edited by

          Видимо требуется перезщагрузка для переменения этих параметров. После презагрузки интернет пропал

          1 Reply Last reply Reply Quote 0
          • V
            vehpbkrby
            last edited by

            Установил PFsense повторно.
            Установил Squid
            Никаких настроеr лишних - только лишь бы в интренет выходил.
            Эффект такой же - если на ПК не прописывать какие либо ДНС сервера, которые способны отрезолвить имена из интернета, то эти задержки имеют место быть.  Как только на ПК добавляю ДНС, пусть даже тот же самый PFsense (разрешив резолвить на 53 порту для своей подсети ) все начинает летать.

            Иными словами если имя резолвит ПК все летает, если имя резолвит pfsense (через сквида) то есть тормоза.

            Может это все так и должно работать? Скажите люди добрые!!!!!!

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              1. DNS Forwarder - выкл, DNS resolv - вкл.
              В настр. DNS resolv в Network Interfaces явно указать все LAN интерфейсы + localhost. В Outgoing Network Interfaces все ВАН интерфейсы (localhost не надо). Поставить галки на DNSSEC и DNS Query Forwarding

              2. Покажите скрин System: General Setup

              1 Reply Last reply Reply Quote 0
              • V
                vehpbkrby
                last edited by

                При наличии галочки "Enable Forwarding Mode" не работало.
                Были 2 днс от другого провайдера. Видимо поэтому они не резолвились, поставил общедоступные. Стал резолвить, но ничего не изменилось в скорости отображения страниц

                scrinpfsense.jpg
                scrinpfsense.jpg_thumb

                1 Reply Last reply Reply Quote 0
                • V
                  vehpbkrby
                  last edited by

                  Замечено: Я добавил в исключения Local Cache  определенные сайты, и они стали открываться молнеиносно! Но, ровно 1 минуту…. Дальше опять задержки перед открытием  старниц.... 5-10 с.

                  Мне кажется что это дело все в сквиде....
                  Плюс к этой точке зрения - сейчас если вместо урла вбивать айпишник - все равно загружается не быстро. Но! Вполне возможно он обратный резолв делает, и мы сново упираемся в днс.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    1. сам по себе пфсенсе виртуалка

                    Hardware Checksum Offloading , Hardware TCP Segmentation Offloading , Hardware Large Receive Offloading - все три поставить галки и перезагр. pf

                    1 Reply Last reply Reply Quote 0
                    • V
                      vehpbkrby
                      last edited by

                      Вырисовывается проблема.
                      По последнему сообщению - роли не играет.

                      ЧТО Я ОБНАРУЖИЛ!
                      Из одной подсети, что и LAN интерфейс пфсенса все летает!!!

                      У меня один коммутатор третьего уровня(hewlett packard) с несколькими поднятами виртуальными VLAN интерфейсами(межвлановая маршрутизация)

                      Закралось у меня сомнение,а является ли это ассиметричной маршрутизацией!?
                      Если делать трассировку между подсетями, то получается:
                      первая строка вывода команды Tracert это основной шлюз, а вторая строка уже конечная точка назначения.
                      Это наверное не совсем коректно, по идее я же должен был увидеть еще одну строку - это ответ от другого виртуального VLAN интерфейса, данного коммутатора 3 уровня, и уже после этой строки конечная точка, или я ошибаюсь? Наверное ошибаюсь… Тогда чем моя подсеть отличается от другой подсети?!

                      Из других подсетей идут тормоза!

                      Господа! Что делать!?

                      1 Reply Last reply Reply Quote 0
                      • V
                        vehpbkrby
                        last edited by

                        Нашел!!!!
                        Господа, все оказалось намного интересней!!!!

                        NetBios на клиенте!!!!

                        Запустил варкшарк и начал смотреть на пакеты! ОС ждет ответа от нетбиос запроса!
                        Отключаем нетбиос и все летает!!!

                        Вопрос как теперь  их подружить и заставить работать в паре!?

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post