Вопрос по DNS

nubik

Как-то так...

Если на хосте из ВЛАН1 выполнить tracert ololo.loc ,то
Не удается разрешить системное имя узла ololo.loc

tracert ya.ru идет на ура 192.168.01->и далее

DNS Forwarder на pfSense - тупо Enable на все интерфейсы. Возможно так не правильно...

Konstanti

@nubik Доброе утро
А у 192.168.0.1 какой вышестоящий DNS сервер ?????
Куда он шлет запросы , если не знает , что отвечать клиенту ?

Включайте захват пакетов ( tcpdump,UDP, 53 порт ) на lan интерфейсе и смотрите , что получает клиент при запросе ololo.loc

RCSmily

It's Better If I Get The English Version of It.

Bitlife Office Update | Bitlife Medical School

nubik

@Konstanti ну я так понимаю 10.0.10.7, вот настройки:

Захват пакетов сейчас попробую...Че-то как-то понятнее не стало:
09:07:31.310034 IP 192.168.1.25.64747 > 192.168.0.1.53: UDP, length 27
09:07:31.310895 IP 192.168.0.1.53 > 192.168.1.25.64747: UDP, length 27
09:07:35.072571 IP 192.168.1.25.53008 > 192.168.4.50.7680: tcp 0
09:07:35.072762 IP 192.168.3.100 > 192.168.1.25: ICMP host 192.168.4.50 unreachable - admin prohibited, length 60
09:07:35.072899 ARP, Request who-has 192.168.0.163 tell 192.168.1.25, length 46
09:07:35.681252 ARP, Request who-has 192.168.0.163 tell 192.168.1.25, length 46
09:07:36.087493 IP 192.168.1.25.53008 > 192.168.4.50.7680: tcp 0
09:07:36.087911 IP 192.168.3.100 > 192.168.1.25: ICMP host 192.168.4.50 unreachable - admin prohibited, length 60
09:07:36.665724 IP 192.168.1.25.52868 > 173.194.221.94.443: tcp 39
09:07:36.681118 ARP, Request who-has 192.168.0.163 tell 192.168.1.25, length 46

192.168.1.25 - это мой ПК

nslookup ololo.loc с моего ПК говорит что записей на 192.168.0.1 нет. Видимо ДНС как то на пфсенсе не правильно настроил. Как правильно сделать, чтоб смотрел записи на 10.0.10.7, а потом на 10.0.10.1 ?

Konstanti

@nubik Тут не видно содержимого пакетов (что в запросе и что в ответе )
Я бы сделал так
Запустите захват пакетов DNS на wan интерфейсе 3.20 который и посмотрите , уходят ли запросы ololo в сторону 10.7 и 10.1

Например , это может выглядеть так (1.230 - это локальный DNS сервер) , а 10.10.100.2 - это сервер , куда обращается 1.230 за помощью , если в кэше нет данных
1.96 - локальный хост

sh-4.3# tcpdump -i bond0 port 53 and udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:32:20.532044 IP 192.168.1.96.57627 > 192.168.1.230.domain: 19721+ A? edge.skype.com. (32)
10:32:20.532435 IP 192.168.1.230.22128 > 10.10.100.2.domain: 50785+ [1au] A? edge.skype.com. (43)
10:32:20.532798 IP 192.168.1.230.44990 > 10.10.100.2.domain: 51521+ PTR? 230.1.168.192.in-addr.arpa. (44)
10:32:20.655734 IP 10.10.100.2.domain > 192.168.1.230.22128: 50785 3/0/1 CNAME edge-skype-com.s-0001.s-msedge.net., CNAME s-0001.s-msedge.net., A 13.107.3.128 (121)
10:32:20.656178 IP 192.168.1.230.39564 > 10.10.100.2.domain: 33498+ [1au] A? edge-skype-com.s-0001.s-msedge.net. (63)

nubik

@Konstanti Хм...включаю захват на ВАН порту, по всем протоколам и так далее- дефолтные настройки и нету ничего подобного. Видимо я совсем нуб.

Если pfSense'ом сделать tracert ololo.loc, то сразу выплевывает:
Error: ololo.loc could not be traced/resolved (но это скорее всего из-за домена .loc)

Konstanti

@nubik
Вы нарисовали схему , как у Вас все настроено
Из нее следует , что PF через 3.20 должен слать запрос к 10.0.10.7

А как это у Вас по факту происходит мне непонятно

nubik

@Konstanti схему то я нарисовал, а не система. Поэтому легкий налет фантазии автора возможен. Какие вкладки скинуть-чтобы проверить настройки?

Konstanti

@nubik Мб убрать для начала 127.0.0.1 из списка DNS серверов ?

nubik

@Konstanti Возможно, а как? Он там по дефолту похоже прописан. В списке ДНС его нет-в Главных настройках.
Скрины настроек:
ДНС:

Интерфейс с основного офиса:

ВЛАН - для моего офиса(именно влан, есть ЛАН отдельно-но он я так понимаю не используется, трафика нет):

И ДНС Форвардер:

tracert с моего ПК ya.ru идет на ура:
C:\WINDOWS\system32>tracert ya.ru

Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.0.1
2 <1 мс * * 192.168.3.100
3 <1 мс <1 мс <1 мс 10.0.0.9
4 <1 мс <1 мс <1 мс 192.168.254.1
5 <1 мс <1 мс <1 мс gw-static-85-140-47.ptcomm.ru [85.140.47.1]

через 3.100, правда каким-то фигом потом идет на 10.0.0.9, но че уж админ главного офиса прописал видимо.

Konstanti

@nubik Дело не в трассировке маршрута
а в том , как DNS ответ получен для клиента
от кого его получил DNS Forwarder
Вот что важно

рекомендую для отладки использовать сайт netflix.com
для него ttl DNS ответа маленький и соответсвенно данные в кэше долго не хранятся

nubik

@Konstanti как бы это проверить?

Konstanti

@nubik
tcpdump на разных интерфейсах (udp,порт 53) и изучаете , куда уходят и откуда приходят DNS ответы и запросы

werter

Добрый

Мб убрать для начала 127.0.0.1 из списка DNS серверов ?

2019-11-22 14_09_52-Вопрос по DNS _ Netgate Forum - Vivaldi.png

@nubik
Почему исп-ся. Dns Forwarder вместо Резольвера?
Почему в настройках для DNS-ов не указаны шлюзы? Куда пакеты для разрешения имен уходить будут?

Каша (

Правила fw на ЛАН\ВАН покажите.

Зы. Впрочем, использование сети 192.168.0\1\2.0 в продакшене говорит само за себя (
Зы2. 4_floor

nubik

@werter галочку поставил-ничего пока не поменялось.
DNS Forwarder был вынужден включить для pfBlockerNG (который тоже не осилил настроить), вообщем игрался с настройками. Тут руководство то просит зарезать социалки, то еще чего вздумает и все в кратчайшие сроки...

Шлюзы для ДНС почему-то если прописать то инет на ВЛАНах пропадает. Опять маршрут надо куда-то писать. Затык...

Использование 192.168.0.1 обоснованно тем что так было, а остальные подсети мне не известны и можно получить не хилый такой конфликт(так как головной офис не спрашивает у всяких шавок как и что).
Правила fw это:
на 4 этаж(тут социалки обрезал, правил много)

WAN

и LAN если нужен

Konstanti

@nubik Блин , дайте вывод tcpdump )))
куда-то же уходят DNS запросы

nubik

@Konstanti без проблем, где нажать скажите )) я серьезно) в веб интерфейсе ПФсенса нету, по ssh если только зайти.
А лучше напишите дураку- зайди по ссш на пфсенс и дай такую команду - "rf/rw"

Konstanti

@nubik Сделайте в консоли
tcpdump -i имя_интерфейса udp and port 53

nubik

@Konstanti пффф, походу я слишком фартовый или тупой: если через веб морду зайти в команд промт и экзекютнуть эту команду предварительно поглядев ИМЯ интерфейса в закладке интерфейс -ассигнед. То мы ничего не получаем, через некоторое время 504 Gateway Time-out.
Через ssh если мой сумашедший дом(офис) даст сделать-попробую.

Konstanti

@nubik из консоли
ifconfig
выбираем интерфейс
а потом запускаем tcpdump