Вопрос по DNS

nubik

@Konstanti Хм...включаю захват на ВАН порту, по всем протоколам и так далее- дефолтные настройки и нету ничего подобного. Видимо я совсем нуб.

Если pfSense'ом сделать tracert ololo.loc, то сразу выплевывает:
Error: ololo.loc could not be traced/resolved (но это скорее всего из-за домена .loc)

Konstanti

@nubik
Вы нарисовали схему , как у Вас все настроено
Из нее следует , что PF через 3.20 должен слать запрос к 10.0.10.7

А как это у Вас по факту происходит мне непонятно

nubik

@Konstanti схему то я нарисовал, а не система. Поэтому легкий налет фантазии автора возможен. Какие вкладки скинуть-чтобы проверить настройки?

Konstanti

@nubik Мб убрать для начала 127.0.0.1 из списка DNS серверов ?

nubik

@Konstanti Возможно, а как? Он там по дефолту похоже прописан. В списке ДНС его нет-в Главных настройках.
Скрины настроек:
ДНС:

Интерфейс с основного офиса:

ВЛАН - для моего офиса(именно влан, есть ЛАН отдельно-но он я так понимаю не используется, трафика нет):

И ДНС Форвардер:

tracert с моего ПК ya.ru идет на ура:
C:\WINDOWS\system32>tracert ya.ru

Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.0.1
2 <1 мс * * 192.168.3.100
3 <1 мс <1 мс <1 мс 10.0.0.9
4 <1 мс <1 мс <1 мс 192.168.254.1
5 <1 мс <1 мс <1 мс gw-static-85-140-47.ptcomm.ru [85.140.47.1]

через 3.100, правда каким-то фигом потом идет на 10.0.0.9, но че уж админ главного офиса прописал видимо.

Konstanti

@nubik Дело не в трассировке маршрута
а в том , как DNS ответ получен для клиента
от кого его получил DNS Forwarder
Вот что важно

рекомендую для отладки использовать сайт netflix.com
для него ttl DNS ответа маленький и соответсвенно данные в кэше долго не хранятся

nubik

@Konstanti как бы это проверить?

Konstanti

@nubik
tcpdump на разных интерфейсах (udp,порт 53) и изучаете , куда уходят и откуда приходят DNS ответы и запросы

werter

Добрый

Мб убрать для начала 127.0.0.1 из списка DNS серверов ?

@nubik
Почему исп-ся. Dns Forwarder вместо Резольвера?
Почему в настройках для DNS-ов не указаны шлюзы? Куда пакеты для разрешения имен уходить будут?

Каша (

Правила fw на ЛАН\ВАН покажите.

Зы. Впрочем, использование сети 192.168.0\1\2.0 в продакшене говорит само за себя (
Зы2. 4_floor

nubik

@werter галочку поставил-ничего пока не поменялось.
DNS Forwarder был вынужден включить для pfBlockerNG (который тоже не осилил настроить), вообщем игрался с настройками. Тут руководство то просит зарезать социалки, то еще чего вздумает и все в кратчайшие сроки...

Шлюзы для ДНС почему-то если прописать то инет на ВЛАНах пропадает. Опять маршрут надо куда-то писать. Затык...

Использование 192.168.0.1 обоснованно тем что так было, а остальные подсети мне не известны и можно получить не хилый такой конфликт(так как головной офис не спрашивает у всяких шавок как и что).
Правила fw это:
на 4 этаж(тут социалки обрезал, правил много)

WAN

и LAN если нужен

Konstanti

@nubik Блин , дайте вывод tcpdump )))
куда-то же уходят DNS запросы

nubik

@Konstanti без проблем, где нажать скажите )) я серьезно) в веб интерфейсе ПФсенса нету, по ssh если только зайти.
А лучше напишите дураку- зайди по ссш на пфсенс и дай такую команду - "rf/rw"

Konstanti

@nubik Сделайте в консоли
tcpdump -i имя_интерфейса udp and port 53

nubik

@Konstanti пффф, походу я слишком фартовый или тупой: если через веб морду зайти в команд промт и экзекютнуть эту команду предварительно поглядев ИМЯ интерфейса в закладке интерфейс -ассигнед. То мы ничего не получаем, через некоторое время 504 Gateway Time-out.
Через ssh если мой сумашедший дом(офис) даст сделать-попробую.

Konstanti

@nubik из консоли
ifconfig
выбираем интерфейс
а потом запускаем tcpdump

nubik

@Konstanti висит также что ЛАН(re0), что ВАН(re1), что мой ВЛАН(re0.10)...Щас ssh попробую, ага и тут вспоминаем как выглядит pfSense по ssh - твою ж налево (

werter

@nubik said in Вопрос по DNS:

DNS Forwarder был вынужден включить для pfBlockerNG

Так Пфблокер пользует Резольвер для своей работы ) Никак не Форвардер.

У меня соц. сети заблокированы в лоб так:

1. Все ДНС-запросы принудительно завернуты на адрес пф:
   

2. На пф создан алиас:
   

3. На Лан создано правило fw:
   

Каждые 5 мин на пф перезапрашиваются адреса из алиаса выше. Всё.
Повторюсь, что это защита "от дурака". Ее не трудно обойти, но пока хватает.

@nubik

В ваших правилах по соцсетям надо пользовать reject, а не block. Иначе многие страницы в Сети будут оч. долго открываться (скрипты\ссылки на соцсети сейчас почти на всех страницах присутствуют ) Рекмендую изменить правила.

nubik

@werter Учту на будующее спасибо большое. Я помню что и через резолвер делал, а потом через форвард че-то мутить начал. История годичной давности-я уже забыл. Заблочил в лоб, через файрвол -рулз.

Лучше по этой теме подскажите-тут прям пробел в знаниях конкретный. Моя не понимать-толи я дурак, толи головной офис так все настроил через попу(скорее всего мы оба хороши).
Если на хостах ручками в подключении указать DNS 10.0.10.7 начинает работать

werter

А если вашим лок. машинам выдавать по DHCP 10.0.10.7 как 2-й или 3-й ДНС?

nubik

@werter :)) целую в десны, ставлю пиво!!!
Как очередной костыль-надо срочно пойдет.
Теперь можно спокойно разбираться-что не так в моих настройках.

п.с. кстатии юмор, если заходить через Chrome ololo.loc - то он идет в гугель, если http:\ololo.loc - то все норм. Через IE работает норм. Проверял на компе включенным в головной офис напрямую, минуя шлюз.

С резолвером по-моему была проблема в подмене сертификатов SLL... Но могу ошибаться-было давно. Проверю в понедельник.