DNS Тормоза



  • Здравствуйте!
    Помогите разобраться. Голову мучаю уже не первую неделю.

    Проблемы: сайты через pfsense (squid) открываются медленно. Медленно это выглядит приблизительно так: запрос страницы, думает 5-30 секунд, резко загружает 80-90% страницы. потом догружает остатки какой то период времени.

    Все попытки поиска данной проблемы не увенчались успехом до тех пор пока я на персоналке не  добавил ДНС сервер сторонний (в настройках тисипиайпи в4 добавил еще один днс, имеющий выход наружу, первичный и вторичный днс сервера не имеют выходна в интернет) и страницы стали грузиться в считанные секунды.
    Обьясните пожалуйста, каким образом должен быть настроен днс резолвер или днс форвадер.

    Как отдиагностировать эти тормоза?

    Если я отключаю резолвер, форвадер не работает (странички не грузятся вообще)

    Если делать nslookup ya.ru IP_PFSENSE  я получаю ответ:
    ╤хЁтхЁ:  UnKnown
    Address:  192.168.1.18
    *** UnKnown не удалось найти ya.ru: Query refused

    Добавил в DNS Resolver свою подсеть внутреную в Acsess лист и nslookup заработал…

    Скажите, куда копать и как последовательно отследить работу ДНС.

    Из того, что у меня есть:
    1. сам по себе пфсенсе виртуалка
    2. Наличие 2 ван интерфейса. автопереключение.
    3. Снорт (его остановка не решает совсем)
    4. ClamAV Antivirus - его остановка тоже не решает проблемы.
    5. squid Squid Proxy Server Service
    squidGuard Proxy server filter Service

    6. пользователи заходят в интернет через логин\пароль. (указание проксисервера в браузере)

    Пример тайминга: (нслукап из интерфейса пфсенса)
    Timings
    Name server Query time
    127.0.0.1 0 msec
    83.149..... 4 msec
    83.149..... 3 msec
    213.17..... 28 msec
    213.17.... 1 msec

    В фаерволе на LAN интерфейсе первым правилом сделал PASS any to any. Результат такой же отрицательный.

    В настройках сквида:
    Resolve DNS IPv4 First  и Use Alternate DNS Servers for the Proxy Server  с указанием провайдерских серверов не приводит к эффекту.

    Останавливал Proxy filter SquidGuard тоже никакого эффекта. Видимо однозначно определяется DNS.

    Конфиг резолвера:

    /var/unbound/unbound.conf

    ##########################

    Unbound Configuration

    ##########################

    Server configuration

    server:

    chroot: /var/unbound
    username: "unbound"
    directory: "/var/unbound"
    pidfile: "/var/run/unbound.pid"
    use-syslog: yes
    port: 53
    verbosity: 1
    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    do-ip4: yes
    do-ip6: yes
    do-udp: yes
    do-tcp: yes
    do-daemonize: yes
    module-config: "validator iterator"
    unwanted-reply-threshold: 0
    num-queries-per-thread: 4096
    jostle-timeout: 200
    infra-host-ttl: 900
    infra-cache-numhosts: 10000
    outgoing-num-tcp: 10
    incoming-num-tcp: 10
    edns-buffer-size: 4096
    cache-max-ttl: 86400
    cache-min-ttl: 0
    harden-dnssec-stripped: yes
    msg-cache-size: 4m
    rrset-cache-size: 8m

    num-threads: 2
    msg-cache-slabs: 2
    rrset-cache-slabs: 2
    infra-cache-slabs: 2
    key-cache-slabs: 2
    outgoing-range: 4096
    #so-rcvbuf: 4m
    auto-trust-anchor-file: /var/unbound/root.key
    prefetch: no
    prefetch-key: no
    use-caps-for-id: no

    Statistics

    Unbound Statistics

    statistics-interval: 0
    extended-statistics: yes
    statistics-cumulative: yes

    Interface IP(s) to bind to

    interface: 0.0.0.0
    interface: ::0
    interface-automatic: yes

    Outgoing interfaces to be used

    DNS Rebinding

    For DNS Rebinding prevention

    private-address: 10.0.0.0/8
    private-address: 172.16.0.0/12
    private-address: 169.254.0.0/16
    private-address: 192.168.0.0/16
    private-address: fd00::/8
    private-address: fe80::/10

    Access lists

    include: /var/unbound/access_lists.conf

    Static host entries

    include: /var/unbound/host_entries.conf

    dhcp lease entries

    include: /var/unbound/dhcpleases_entries.conf

    Domain overrides

    include: /var/unbound/domainoverrides.conf

    Remote Control Config

    include: /var/unbound/remotecontrol.conf



  • Никто не имеет ответа? Скажите тогда может быть это облегчит ситуацию.
    1. Я отключаю Services - DNS resolving\forvarding
    Интернет работает так же с тормозами. Почему он работает если DNS отключен?
        SystemGeneral Setup удалил все днс. Продолжает работать….
    Перезагружаю PF sense  работать интернет перестает.
    Что за беда такая?



  • Видимо требуется перезщагрузка для переменения этих параметров. После презагрузки интернет пропал



  • Установил PFsense повторно.
    Установил Squid
    Никаких настроеr лишних - только лишь бы в интренет выходил.
    Эффект такой же - если на ПК не прописывать какие либо ДНС сервера, которые способны отрезолвить имена из интернета, то эти задержки имеют место быть.  Как только на ПК добавляю ДНС, пусть даже тот же самый PFsense (разрешив резолвить на 53 порту для своей подсети ) все начинает летать.

    Иными словами если имя резолвит ПК все летает, если имя резолвит pfsense (через сквида) то есть тормоза.

    Может это все так и должно работать? Скажите люди добрые!!!!!!



  • 1. DNS Forwarder - выкл, DNS resolv - вкл.
    В настр. DNS resolv в Network Interfaces явно указать все LAN интерфейсы + localhost. В Outgoing Network Interfaces все ВАН интерфейсы (localhost не надо). Поставить галки на DNSSEC и DNS Query Forwarding

    2. Покажите скрин System: General Setup



  • При наличии галочки "Enable Forwarding Mode" не работало.
    Были 2 днс от другого провайдера. Видимо поэтому они не резолвились, поставил общедоступные. Стал резолвить, но ничего не изменилось в скорости отображения страниц




  • Замечено: Я добавил в исключения Local Cache  определенные сайты, и они стали открываться молнеиносно! Но, ровно 1 минуту…. Дальше опять задержки перед открытием  старниц.... 5-10 с.

    Мне кажется что это дело все в сквиде....
    Плюс к этой точке зрения - сейчас если вместо урла вбивать айпишник - все равно загружается не быстро. Но! Вполне возможно он обратный резолв делает, и мы сново упираемся в днс.



  • 1. сам по себе пфсенсе виртуалка

    Hardware Checksum Offloading , Hardware TCP Segmentation Offloading , Hardware Large Receive Offloading - все три поставить галки и перезагр. pf



  • Вырисовывается проблема.
    По последнему сообщению - роли не играет.

    ЧТО Я ОБНАРУЖИЛ!
    Из одной подсети, что и LAN интерфейс пфсенса все летает!!!

    У меня один коммутатор третьего уровня(hewlett packard) с несколькими поднятами виртуальными VLAN интерфейсами(межвлановая маршрутизация)

    Закралось у меня сомнение,а является ли это ассиметричной маршрутизацией!?
    Если делать трассировку между подсетями, то получается:
    первая строка вывода команды Tracert это основной шлюз, а вторая строка уже конечная точка назначения.
    Это наверное не совсем коректно, по идее я же должен был увидеть еще одну строку - это ответ от другого виртуального VLAN интерфейса, данного коммутатора 3 уровня, и уже после этой строки конечная точка, или я ошибаюсь? Наверное ошибаюсь… Тогда чем моя подсеть отличается от другой подсети?!

    Из других подсетей идут тормоза!

    Господа! Что делать!?



  • Нашел!!!!
    Господа, все оказалось намного интересней!!!!

    NetBios на клиенте!!!!

    Запустил варкшарк и начал смотреть на пакеты! ОС ждет ответа от нетбиос запроса!
    Отключаем нетбиос и все летает!!!

    Вопрос как теперь  их подружить и заставить работать в паре!?


Log in to reply