DNS не разрешает сайты Яндекса


  • Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

    Версия pfSense №1:
    2.2.6-RELEASE (i386)
    built on Mon Dec 21 14:50:36 CST 2015
    FreeBSD 10.1-RELEASE-p25

    Версия pfSense №2:
    2.2.4-RELEASE (i386)
    built on Sat Jul 25 19:56:41 CDT 2015
    FreeBSD 10.1-RELEASE-p15


    ![DNS Servers.jpg](/public/imported_attachments/1/DNS Servers.jpg)
    ![DNS Servers.jpg_thumb](/public/imported_attachments/1/DNS Servers.jpg_thumb)
    ![Firewall Rules.jpg](/public/imported_attachments/1/Firewall Rules.jpg)
    ![Firewall Rules.jpg_thumb](/public/imported_attachments/1/Firewall Rules.jpg_thumb)


    ![DNS Resolver Host Overrides.jpg](/public/imported_attachments/1/DNS Resolver Host Overrides.jpg)
    ![DNS Resolver Host Overrides.jpg_thumb](/public/imported_attachments/1/DNS Resolver Host Overrides.jpg_thumb)


  • На главной странице в System Information первым DNS сервером стоит 127.0.0.1. Так должно быть?

    ![System Information DNS Servers.jpg](/public/imported_attachments/1/System Information DNS Servers.jpg)


  • У меня тоже стоит первым.
    Используется DNS resolver или DNS forwarder?


  • DNS Resolver. На его странице только раздел Host Overrides изменял.


  • А если сделать бэкап и попробовать  переключиться на DNS forwarder?


  • Логика такая. Если стоит 127.0.0.1 То отвечает на DNS запросы локальный DNS сервер первым. Если от него не приходить ни одного ответа то идет запрос на второй DNS и т.д.
    Т.е. 127.0.0.1 дает ответ что такого адреса нет. И другие DNS не спрашиваются. Смотрим кэш. И настройки пересылки запросов на внешний DNS.


  • Вообще логика использования 127.0.0.1 в pfSense немного другая — а именно для того чтобы сам маршрутизатор и его сервисы могли использовать DNS локальной сети (имена через DHCP, специфичные Host Overrides).

    @Sega:

    Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

    А проверьте разрешен ли Enable Forwarding Mode в настройках DNS Resolver.
    В свое время из-за того что unbound не хотел отдавать клиентам внешние DNS, стал при первичной установке по умолчанию переключать на dnsmasq.


  • Эта настройка выключена. На обоих шлюзах.


  • @PbIXTOP:

    Вообще логика использования 127.0.0.1 в pfSense немного другая — а именно для того чтобы сам маршрутизатор и его сервисы могли использовать DNS локальной сети (имена через DHCP, специфичные Host Overrides).

    @Sega:

    Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

    А проверьте разрешен ли Enable Forwarding Mode в настройках DNS Resolver.
    В свое время из-за того что unbound не хотел отдавать клиентам внешние DNS, стал при первичной установке по умолчанию переключать на dnsmasq.

    Тогда пожалуйста в студию порядок DNS запросов.
    Имхо сперва запрос на локальный dns сервер 127.0.0.1 если он не знает, то спрашивает у тех серверов которые прописаны в соответствующем домене в настройках dns resolver. Или если таких нет то у внешних DNS серверов провайдера. Если к нему идет запрос от внутреннего DNS и он не знает то он форвардит запрос на внешний DNS.

    А по вашему как?


  • @Sega:

    Эта настройка выключена. На обоих шлюзах.

    А выложите или опишите схему днс. И настройку DNS резолвера. Какие порты входящие, какие исходящие. ACL. Ну и команду nslookup


  • и шлюзв бы неплохо указать в настройках system->general setup


  • @atyltin:

    @PbIXTOP:

    Вообще логика использования 127.0.0.1 в pfSense немного другая — а именно для того чтобы сам маршрутизатор и его сервисы могли использовать DNS локальной сети (имена через DHCP, специфичные Host Overrides).

    @Sega:

    Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

    А проверьте разрешен ли Enable Forwarding Mode в настройках DNS Resolver.
    В свое время из-за того что unbound не хотел отдавать клиентам внешние DNS, стал при первичной установке по умолчанию переключать на dnsmasq.

    Тогда пожалуйста в студию порядок DNS запросов.
    Имхо сперва запрос на локальный dns сервер 127.0.0.1 если он не знает, то спрашивает у тех серверов которые прописаны в соответствующем домене в настройках dns resolver. Или если таких нет то у внешних DNS серверов провайдера. Если к нему идет запрос от внутреннего DNS и он не знает то он форвардит запрос на внешний DNS.

    А по вашему как?

    Вы путаете немного работу системных вызовов NetResolv и работу непосредственно DNS сервера. Пока  правильно работает DNS сервер на pfSense сама система и приложения не будут обращаться к внешним DNS.


  • Здравствуйте. Попробовать DNS Forwarder смогу только на выходных, а в эти выходные не получалось по времени. Выкладываю настройки DNS Resolver.
    @atyltin:

    А выложите или опишите схему днс. И настройку DNS резолвера. Какие порты входящие, какие исходящие. ACL. Ну и команду nslookup

    atyltin, где можно это посмотреть? Что означает "схема днс"? Сначала должен сработать DNS Resolver, чтобы определить локальный IP нашего сайта, все остальные запросы должны уйти DNS серверам провайдера Зеленая точка с вкладки General Setup Порты нужно смотреть в фаерволе? В фаерволе у локальной сети в порте звездочка. ACL в прокси squid? Он выключен. Команды nslookup нет в командной строке, прикрепил результат Diag DNS Lookup.

    ![DNS Resolver 1 General settings.jpg](/public/imported_attachments/1/DNS Resolver 1 General settings.jpg)
    ![DNS Resolver 1 General settings.jpg_thumb](/public/imported_attachments/1/DNS Resolver 1 General settings.jpg_thumb)
    ![DNS Resolver 2 General settings.jpg](/public/imported_attachments/1/DNS Resolver 2 General settings.jpg)
    ![DNS Resolver 2 General settings.jpg_thumb](/public/imported_attachments/1/DNS Resolver 2 General settings.jpg_thumb)
    ![DNS Resolver 3 General settings.jpg](/public/imported_attachments/1/DNS Resolver 3 General settings.jpg)
    ![DNS Resolver 3 General settings.jpg_thumb](/public/imported_attachments/1/DNS Resolver 3 General settings.jpg_thumb)
    ![DNS Resolver 4 General settings.jpg](/public/imported_attachments/1/DNS Resolver 4 General settings.jpg)
    ![DNS Resolver 4 General settings.jpg_thumb](/public/imported_attachments/1/DNS Resolver 4 General settings.jpg_thumb)
    ![DNS Resolver 5 Advanced settings.jpg](/public/imported_attachments/1/DNS Resolver 5 Advanced settings.jpg)
    ![DNS Resolver 5 Advanced settings.jpg_thumb](/public/imported_attachments/1/DNS Resolver 5 Advanced settings.jpg_thumb)
    ![DNS Resolver 6 Advanced settings.jpg](/public/imported_attachments/1/DNS Resolver 6 Advanced settings.jpg)
    ![DNS Resolver 6 Advanced settings.jpg_thumb](/public/imported_attachments/1/DNS Resolver 6 Advanced settings.jpg_thumb)
    ![DNS Resolver 7 Access Lists.jpg](/public/imported_attachments/1/DNS Resolver 7 Access Lists.jpg)
    ![DNS Resolver 7 Access Lists.jpg_thumb](/public/imported_attachments/1/DNS Resolver 7 Access Lists.jpg_thumb)
    ![Diag DNS Lookup yandex.ru.jpg](/public/imported_attachments/1/Diag DNS Lookup yandex.ru.jpg)
    ![Diag DNS Lookup yandex.ru.jpg_thumb](/public/imported_attachments/1/Diag DNS Lookup yandex.ru.jpg_thumb)


  • atyltin, где можно это посмотреть? Что означает "схема днс"? Сначала должен сработать DNS Resolver, чтобы определить локальный IP нашего сайта, все остальные запросы должны уйти DNS серверам провайдера Зеленая точка с вкладки General Setup Порты нужно смотреть в фаерволе? В фаерволе у локальной сети в порте звездочка. ACL в прокси squid? Он выключен. Команды nslookup нет в командной строке, прикрепил результат Diag DNS Lookup.

    Почему вы решили что должны?
    Схема это топология DNS запросов реализованная вами в вашей сети. Например у меня так.
    ПК->DNS (AD)->DNS (proxy) -> DNS Провайдер.
    Шаг 1. Я открываю браузер и ввожу адрес Yandex.ru. ПК смотрит в своем кеше есть ли IP адрес. Если есть любой адрес он отправляет запрос на этот адрес. Если адрес неверный он отправит на неверный адрес.
    шаг 2. Если в кеше нет Ip соответствующего yandex.ru. Он смотрит файл host, если есть шлет запрос на тот ip что там указан.
    Шаг 3. Если в host нет Ip соответствующего yandex.ru. идет запрос на доменный DNS сервер. И DNS смотрит в своем Кеше.
    Шаг 4. Если в кеше DNS нет Ip соответствующего yandex.ru.  DNS сервер. шлет запрос на кеширующий DNS прокси
    Шаг 5. Если в DNS Proxy  в кеше нет Ip соответствующего yandex.ru. DNS сервер шлет запрос на  DNS сервер провайдера.
    Шаг 6. Если ответ не пришел, ПК шлет запрос на второй сервер DNS прописанный в настройках сетевой карты

    Если прокси разрешает имя, то сперва смотрит в своей базе а потом шлет запрос на днс указанный соответствующему домену.

    Очень важно. Что в любом случае начиная  с 3 шага  если пришел ответ что такого адреса не существует - поиск адреса прекращается.

    Теперь по существу.
    Ваш DNS lookup разрешает в неверный IP. Соответственно проверяйте цепочку кто дает неправильный IP.
    лучше из командной строки что бы видеть какой сервер дает вам неправильный IP/


  • Тогда я представляю, что запрос к DNS серверу провайдера должен добираться так:

    • На компьютерах DNS сервер - локальный IP pfSense.

    • На pfSense срабатывает DNS Resolver. Я думаю, DNS Resolver ничего не находит, переходим дальше.

    • Запрос уходит к DNS серверам из General Setup.

    Перед тем как проверять в командной строке, нужно выключать DNS Resolver? У него в Host Overrides я позаносил адреса яндекса.


  • Доброе.
    Какой тип подкл. у вас на ВАН ? По умолч. пф пользует адреса днс-серверов полученные от провайдера. Чтобы это изменить - необходимо снять галку в настр.
    Вкл. dns forwarder и указать явно gw вместо none (скрин DNS Servers.jpg).


  • Здравствуйте. Этот тип - я  :). Указал шлюз для DNS серверов. DNS Forwarder уже выключен, а если я выключу еще и DNS Resolver, то тогда у пользователей ни одно DNS имя не разрешается.
    Команду nslookup нужно в pfSense выполнить или в windows?

    ![DNS Servers Use gateway.jpg](/public/imported_attachments/1/DNS Servers Use gateway.jpg)
    ![DNS Servers Use gateway.jpg_thumb](/public/imported_attachments/1/DNS Servers Use gateway.jpg_thumb)


  • Выполнил в windows. Кажется, адрес взялся из DNS Resolver Host overrides. После работы попробую сделать бэкап, удалить Host overrides и повторить команду.

    ![nslookup windows.jpg](/public/imported_attachments/1/nslookup windows.jpg)
    ![nslookup windows.jpg_thumb](/public/imported_attachments/1/nslookup windows.jpg_thumb)


  • @werter:

    … Какой тип подкл. у вас на ВАН ? ...

    Я подумал, что ругаетесь.



  • ///1.На компьютерах DNS сервер - локальный IP pfSense.///
    впиши на компах пользователей DNS которые тебе пров дал 81. и 91.
    шлюз у пользователей "локальный ip Pf"  ?


  • Да, для локальных пользователей pfSense - это и шлюз, и DNS сервер.
    @NegoroX:

    ///1.На компьютерах DNS сервер - локальный IP pfSense.///
    впиши на компах пользователей DNS которые тебе пров дал 81. и 91.
    шлюз у пользователей "локальный ip Pf"  ?

    Тогда DNS Resolver Host Overrides будет игнорироваться?


  • Тогда DNS Resolver Host Overrides будет игнорироваться?

    А зачем он вам вообще нужен ? Если все будет верно настроено, то адреса узлов будут разрешаться и без оного.

    P.s. С провайдером своим не пробовали пообщаться ? Если работало-работало (и вы нечего не меняли, да ?) и вдруг перестало - спросите провайдера.
    Дело в том, что соблюдение закона о блокировке нек-ых ресурсов реализуется в том числе и с пом. ДНС (перехват и принудит. заворачивание днс-запросов клиентов на свои серверы имен с заглушками для заблок. ресурсов). Если же в процессе настройки этого дела провайдер что-то неверно настроил - вполне может быть ваша ситуация.


  • @Sega:

    Выполнил в windows. Кажется, адрес взялся из DNS Resolver Host overrides. После работы попробую сделать бэкап, удалить Host overrides и повторить команду.

    Открою вам секрет — не обязательно менять DNS, чтобы посмотреть ответы от разных DNS-серверов

    nslookup /?
    Usage:
       nslookup [-opt ...]             # interactive mode using default server
       nslookup [-opt ...] - server    # interactive mode using 'server'
       nslookup [-opt ...] host        # just look up 'host' using default server
       nslookup [-opt ...] host server # just look up 'host' using 'server'
    

  • Именно. Посмотрите какие сервера какие адреса дают. Собственно там и поймете кто из них выдает ошибочный адрес.
    Цепочку проверки я писал выше.