DNS не разрешает сайты Яндекса

Sega

Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

Версия pfSense №1:
2.2.6-RELEASE (i386)
built on Mon Dec 21 14:50:36 CST 2015
FreeBSD 10.1-RELEASE-p25

Версия pfSense №2:
2.2.4-RELEASE (i386)
built on Sat Jul 25 19:56:41 CDT 2015
FreeBSD 10.1-RELEASE-p15





Sega

На главной странице в System Information первым DNS сервером стоит 127.0.0.1. Так должно быть?


pigbrother

У меня тоже стоит первым.
Используется DNS resolver или DNS forwarder?

Sega

DNS Resolver. На его странице только раздел Host Overrides изменял.

pigbrother

А если сделать бэкап и попробовать  переключиться на DNS forwarder?

atyltin

Логика такая. Если стоит 127.0.0.1 То отвечает на DNS запросы локальный DNS сервер первым. Если от него не приходить ни одного ответа то идет запрос на второй DNS и т.д.
Т.е. 127.0.0.1 дает ответ что такого адреса нет. И другие DNS не спрашиваются. Смотрим кэш. И настройки пересылки запросов на внешний DNS.

PbIXTOP

Вообще логика использования 127.0.0.1 в pfSense немного другая — а именно для того чтобы сам маршрутизатор и его сервисы могли использовать DNS локальной сети (имена через DHCP, специфичные Host Overrides).

@Sega:

Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

А проверьте разрешен ли Enable Forwarding Mode в настройках DNS Resolver.
В свое время из-за того что unbound не хотел отдавать клиентам внешние DNS, стал при первичной установке по умолчанию переключать на dnsmasq.

Sega

Эта настройка выключена. На обоих шлюзах.

atyltin

@PbIXTOP:

Вообще логика использования 127.0.0.1 в pfSense немного другая — а именно для того чтобы сам маршрутизатор и его сервисы могли использовать DNS локальной сети (имена через DHCP, специфичные Host Overrides).

@Sega:

Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

А проверьте разрешен ли Enable Forwarding Mode в настройках DNS Resolver.
В свое время из-за того что unbound не хотел отдавать клиентам внешние DNS, стал при первичной установке по умолчанию переключать на dnsmasq.

Тогда пожалуйста в студию порядок DNS запросов.
Имхо сперва запрос на локальный dns сервер 127.0.0.1 если он не знает, то спрашивает у тех серверов которые прописаны в соответствующем домене в настройках dns resolver. Или если таких нет то у внешних DNS серверов провайдера. Если к нему идет запрос от внутреннего DNS и он не знает то он форвардит запрос на внешний DNS.

А по вашему как?

atyltin

@Sega:

Эта настройка выключена. На обоих шлюзах.

А выложите или опишите схему днс. И настройку DNS резолвера. Какие порты входящие, какие исходящие. ACL. Ну и команду nslookup

atyltin

и шлюзв бы неплохо указать в настройках system->general setup

PbIXTOP

@atyltin:

@PbIXTOP:

Вообще логика использования 127.0.0.1 в pfSense немного другая — а именно для того чтобы сам маршрутизатор и его сервисы могли использовать DNS локальной сети (имена через DHCP, специфичные Host Overrides).

@Sega:

Здравствуйте. Помогите, пожалуйста, решить проблему. После нового года у пользователей перестали работать сайты яндекса, другие сайты нормально загружаются. Браузеры ругаются на DNS. pfSense сайты яндекса пингует. Ограничений в фаерволе нет, прокси тоже нет ограничений. Временно занес адреса в DNS Resolver Host Overrides.

А проверьте разрешен ли Enable Forwarding Mode в настройках DNS Resolver.
В свое время из-за того что unbound не хотел отдавать клиентам внешние DNS, стал при первичной установке по умолчанию переключать на dnsmasq.

Тогда пожалуйста в студию порядок DNS запросов.
Имхо сперва запрос на локальный dns сервер 127.0.0.1 если он не знает, то спрашивает у тех серверов которые прописаны в соответствующем домене в настройках dns resolver. Или если таких нет то у внешних DNS серверов провайдера. Если к нему идет запрос от внутреннего DNS и он не знает то он форвардит запрос на внешний DNS.

А по вашему как?

Вы путаете немного работу системных вызовов NetResolv и работу непосредственно DNS сервера. Пока  правильно работает DNS сервер на pfSense сама система и приложения не будут обращаться к внешним DNS.

Sega

Здравствуйте. Попробовать DNS Forwarder смогу только на выходных, а в эти выходные не получалось по времени. Выкладываю настройки DNS Resolver.
@atyltin:

А выложите или опишите схему днс. И настройку DNS резолвера. Какие порты входящие, какие исходящие. ACL. Ну и команду nslookup

atyltin, где можно это посмотреть? Что означает "схема днс"? Сначала должен сработать DNS Resolver, чтобы определить локальный IP нашего сайта, все остальные запросы должны уйти DNS серверам провайдера Зеленая точка с вкладки General Setup Порты нужно смотреть в фаерволе? В фаерволе у локальной сети в порте звездочка. ACL в прокси squid? Он выключен. Команды nslookup нет в командной строке, прикрепил результат Diag DNS Lookup.


atyltin

atyltin, где можно это посмотреть? Что означает "схема днс"? Сначала должен сработать DNS Resolver, чтобы определить локальный IP нашего сайта, все остальные запросы должны уйти DNS серверам провайдера Зеленая точка с вкладки General Setup Порты нужно смотреть в фаерволе? В фаерволе у локальной сети в порте звездочка. ACL в прокси squid? Он выключен. Команды nslookup нет в командной строке, прикрепил результат Diag DNS Lookup.

Почему вы решили что должны?
Схема это топология DNS запросов реализованная вами в вашей сети. Например у меня так.
ПК->DNS (AD)->DNS (proxy) -> DNS Провайдер.
Шаг 1. Я открываю браузер и ввожу адрес Yandex.ru. ПК смотрит в своем кеше есть ли IP адрес. Если есть любой адрес он отправляет запрос на этот адрес. Если адрес неверный он отправит на неверный адрес.
шаг 2. Если в кеше нет Ip соответствующего yandex.ru. Он смотрит файл host, если есть шлет запрос на тот ip что там указан.
Шаг 3. Если в host нет Ip соответствующего yandex.ru. идет запрос на доменный DNS сервер. И DNS смотрит в своем Кеше.
Шаг 4. Если в кеше DNS нет Ip соответствующего yandex.ru.  DNS сервер. шлет запрос на кеширующий DNS прокси
Шаг 5. Если в DNS Proxy  в кеше нет Ip соответствующего yandex.ru. DNS сервер шлет запрос на  DNS сервер провайдера.
Шаг 6. Если ответ не пришел, ПК шлет запрос на второй сервер DNS прописанный в настройках сетевой карты

Если прокси разрешает имя, то сперва смотрит в своей базе а потом шлет запрос на днс указанный соответствующему домену.

Очень важно. Что в любом случае начиная  с 3 шага  если пришел ответ что такого адреса не существует - поиск адреса прекращается.

Теперь по существу.
Ваш DNS lookup разрешает в неверный IP. Соответственно проверяйте цепочку кто дает неправильный IP.
лучше из командной строки что бы видеть какой сервер дает вам неправильный IP/

Sega

Тогда я представляю, что запрос к DNS серверу провайдера должен добираться так:

• На компьютерах DNS сервер - локальный IP pfSense.

• На pfSense срабатывает DNS Resolver. Я думаю, DNS Resolver ничего не находит, переходим дальше.

• Запрос уходит к DNS серверам из General Setup.

Перед тем как проверять в командной строке, нужно выключать DNS Resolver? У него в Host Overrides я позаносил адреса яндекса.

werter

Доброе.
Какой тип подкл. у вас на ВАН ? По умолч. пф пользует адреса днс-серверов полученные от провайдера. Чтобы это изменить - необходимо снять галку в настр.
Вкл. dns forwarder и указать явно gw вместо none (скрин DNS Servers.jpg).

Sega

Здравствуйте. Этот тип - я  :). Указал шлюз для DNS серверов. DNS Forwarder уже выключен, а если я выключу еще и DNS Resolver, то тогда у пользователей ни одно DNS имя не разрешается.
Команду nslookup нужно в pfSense выполнить или в windows?


Sega

Выполнил в windows. Кажется, адрес взялся из DNS Resolver Host overrides. После работы попробую сделать бэкап, удалить Host overrides и повторить команду.


Sega

@werter:

… Какой тип подкл. у вас на ВАН ? ...

Я подумал, что ругаетесь.

NegoroX

///1.На компьютерах DNS сервер - локальный IP pfSense.///
впиши на компах пользователей DNS которые тебе пров дал 81. и 91.
шлюз у пользователей "локальный ip Pf"  ?