Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    MultiWan - DNS do not override

    Russian
    2
    19
    1001
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • PTZ-M
      PTZ-M last edited by

      Коллеги прошу помощи глобального разума, поскольку 4-й месяц бьюсь над этой проблемой на разных версиях.

      Есть DualWAN: 1. 4G LTE модем с ип 192.168.8.1 на входе, 2. WAN кабельный с с ип 212.xxx.xxx.xxx на входе.
      В Система - Основная настройка - Настройки DNS сервера указано:
      для WAN - ип серверов провайдера (иначе к серверу клиентской статистики доступа не будет)
      для 4G LTE - ип серверов norton

      При обрыве гейтвей прекрасно переключает туда-сюда канал, а вот с DNS нет! Решаю проблему, вручную чекая пункты DNS Forwarder/DNS Resolver, в произвольном порядке. Именно в ПРОИЗВОЛЬНОМ! Тупо перезапуск демона - не помогает. А вот факт самовосстановления (с утра не пускало, после обеда - всё работает), как и самоотвала - есть.

      Не удается получить доступ к сайту
      Не удалось найти IP-адрес сервера statserv.sampo.ru.
      Перейдите по ссылке: http://sampo.ru/
      Выполните поиск по запросу statserv sampo ru в Google
      ERR_NAME_NOT_RESOLVED

      Не удается получить доступ к сайту
      Не удалось найти IP-адрес сервера statserv.sampo.ru.
      DNS_PROBE_FINISHED_NXDOMAIN

      Единственная мысль - сработка по таймауту сброса списка DNS серверов где-то внутри сенса.

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Добрый.

        Смоделируем ситуацию.

        0. У вас настроен failover на пф для 2-х ваших WAN-ов. Кстати, в таком случае достаточно поставить галку на Allow def GW switching в настройках пф. Явно создавать Failover Group и использовать ее в правилах fw не требуется.

        1. У вас упал WAN кабельный. Идет переключение на 4G LTE модем. В таком случае вы на statserv.sampo.ru, ес-но, не попадаете, т.к. доступ к statserv.sampo.ru возможен только из сети вашего провайдера. Извне туда не попадешь. Проверил.

        2. WAN кабельный поднялся и пф перекл. на него, т.к. он основной WAN. Теперь для доступа к statserv.sampo.ru необходимо очистить кеш браузера + сбросить кеш ДНС на локальной машине. Чтобы не делать это руками попробовать след.:

        Вар1.
        Сбросить кеш браузера и ДНС кеш на лок. машине.
        Использовать DNS Resolver. Поставить галку на "Enable Forwarding Mode". В настройках ДНС на лок. машине указать ip пф. Разорвать линк на WAN кабельный для проверки.

        Вар2.
        Сбросить кеш браузера и ДНС кеш на лок. машине.
        Использовать DNS Resolver.  В сетевых настройках ДНС на лок. машине первым указать ip-адрес ДНС-сервера провайдера "WAN кабельный", вторым - ip пф. Это же сделать можно используя DHCP на пф. Разорвать линк на WAN кабельный для проверки.

        Зы. Покажите скрин правил fw на ЛАН.

        1 Reply Last reply Reply Quote 0
        • PTZ-M
          PTZ-M last edited by

          Добрый день.

          0. … Явно создавать Failover Group и использовать ее в правилах fw не требуется.

          Пардон, а как он шлюзоваться будет? :o Мы ж ему группу не для красоты создаём.

          По вариантам отпишусь чуть позже.


          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Добрый.

            Пардон, а как он шлюзоваться будет?

            Кстати, в таком случае достаточно поставить галку на Allow def GW switching в настройках пф. Явно создавать Failover Group и использовать ее в правилах fw не требуется.

            1 Reply Last reply Reply Quote 0
            • PTZ-M
              PTZ-M last edited by

              [offtop]

              0. … Явно создавать Failover Group и использовать ее в правилах fw не требуется.

              так. если я правильно въехал в эту фразу, то вместо виртуального шлюза и одного правила в файере мне нужно как минимум 2 писать, под каждый ван? ну и на кой? у меня резервирование, а не балансировка нагрузки, да и vk (и пр. хрень) мне блочить не надо. кроме этого, если накроется сетевуха мне опять писать правила, вместо простого подкидывания новой карты в пул.
              вот есть потребность в sip, но тут я понял, что мой случай - без вариантов
              [/offtop]

              Вернёмся к "баранам", скрин в студии.

              UPD чудеса продолжаются, в 11 часов сервер статистики оператора был доступен, в 12 уже "Не удается получить доступ к сайту"
              UPD 12:20 - доступ опять есть :-X
              UPD 14:54 - доступа опять нет…
              UPD 16:04 - доступ опять есть!


              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                Добрый.

                так. если я правильно въехал в эту фразу, то вместо виртуального шлюза и одного правила в файере мне нужно как минимум 2 писать, под каждый ван? ну и на кой? у меня резервирование, а не балансировка нагрузки

                Неверно понято.
                Достаточно адной таблэтки поставить галку там, где говорилось и вообще ничего явно не указывать в GW в правилах fw на ЛАН. Сделать Reset states после.

                1 Reply Last reply Reply Quote 0
                • PTZ-M
                  PTZ-M last edited by

                  Каким-то чудом он опять сдох. Удаление DNS для 4G модема грохнуло шлюз. Попробовал восстановить из резервной копии - не помогает. ИП получает, но монитор говорит, что шлюз в дауне.
                  Это было б пофиг, если б DNS локального провайдера бралось, но нет! pfSense с какогото хера берёт сервер настроеный на шлюз 4G модема!!!


                  1 Reply Last reply Reply Quote 0
                  • werter
                    werter last edited by

                    Добрый.
                    А чего вы мониторите локальные gw ? Мониторьте 8.8.8.8, 8.8.4.4, напр. У нек-ых провайдеров на gw вообще icmp отключен в целях без-ти. Более того, линк с пров-ом может подняться, но дальше его шлюза трафик может не идти. По разным техническим причинам. И что тогда дает мониторинг gw провайдера?

                    P.s. Почему не попробовать вариант?
                    В сетевых настройках ДНС на лок. машине первым указать ip-адрес ДНС-сервера провайдера "WAN кабельный", вторым - ip пф. Это же сделать можно используя DHCP на пф.
                    Очистить кеш браузера + сбросить кеш ДНС на локальной машине. И проверить работоспособность схемы путем поочередного откл. ВАН-интерфейсов (ВАН и 4Джи в вашем случае).

                    1 Reply Last reply Reply Quote 0
                    • PTZ-M
                      PTZ-M last edited by

                      Добрый день.

                      И толку? Я уже 15-у конфигурацию перебираю. Если вдолбить DNS мировые - локальная машина прекрасно работает.

                      Если на pfSense включить DNS Forwarder или DNS Resolver интернет есть, но страница оператора недоступна. Если вырубить - интернет отваливается, но pfSense, О ЧУДО! Видит этот сервер (см. фото ниже)!!!

                      Вырубил 4G модем, убил все правила - пофиг! Каким-то нереальным местом на 127.0.0.1 режется запрос через WAN. Отключил все ограничения на WAN для локальных адресов - толку 0.




                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by

                        Если вырубить - интернет отваливается, но pfSense, О ЧУДО! Видит этот сервер

                        Не чудо. Адрес в днс-кэше пф.

                        Вырубил 4G модем, убил все правила - пофиг! Каким-то нереальным местом на 127.0.0.1 режется запрос через WAN. Отключил все ограничения на WAN для локальных адресов - толку 0.

                        Создайте на ЛАН правило, к-ое позволяет ходит в во внутреннюю сеть провайдера (там где живет statserv.sampo.ru) только через определенный gw. Поставьте его в самом верху.
                        Покажите

                        Стоп!
                        Адрес statserv.sampo.ru разрешается у меня (!) в 10.10.225.1. Что недопустимо с точки зрения внешней адресации. Звоните-пишите в ТП провайдера. И большой "привет" тем, что "настраивал" DNS у них.

                        Зы. На "сладкое" лог общения с девушкой Марией из ТП вашего пров-а:

                        13:38Доброго времени суток. Есть вопрос. Почему имя statserv.sampo.ru извне (т.е. с любого др. провайдера в мире) разрешается в адрес 10.10.225.1 ?
                        13:38Можете сами проверить на 2ip.ru
                        13:39Это что еще за нововведение в мировой практике ? :)

                        Здравствуйте! http://statserv.sampo.ru внутренний ресурс, доступ из вне на него не возможен.13:39

                        13:39Мария, покажите это вашей техподдержке, пож-та
                        13:40Желательно , level2
                        13:40Боюс, что вы не совсем в курсе о чем идет речь
                        13:41*боюсь
                        13:41Огромное спаибо :)

                        Это домен для внутреннего доступа, поэтому он разрешается во внутренний серый ip адрес13:41

                        13:42еще раз
                        13:42повторюсь
                        13:42он ИЗВНЕ разрешается в серый адрес
                        13:42ИЗВНЕ
                        13:42прошу, покажите это вашей ТП
                        13:43проверьте на любом доступном ресурсе
                        13:43такого быть не должно вообще
                        13:44у меня в сети также есть сервер статистики
                        13:44и его имя во вне не разрешается вообще
                        13:44как и положено
                        13:44у вас же он светит В МИР СЕРЫМ адресом

                        Наши dns сервера общедоступны и там прописан statserv серым адресом13:46

                        13:47супер
                        13:47вы первые
                        13:47в МИРЕ
                        13:47еще раз
                        13:47покажите тем, кто вам DNS настраивал

                        Вы испытываете какие-либо проблемы из-за этого?13:48

                        13:48имя statserv.sampo.ru должно разрешаться в серый IP ТОЛЬКО ВНТУРИ ВАШЕЙ ЛОКАЛЬНОЙ СЕТИ
                        13:48я испытваю состояние когнитивного диссонанса
                        13:49разрешение имен в Инете регламентировано
                        13:49понимаете?
                        13:49эти правила всеобщие
                        13:49не я их придумал и не вам их менять
                        13:50я даже могут подсказать, где это исправить

                        Спасибо Вам!13:50

                        13:51не за что
                        13:51вы, главное, исправьте
                        13:51или хотя бы просто передайте вашим "одминам"

                        1 Reply Last reply Reply Quote 0
                        • PTZ-M
                          PTZ-M last edited by

                          Звоните-пишите в ТП провайдера. И большой "привет" тем, что "настраивал" DNS у них.

                          Они про это знают лет уже -цать, как-то завязано на IP MAP и отсеканием нежелательных внешних соединений. Проявляется тем, что если у тебя на WAN белый ИП, то в сети этого же провайдера тебя будет принудительно гнать на локалку с серым ИП, соответственно с мира гнать будет на белый ИП. Правда переодически появляется дырка, как они не знают (где-то луп стоит).

                          Вопрос не в этом, а почему с DIR-300 таких косяков не возникает?! Хоть пиши statserv.sampo.ru, хоть 10.10.255.1 >:(

                          Кроме этого, если в DNS Forwarder поставить Интерфейсы - Локальная сеть, то Diagnostics - DNS Lookup видит statserv.sampo.ru с ИП 10.10.255.1, но локальной машине по ИП ходит, а имя не разрешается.

                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by

                            Они про это знают лет уже -цать

                            Этого быть не должно. Вообще. И точка. Есть правила адресации в Сети.

                            как-то завязано на IP MAP и отсеканием нежелательных внешних соединений.

                            Бред. Это связано с тем, что на их dns-серверах ns.sampo.ru, ns1.sampo.ru есть A-запись, где statserv.sampo.ru сопоставлен адрес 10.10.255.1. И сервер имен "светит" им в мир.
                            В мир, Карл!

                            У меня в городе с десяток провайдеров. И сервера статистики не светят в мир своими внутренними серыми адресами. Ни у одного. Причем имя сервера статистики у них при этом разрешается в нормальный белый IP или не разрешается вовсе. Я вообще такую глупость первый раз вижу  :'(

                            Вопрос не в этом, а почему с DIR-300 таких косяков не возникает?! Хоть пиши statserv.sampo.ru, хоть 10.10.255.1

                            А что у вас на ДИР-300 два провайдера одновременно заведено как на пф?

                            Зы. nslookup -q=any statserv.sampo.ru ns.sampo.ru
                            ╤хЁтхЁ:  ns.sampo.ru
                            Address:  217.77.52.252

                            statserv.sampo.ru      internet address = 10.10.255.1
                            sampo.ru        nameserver = ns.sampo.ru
                            sampo.ru        nameserver = ns1.sampo.ru
                            ns.sampo.ru    internet address = 217.77.52.252
                            ns1.sampo.ru    internet address = 217.77.53.237

                            Или я один вижу слово internet там и серый адрес при этом?

                            1 Reply Last reply Reply Quote 0
                            • PTZ-M
                              PTZ-M last edited by

                              Создайте на ЛАН правило, к-ое позволяет ходит в во внутреннюю сеть провайдера (там где живет statserv.sampo.ru) только через определенный gw. Поставьте его в самом верху.
                              Покажите

                              Во вложении.

                              А что у вас на ДИР-300 два провайдера одновременно заведено как на пф?

                              нет, только 1 wan, но логика работы должна разделять гейтвай и днс сервера на пф иначе смысл писать в Система - Основная настройка - Настройки DNS сервера днс под каждый wan?


                              1 Reply Last reply Reply Quote 0
                              • werter
                                werter last edited by

                                нет, только 1 wan, но логика работы должна разделять гейтвай и днс сервера на пф иначе смысл писать в Система - Основная настройка - Настройки DNS сервера днс под каждый wan

                                Вы теплое и мягкое связать пытаетесь. Причем тут gw и dns? Еще раз - на ДИР-300 у вас один ВАН и настройки ДНС в нем не пляшут как при мультиване.

                                Сбросьте кеш браузера у себя. Сбросьте ДНС-кеш у себя.
                                Откл. самое нижнее правило.
                                Поставьте в dst * в самом верхнем правиле. Шлюз в нем не трогайте. Вкл. логирование разрешенных (!) правил fw в настр. пф, "походите" по сайту вашего чудо-провайдера для отслеживания адресации. Там точно не 10.10.255.1 должен быть.

                                Дело в том, что при переходе на 4Джи имя statserv.sampo.ru также разрешается в 10.10.255.1. Понимаете о чем я? 4Джи - это совершенно др. провайдер, но из-за "одаренности" sampo.ru адрес получается серым независимо от того, кто у вас в кач-ве др. провайдера. Тем более у вашего 4Джи его внутренняя сеть также имеет адресацию 10.0.0.0\8. Вот ведь незадача, да?

                                1 Reply Last reply Reply Quote 0
                                • PTZ-M
                                  PTZ-M last edited by

                                  Дело в том, что при переходе на 4Джи имя statserv.sampo.ru также разрешается в 10.10.255.1. Понимаете о чем я? 4Джи - это совершенно др. провайдер, но из-за "одаренности" sampo.ru адрес получается серым независимо от того, кто у вас в кач-ве др. провайдера. Тем более у вашего 4Джи его внутренняя сеть также имеет адресацию 10.0.0.0\8. Вот ведь незадача, да?

                                  Это логично. Но! 4G модем я уже часа 3 как снял. И да даже с этим правилом - имя сервера не доступно.


                                  1 Reply Last reply Reply Quote 0
                                  • werter
                                    werter last edited by

                                    Я бы после всей котовасии с настройками-перенастройками сбросил бы все в нуль. Почистил кеш браузера у себя и перезагрузился. На пф оставил бы dns resolver, один проблемный интерфейс + откл. блок. серых сетей на ВАН и плясал бы по-новой.

                                    1 Reply Last reply Reply Quote 0
                                    • PTZ-M
                                      PTZ-M last edited by

                                      Не вариант VPN перенастраивать задолбаюсь  :'(

                                      С форвардером ПФ сервер видит, но не пингует, локально не видится вообще - магия…


                                      1 Reply Last reply Reply Quote 0
                                      • werter
                                        werter last edited by

                                        Добрый.
                                        Блокирование серых сетей на ВАН откл?

                                        1 Reply Last reply Reply Quote 0
                                        • PTZ-M
                                          PTZ-M last edited by PTZ-M

                                          Добрый день.

                                          При форвардинге, отчекивание "Блокировать частные сети и адреса лупбека" и "Блокировать богон (bogon) сети" толку не приносит. В Правилах на WAN только правила для NAT и VPN.

                                          UPD в "Статус - Системный Журнал - Система - DNS резолвер" есть интересные записи:

                                          Apr 16 11:32:00	dnsmasq	35785	possible DNS-rebind attack detected: statserv.sampo.ru
                                          

                                          где-то что-то такое в настройках есть:
                                          "Система - Расширенные - Доступ Администратора - Проверка DNS Rebind" "Отключить проверку перепривязки DNS" и "Альтернативные имена хостов"…

                                          P.S. Отключить проверку перепривязки DNS" - решило проблему с доступом к серверу статистики оператора :ok_hand

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post

                                          Products

                                          • Platform Overview
                                          • TNSR
                                          • pfSense
                                          • Appliances

                                          Services

                                          • Training
                                          • Professional Services

                                          Support

                                          • Subscription Plans
                                          • Contact Support
                                          • Product Lifecycle
                                          • Documentation

                                          News

                                          • Media Coverage
                                          • Press
                                          • Events

                                          Resources

                                          • Blog
                                          • FAQ
                                          • Find a Partner
                                          • Resource Library
                                          • Security Information

                                          Company

                                          • About Us
                                          • Careers
                                          • Partners
                                          • Contact Us
                                          • Legal
                                          Our Mission

                                          We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                          Subscribe to our Newsletter

                                          Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                          © 2021 Rubicon Communications, LLC | Privacy Policy