Вопрос по DNS
-
Господа, всем добрый вечер.
Имеется основной офис и наше здание через дорогу. В основном офисе основной админ, основной шлюз и основной сервак. Связь с "этими людьми" фактически односторонняя...они ж главные. А я так- типа эникей.
Ближе к сути, когда-то в 90х годах на мое здание выделили некий диапазон IP, на компов 50.... Ясный день оно быстро закончилось. До меня поставили шлюз, но как я пришел переделал на pfSense. И в принципе не знал горя, но счастье не бывает вечным.
Основной офис намутил корпоративный портал в зоне .loc , пусть будет ololo.loc IP у сего ресурса 10.0.10.1 (что попутно выступает вторым ДНС сервером в основной сети основного офиса). При попытке зайти на 10.0.10.1 получаем ФТП, не корпоративный портал.
Зная что у нас все принято делать через 5 точку, решил проблему гениально: прописал в файл hosts 10.0.10.1 - стало открываться на том хосте где проделал эту операцию.
Но тут головной офис стал всем рассылать-типа заходите корпоративный портал и ссылка. Побежали юзвери- типа не работает.
И вот тут подходим к сути: своих знаний не хватает чтобы понять что не так-толи .loc только в одной подсети сидит, толи совсем через 5 точку завернули (и ДНС и 3 сайта на одном хосте, ссылок на index.php нету). Толи я куда не туда гайки кручу.
Настройки pfSense 2.4.4:
DNS server: 127.0.0.1, 10.0.10.5 , 10.0.10.1
WAN port 192.168.3.10 (шлюз 192.168.3.100)
Включен DNS forwarderВообщем куда смотреть, что не так? Пытался переадресацию сделать-не помогло..либо опять руки кривые.
-
@nubik
Рисуйте схему с адресацией. -
Как-то так...
Если на хосте из ВЛАН1 выполнить tracert ololo.loc ,то
Не удается разрешить системное имя узла ololo.loctracert ya.ru идет на ура 192.168.01->и далее
DNS Forwarder на pfSense - тупо Enable на все интерфейсы. Возможно так не правильно...
-
@nubik Доброе утро
А у 192.168.0.1 какой вышестоящий DNS сервер ?????
Куда он шлет запросы , если не знает , что отвечать клиенту ?Включайте захват пакетов ( tcpdump,UDP, 53 порт ) на lan интерфейсе и смотрите , что получает клиент при запросе ololo.loc
-
It's Better If I Get The English Version of It.
-
@Konstanti ну я так понимаю 10.0.10.7, вот настройки:
Захват пакетов сейчас попробую...Че-то как-то понятнее не стало:
09:07:31.310034 IP 192.168.1.25.64747 > 192.168.0.1.53: UDP, length 27
09:07:31.310895 IP 192.168.0.1.53 > 192.168.1.25.64747: UDP, length 27
09:07:35.072571 IP 192.168.1.25.53008 > 192.168.4.50.7680: tcp 0
09:07:35.072762 IP 192.168.3.100 > 192.168.1.25: ICMP host 192.168.4.50 unreachable - admin prohibited, length 60
09:07:35.072899 ARP, Request who-has 192.168.0.163 tell 192.168.1.25, length 46
09:07:35.681252 ARP, Request who-has 192.168.0.163 tell 192.168.1.25, length 46
09:07:36.087493 IP 192.168.1.25.53008 > 192.168.4.50.7680: tcp 0
09:07:36.087911 IP 192.168.3.100 > 192.168.1.25: ICMP host 192.168.4.50 unreachable - admin prohibited, length 60
09:07:36.665724 IP 192.168.1.25.52868 > 173.194.221.94.443: tcp 39
09:07:36.681118 ARP, Request who-has 192.168.0.163 tell 192.168.1.25, length 46192.168.1.25 - это мой ПК
nslookup ololo.loc с моего ПК говорит что записей на 192.168.0.1 нет. Видимо ДНС как то на пфсенсе не правильно настроил. Как правильно сделать, чтоб смотрел записи на 10.0.10.7, а потом на 10.0.10.1 ?
-
@nubik Тут не видно содержимого пакетов (что в запросе и что в ответе )
Я бы сделал так
Запустите захват пакетов DNS на wan интерфейсе 3.20 который и посмотрите , уходят ли запросы ololo в сторону 10.7 и 10.1Например , это может выглядеть так (1.230 - это локальный DNS сервер) , а 10.10.100.2 - это сервер , куда обращается 1.230 за помощью , если в кэше нет данных
1.96 - локальный хостsh-4.3# tcpdump -i bond0 port 53 and udp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bond0, link-type EN10MB (Ethernet), capture size 262144 bytes 10:32:20.532044 IP 192.168.1.96.57627 > 192.168.1.230.domain: 19721+ A? edge.skype.com. (32) 10:32:20.532435 IP 192.168.1.230.22128 > 10.10.100.2.domain: 50785+ [1au] A? edge.skype.com. (43) 10:32:20.532798 IP 192.168.1.230.44990 > 10.10.100.2.domain: 51521+ PTR? 230.1.168.192.in-addr.arpa. (44) 10:32:20.655734 IP 10.10.100.2.domain > 192.168.1.230.22128: 50785 3/0/1 CNAME edge-skype-com.s-0001.s-msedge.net., CNAME s-0001.s-msedge.net., A 13.107.3.128 (121) 10:32:20.656178 IP 192.168.1.230.39564 > 10.10.100.2.domain: 33498+ [1au] A? edge-skype-com.s-0001.s-msedge.net. (63)
-
@Konstanti Хм...включаю захват на ВАН порту, по всем протоколам и так далее- дефолтные настройки и нету ничего подобного. Видимо я совсем нуб.
Если pfSense'ом сделать tracert ololo.loc, то сразу выплевывает:
Error: ololo.loc could not be traced/resolved (но это скорее всего из-за домена .loc) -
@nubik
Вы нарисовали схему , как у Вас все настроено
Из нее следует , что PF через 3.20 должен слать запрос к 10.0.10.7А как это у Вас по факту происходит мне непонятно
-
@Konstanti схему то я нарисовал, а не система. Поэтому легкий налет фантазии автора возможен. Какие вкладки скинуть-чтобы проверить настройки?
-
@nubik Мб убрать для начала 127.0.0.1 из списка DNS серверов ?
-
@Konstanti Возможно, а как? Он там по дефолту похоже прописан. В списке ДНС его нет-в Главных настройках.
Скрины настроек:
ДНС:
Интерфейс с основного офиса:
ВЛАН - для моего офиса(именно влан, есть ЛАН отдельно-но он я так понимаю не используется, трафика нет):
И ДНС Форвардер:
tracert с моего ПК ya.ru идет на ура:
C:\WINDOWS\system32>tracert ya.ruТрассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:1 <1 мс <1 мс <1 мс 192.168.0.1
2 <1 мс * * 192.168.3.100
3 <1 мс <1 мс <1 мс 10.0.0.9
4 <1 мс <1 мс <1 мс 192.168.254.1
5 <1 мс <1 мс <1 мс gw-static-85-140-47.ptcomm.ru [85.140.47.1]через 3.100, правда каким-то фигом потом идет на 10.0.0.9, но че уж админ главного офиса прописал видимо.
-
@nubik Дело не в трассировке маршрута
а в том , как DNS ответ получен для клиента
от кого его получил DNS Forwarder
Вот что важнорекомендую для отладки использовать сайт netflix.com
для него ttl DNS ответа маленький и соответсвенно данные в кэше долго не хранятся -
@Konstanti как бы это проверить?
-
@nubik
tcpdump на разных интерфейсах (udp,порт 53) и изучаете , куда уходят и откуда приходят DNS ответы и запросы -
Добрый
Мб убрать для начала 127.0.0.1 из списка DNS серверов ?
@nubik
Почему исп-ся. Dns Forwarder вместо Резольвера?
Почему в настройках для DNS-ов не указаны шлюзы? Куда пакеты для разрешения имен уходить будут?Каша (
Правила fw на ЛАН\ВАН покажите.
Зы. Впрочем, использование сети 192.168.0\1\2.0 в продакшене говорит само за себя (
Зы2. 4_floor -
@werter галочку поставил-ничего пока не поменялось.
DNS Forwarder был вынужден включить для pfBlockerNG (который тоже не осилил настроить), вообщем игрался с настройками. Тут руководство то просит зарезать социалки, то еще чего вздумает и все в кратчайшие сроки...Шлюзы для ДНС почему-то если прописать то инет на ВЛАНах пропадает. Опять маршрут надо куда-то писать. Затык...
Использование 192.168.0.1 обоснованно тем что так было, а остальные подсети мне не известны и можно получить не хилый такой конфликт(так как головной офис не спрашивает у всяких шавок как и что).
Правила fw это:
на 4 этаж(тут социалки обрезал, правил много)
WAN
и LAN если нужен
-
@nubik Блин , дайте вывод tcpdump )))
куда-то же уходят DNS запросы -
@Konstanti без проблем, где нажать скажите )) я серьезно) в веб интерфейсе ПФсенса нету, по ssh если только зайти.
А лучше напишите дураку- зайди по ссш на пфсенс и дай такую команду - "rf/rw" -
@nubik Сделайте в консоли
tcpdump -i имя_интерфейса udp and port 53