Перейти к содержимому
Калькуляторы

DNS Cache не открываются некоторые сайты

Добрый день. Имеем сеть(клиенты через хостпот на микротике выходят в инет), Клиентам выдается ип+днс(днс=гетвей=микротик). Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать. Также начинает работать, если прописать ручками ДНС гугла на клиентсокй машине.

По настройкам микротика:

 servers: 8.8.8.8,4.2.2.2
             dynamic-servers: 
       allow-remote-requests: yes
         max-udp-packet-size: 4096
        query-server-timeout: 2s
         query-total-timeout: 10s
      max-concurrent-queries: 100
 max-concurrent-tcp-sessions: 20
                  cache-size: 2048KiB
               cache-max-ttl: 1h
                  cache-used: 2022KiB

 

Также правила от флуда:

;;; Allow DNS request
     chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 
;;; Allow DNS request
     chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 

   ;;; DNS flood drop
     chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

Мучаю 2-й день. Направьте на путь истинный

Изменено пользователем TriKS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что выдает днс микротика, а что - 8.8.8.8. Далее плясать от этого

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То, что прислал клиент, сидящий через домашний роутер асус.

post-79164-060842900 1497537475_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, ответы идентичны. Причем тут DNS?

 

Правило для DNS нужно всего одно - закрыть dport 53 в цепочке input и forward в мир

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При том, что после

/ip dns cache flush

все работает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не может жить у клиента хитрая Адварь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет, не может.

http://youtu.be/GTbvRpmYMHw

 

Проверил на нескольких машинах. 10, хр, 7. Результат один и тот же.

Изменено пользователем TriKS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

TriKS, почему не закрыли запросы dns по tcp извне? У вас практически весь кэш забит пустыми ptr-запросами, если вы уверены, что это не изнутри - для начала закройте и tcp/53. А вообще, имхо, проблема достойна багрепорта в mikrotik.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо, прикрыл tcp. Понаблюдаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту.

Микротик продолжает радовать :)

post-79164-016021300 1497897034_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто dns - устаревшая технология))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Также правила от флуда:

;;; Allow DNS request
     chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 
;;; Allow DNS request
     chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 

   ;;; DNS flood drop
     chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

Мучаю 2-й день. Направьте на путь истинный

 

Нужен второй микротык для ДНС сервера

 

Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту.

Микротик продолжает радовать :)

 

twitch.tv на пинг и не ответит, www.twitch.tv ответит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки.

Да хуета(прошу прощения, терпения нет), ну чес слово. Это что? нормальная работа?? Да если я блокировки сниму - да ДНС флудильня начинается, но каналу покую(он большой, прыгает на 100-150Мб), а ДНС один куй не работает(точнее работает, но чехлит как я описал). С какого хера эта поделка раньше(на старой РотуерОС) работала, на новой версии понадобился резолв доменных имен для организации блоклиста(Украина+Парашенка=наше фсё). Да, резолв в адреслист работает. А, сука, ДНС кэш - отпал. Поделка, а не роутерос. Хуета с БГП. 1 ядров полке. Ну хуета. И как бы вы, уважаемый сааб не рассказывали - покую. Одно чинят, другое ломается. В который раз убеждаюсь, что это для дома поделка.

 

Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота нах. И раздавать пользователям публичные гугловые и др. ДНС...

twitch.tv на пинг и не ответит, www.twitch.tv ответит

Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую.

Изменено пользователем TriKS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота. И раздавать пользователям публичные гугловые и др. ДНС...

 

Конечно. Вы разве не видели схемки узла корпоративной сети или провайдера - там всегда 2 штуки днс сервера отдельными железками нарисованы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это касается тех случаев, когда нужно свой домен анонсировать наружу. В данном случае это избыточно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В данном случае это избыточно

Совершенно в дырочку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно, в качестве промежуточного решения, заблокировать PTR:

/ip firewall layer7-protocol
add name="DNS(PTR)" regexp="[\\x0\\x0c\\x0\\x01]\$"
/ip firewall filter
add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=udp
add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=tcp

Не думаю, что это очень обеременит CPU.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТС скорей всего не актуально, возможно кому то в дальнейшем будет полезно.

 

 

В 15.06.2017 в 14:55, TriKS сказал:

Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать.

Никто не обратил внимание ?

 Saab95 как же так ? :)

 

В 15.06.2017 в 14:55, TriKS сказал:

cache-size: 2048KiB

cache-max-ttl: 1h

cache-used: 2022KiB

Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения".

 

 

В 20.06.2017 в 14:21, TriKS сказал:

Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую.

Это подтверждает мое предположение.

 

Проверить можно, используя на устройстве клиента, какую то запись которая есть в кеше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 hours ago, kosmich7 said:

Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения".

Отсутствие места в кэше никак не мешает отдавать клиенту результат запроса к серверу, указанному в настройках IP/DNS.

Посмотрите на выдачу nslookup на скриншоте выше, там все нормально.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них.

Как вариант проблема может быть в хотспоте, который создает свои тысячи правил для работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
17 часов назад, McSea сказал:

Посмотрите на выдачу nslookup на скриншоте выше, там все нормально.

Этот скрин ?

Если Вы посмотрите внимательней, на скрине видно, что пинг и трасса не получаются, из за того что не может узнать имя узла.

На этом же скрине видно, через некоторое время днс заработал. Возможно очистились несколько записей или тупить микротик перестал.

С кэшем можно самому проверить, создать маленький кэш, установить cache-max-ttl: 1 неделю или месяц. Если запросов будет много и кэш заполнен, будет ситуация описанная в теме.

Не проверял на последних версия ROS но на старых примерно так и было. 

 

 post-79164-016021300%201497897034.png

 

11 часов назад, Saab95 сказал:

Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них.

Вам же не сложно проверить ?  :)  Легко увеличить ? Каким образом ? размер флешки микротика ограничен.

Сделать маленький  размер кэша, cache-max-ttl: 1 месяц, и посмотреть как будет и будет ли отвечать ДНС миротика, когда кэш будет заполнен до предела.

При этом выдать только один ДНС адрес клиенту, айпи миротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@kosmich7 

Зачем ставить cache-max-ttl: 1 месяц ? Вы много видели записей с TTL больше суток ?

Почему вы решили, что DNS кэш РоутерОс на флеше держит, а не в ОЗУ ? 

 

 

Проверил: поставил размер кэша 64K (через терминал, винбокс менее 512К не дает), сбросил DNS кэш виндовс, DNS сервер один - микротик.

Запустил DNSBench (он быстро занял весь кэш), параллельно пробовал пинг случайных сайтов. Проблем не было, скриншот ниже.

RB3011, 6.43.8.

 

 

 

 

C111.PNG

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас