Jump to content
Калькуляторы

DNS Cache не открываются некоторые сайты

Добрый день. Имеем сеть(клиенты через хостпот на микротике выходят в инет), Клиентам выдается ип+днс(днс=гетвей=микротик). Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать. Также начинает работать, если прописать ручками ДНС гугла на клиентсокй машине.

По настройкам микротика:

 servers: 8.8.8.8,4.2.2.2
             dynamic-servers: 
       allow-remote-requests: yes
         max-udp-packet-size: 4096
        query-server-timeout: 2s
         query-total-timeout: 10s
      max-concurrent-queries: 100
 max-concurrent-tcp-sessions: 20
                  cache-size: 2048KiB
               cache-max-ttl: 1h
                  cache-used: 2022KiB

 

Также правила от флуда:

;;; Allow DNS request
     chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 
;;; Allow DNS request
     chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 

   ;;; DNS flood drop
     chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

Мучаю 2-й день. Направьте на путь истинный

Edited by TriKS

Share this post


Link to post
Share on other sites

Что выдает днс микротика, а что - 8.8.8.8. Далее плясать от этого

Share this post


Link to post
Share on other sites

То, что прислал клиент, сидящий через домашний роутер асус.

post-79164-060842900 1497537475_thumb.png

Share this post


Link to post
Share on other sites

Ну, ответы идентичны. Причем тут DNS?

 

Правило для DNS нужно всего одно - закрыть dport 53 в цепочке input и forward в мир

Share this post


Link to post
Share on other sites

При том, что после

/ip dns cache flush

все работает

Share this post


Link to post
Share on other sites

А не может жить у клиента хитрая Адварь?

Share this post


Link to post
Share on other sites

Нет, не может.

http://youtu.be/GTbvRpmYMHw

 

Проверил на нескольких машинах. 10, хр, 7. Результат один и тот же.

Edited by TriKS

Share this post


Link to post
Share on other sites

TriKS, почему не закрыли запросы dns по tcp извне? У вас практически весь кэш забит пустыми ptr-запросами, если вы уверены, что это не изнутри - для начала закройте и tcp/53. А вообще, имхо, проблема достойна багрепорта в mikrotik.

Share this post


Link to post
Share on other sites

Спасибо, прикрыл tcp. Понаблюдаю.

Share this post


Link to post
Share on other sites

Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту.

Микротик продолжает радовать :)

post-79164-016021300 1497897034_thumb.png

Share this post


Link to post
Share on other sites

Также правила от флуда:

;;; Allow DNS request
     chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 
;;; Allow DNS request
     chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 

   ;;; DNS flood drop
     chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

Мучаю 2-й день. Направьте на путь истинный

 

Нужен второй микротык для ДНС сервера

 

Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки.

Share this post


Link to post
Share on other sites

Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту.

Микротик продолжает радовать :)

 

twitch.tv на пинг и не ответит, www.twitch.tv ответит

Share this post


Link to post
Share on other sites

Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки.

Да хуета(прошу прощения, терпения нет), ну чес слово. Это что? нормальная работа?? Да если я блокировки сниму - да ДНС флудильня начинается, но каналу покую(он большой, прыгает на 100-150Мб), а ДНС один куй не работает(точнее работает, но чехлит как я описал). С какого хера эта поделка раньше(на старой РотуерОС) работала, на новой версии понадобился резолв доменных имен для организации блоклиста(Украина+Парашенка=наше фсё). Да, резолв в адреслист работает. А, сука, ДНС кэш - отпал. Поделка, а не роутерос. Хуета с БГП. 1 ядров полке. Ну хуета. И как бы вы, уважаемый сааб не рассказывали - покую. Одно чинят, другое ломается. В который раз убеждаюсь, что это для дома поделка.

 

Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота нах. И раздавать пользователям публичные гугловые и др. ДНС...

twitch.tv на пинг и не ответит, www.twitch.tv ответит

Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую.

Edited by TriKS

Share this post


Link to post
Share on other sites

Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота. И раздавать пользователям публичные гугловые и др. ДНС...

 

Конечно. Вы разве не видели схемки узла корпоративной сети или провайдера - там всегда 2 штуки днс сервера отдельными железками нарисованы.

Share this post


Link to post
Share on other sites

Это касается тех случаев, когда нужно свой домен анонсировать наружу. В данном случае это избыточно

Share this post


Link to post
Share on other sites

В данном случае это избыточно

Совершенно в дырочку!

Share this post


Link to post
Share on other sites

Можно, в качестве промежуточного решения, заблокировать PTR:

/ip firewall layer7-protocol
add name="DNS(PTR)" regexp="[\\x0\\x0c\\x0\\x01]\$"
/ip firewall filter
add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=udp
add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=tcp

Не думаю, что это очень обеременит CPU.

Share this post


Link to post
Share on other sites

ТС скорей всего не актуально, возможно кому то в дальнейшем будет полезно.

 

 

В 15.06.2017 в 14:55, TriKS сказал:

Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать.

Никто не обратил внимание ?

 Saab95 как же так ? :)

 

В 15.06.2017 в 14:55, TriKS сказал:

cache-size: 2048KiB

cache-max-ttl: 1h

cache-used: 2022KiB

Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения".

 

 

В 20.06.2017 в 14:21, TriKS сказал:

Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую.

Это подтверждает мое предположение.

 

Проверить можно, используя на устройстве клиента, какую то запись которая есть в кеше.

Share this post


Link to post
Share on other sites
11 hours ago, kosmich7 said:

Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения".

Отсутствие места в кэше никак не мешает отдавать клиенту результат запроса к серверу, указанному в настройках IP/DNS.

Посмотрите на выдачу nslookup на скриншоте выше, там все нормально.

 

Share this post


Link to post
Share on other sites

Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них.

Как вариант проблема может быть в хотспоте, который создает свои тысячи правил для работы.

Share this post


Link to post
Share on other sites
17 часов назад, McSea сказал:

Посмотрите на выдачу nslookup на скриншоте выше, там все нормально.

Этот скрин ?

Если Вы посмотрите внимательней, на скрине видно, что пинг и трасса не получаются, из за того что не может узнать имя узла.

На этом же скрине видно, через некоторое время днс заработал. Возможно очистились несколько записей или тупить микротик перестал.

С кэшем можно самому проверить, создать маленький кэш, установить cache-max-ttl: 1 неделю или месяц. Если запросов будет много и кэш заполнен, будет ситуация описанная в теме.

Не проверял на последних версия ROS но на старых примерно так и было. 

 

 post-79164-016021300%201497897034.png

 

11 часов назад, Saab95 сказал:

Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них.

Вам же не сложно проверить ?  :)  Легко увеличить ? Каким образом ? размер флешки микротика ограничен.

Сделать маленький  размер кэша, cache-max-ttl: 1 месяц, и посмотреть как будет и будет ли отвечать ДНС миротика, когда кэш будет заполнен до предела.

При этом выдать только один ДНС адрес клиенту, айпи миротика.

Share this post


Link to post
Share on other sites

@kosmich7 

Зачем ставить cache-max-ttl: 1 месяц ? Вы много видели записей с TTL больше суток ?

Почему вы решили, что DNS кэш РоутерОс на флеше держит, а не в ОЗУ ? 

 

 

Проверил: поставил размер кэша 64K (через терминал, винбокс менее 512К не дает), сбросил DNS кэш виндовс, DNS сервер один - микротик.

Запустил DNSBench (он быстро занял весь кэш), параллельно пробовал пинг случайных сайтов. Проблем не было, скриншот ниже.

RB3011, 6.43.8.

 

 

 

 

C111.PNG

Edited by McSea

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this