Chrst Опубликовано 8 июня, 2018 · Жалоба Разговор идет примерно в таком ключе: - У меня умерла кошечка, кто может сказать причину - А она перед этим болела? - Нет, была здорова. Только перед смертью из пасти шла кровь, глаза были на выкате. - Может это что-то кишечное? Или отравление? - Нет, она была здорова. - Может это был клещ? - Да нет, же, она была здорова. Только заметил, что незадолго до этого по ней машина проехала. Но это же не может быть причиной? Кто может точно сказать причину? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 8 июня, 2018 · Жалоба 9 minutes ago, ayf said: Я, конечно, 1001-х не видел, у меня просто 1002. Если я отдаю статический адрес клиенту, то у меня прописывается шлюз и маска. Никакой cisco-dns не нужен. Ответ DNS request timed out. timeout was 2 seconds. host unkown address 172.16.24.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 8 июня, 2018 · Жалоба Только что, 7sergeynazarov7 сказал: Ответ DNS request timed out. timeout was 2 seconds. host unkown address 172.16.24.1 Конфиг выложите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 8 июня, 2018 · Жалоба Just now, ayf said: Конфиг выложите. options { directory "/var/cache/bind"; // If there is a firewall between you and nameservers you want // to talk to, you might need to uncomment the query-source // directive below. Previous versions of BIND always asked // questions using port 53, but BIND 8.1 and later use an unprivileged // port by default. // query-source address * port 53; // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. forwarders { 8.8.8.8; 77.88.8.8; }; version ""; allow-transfer { none; }; listen-on { 127.0.0.1; 172.16.8.12; 91.224.136.6; 172.16.24.1; }; //allow-query { 0/0; }; allow-query { any; }; //allow-query-cache { none; }; //recursion no; auth-nxdomain yes; listen-on-v6 { none; }; }; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 8 июня, 2018 · Жалоба Если используется функционал с ISG, то ASR-ка умеет делать L4-redirect для DNS в том числе. Это нужно когда у пользователя нет доступа к левым DNS например. Если в качестве DNS у клиентов прописана сама ASR-ка, то она умеет работать как промежуточный нейм-сервер (я бы не рекомендовал так делать). 2 hours ago, alibek said: Cisco ASR не является ни рекурсором, не ресолвером, ни кеширующим DNS. Никак. При желании - является :) Хотя я бы не рекомендовал. ip dns view default dns forwarder 8.8.8.8 dns forwarding source-interface Loopback0 dns forwarding ip dns view-list DNS_LIST view default 10 restrict source access-group dns_clients ip dns server view-group DNS_LIST ip dns server ip access-list standard dns_clients permit 192.168.0.0 0.0.0.255 Так например. @7sergeynazarov7 Коллега, из ваших постов совершенно непонятна топология вашей сети, наличие НАТа, его конфигурация, фаерволы и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 8 июня, 2018 · Жалоба Чините связность до вашего днс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 8 июня, 2018 · Жалоба tcpdump то че говорит? Ну проще простого же дебажится, а тема на две страницы уже :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 14 hours ago, ShyLion said: Если используется функционал с ISG, то ASR-ка умеет делать L4-redirect для DNS в том числе. Это нужно когда у пользователя нет доступа к левым DNS например. Если в качестве DNS у клиентов прописана сама ASR-ка, то она умеет работать как промежуточный нейм-сервер (я бы не рекомендовал так делать). При желании - является :) Хотя я бы не рекомендовал. ip dns view default dns forwarder 8.8.8.8 dns forwarding source-interface Loopback0 dns forwarding ip dns view-list DNS_LIST view default 10 restrict source access-group dns_clients ip dns server view-group DNS_LIST ip dns server ip access-list standard dns_clients permit 192.168.0.0 0.0.0.255 Так например. @7sergeynazarov7 Коллега, из ваших постов совершенно непонятна топология вашей сети, наличие НАТа, его конфигурация, фаерволы и т.п. ip dns view default Нет такой команды. Cisco IOS XE Software, Version 03.12.00a.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(2)S0a, RELEASE SOFTWARE (fc1) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба Дык АСР то тут причем. У вас ДНС не отвечает, верно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба Just now, VolanD666 said: Дык АСР то тут причем. У вас ДНС не отвечает, верно? Да, фактически интернет есть, просто Ip адресса не переводит в имена. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 (изменено) · Жалоба ...и при этом у клиента в качестве используемого ДНС-сервера указано что? (когда не отвечает) 172.16.24.1 ? а может лог с него тогда в это время посмотрим Изменено 9 июня, 2018 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 1 minute ago, guеst said: ...и при этом у клиента в качестве используемого ДНС-сервера указано что? (когда не отвечает) внутренний 172.16.24.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба Только что, 7sergeynazarov7 сказал: внутренний 172.16.24.1 Его кто админит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 1 minute ago, VolanD666 said: Его кто админит? полный доступ есть у меня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба Вы не ответили на мой вопрос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба traceroute c тестовой доходит до внутреннего ДНС-сервера? ничего не фильтрует по дороге точно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба Just now, VolanD666 said: Вы не ответили на мой вопрос Админю я. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 июня, 2018 · Жалоба 42 minutes ago, 7sergeynazarov7 said: ip dns view default Нет такой команды. Cisco IOS XE Software, Version 03.12.00a.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(2)S0a, RELEASE SOFTWARE (fc1) Этот функционал есть в более поздних IOS. Но не факт что он вам нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба 1 минуту назад, 7sergeynazarov7 сказал: Админю я. Что tcpdump говорит? Запросы от клиентов приходят на сервер, ответы уходит? В логах ДНС что? Я правильно понимаю, пинги от клиентов до ДНС сервера идут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 2 minutes ago, VolanD666 said: Что tcpdump говорит? Запросы от клиентов приходят на сервер, ответы уходит? В логах ДНС что? Я правильно понимаю, пинги от клиентов до ДНС сервера идут? Совершенно верно, пинги идут. tracert до DNS 1 <1мс <1мс <1мс 10.10.0.109 2 1 мс <1мс <1мс 172.16.24.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба 16 часов назад, 7sergeynazarov7 сказал: options { directory "/var/cache/bind"; // If there is a firewall between you and nameservers you want // to talk to, you might need to uncomment the query-source // directive below. Previous versions of BIND always asked // questions using port 53, but BIND 8.1 and later use an unprivileged // port by default. // query-source address * port 53; // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. forwarders { 8.8.8.8; 77.88.8.8; }; version ""; allow-transfer { none; }; listen-on { 127.0.0.1; 172.16.8.12; 91.224.136.6; 172.16.24.1; }; //allow-query { 0/0; }; allow-query { any; }; //allow-query-cache { none; }; //recursion no; auth-nxdomain yes; listen-on-v6 { none; }; }; я не помню как там с умолчаниями в bind а рекурсивные запросы может явно разрешить? на всякий случай... 2 минуты назад, 7sergeynazarov7 сказал: Совершенно верно, пинги идут. tcpdump -n -v host <Ip тестовой машины> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 6 minutes ago, guеst said: я не помню как там с умолчаниями в bind а рекурсивные запросы может явно разрешить? на всякий случай... tcpdump -n -v host <Ip тестовой машины> root@rnat1:/var/log# tcpdump -n -v host 10.10.0.110 tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes Запроса не видит по какой то причине. 1 minute ago, 7sergeynazarov7 said: root@rnat1:/var/log# tcpdump -n -v host 10.10.0.110 tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes Запроса не видит по какой то причине. root@rnat1:/var/log# tcpdump -n -v host 10.10.0.110 tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 83 packets received by filter 0 packets dropped by kernel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба а этот запрос с eth0 интерфейса должен приходить? если нет то укажите tcpdump -n -v -i eth<нужный> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 7 minutes ago, guеst said: а этот запрос с eth0 интерфейса должен приходить? если нет то укажите tcpdump -n -v -i eth<нужный> root@rnat1:/# tcpdump -n -v -i eth1 host 10.10.0.110 tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 06:00:29.644987 IP (tos 0x0, ttl 127, id 9142, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:29.645030 IP (tos 0x0, ttl 127, id 9143, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:29.907947 IP (tos 0x0, ttl 127, id 9144, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:00:29.907991 IP (tos 0xc0, ttl 64, id 45830, offset 0, flags [none], proto ICMP (1), length 106) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86 IP (tos 0x0, ttl 127, id 9144, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:00:30.235874 IP (tos 0x0, ttl 127, id 9145, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51905 > 172.16.24.1.53: 40531+ AAAA? dnl-05.geo.kaspersky.com. (42) 06:00:30.241899 IP (tos 0x0, ttl 127, id 9147, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42) 06:00:30.241961 IP (tos 0x0, ttl 127, id 9146, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42) 06:00:30.645096 IP (tos 0x0, ttl 127, id 9148, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:30.645133 IP (tos 0x0, ttl 127, id 9149, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:31.242374 IP (tos 0x0, ttl 127, id 9150, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42) 06:00:31.242429 IP (tos 0xc0, ttl 64, id 45866, offset 0, flags [none], proto ICMP (1), length 98) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 78 IP (tos 0x0, ttl 127, id 9150, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42) 06:00:31.242438 IP (tos 0x0, ttl 127, id 9151, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42) 06:00:31.538707 IP (tos 0x0, ttl 127, id 9152, offset 0, flags [none], proto UDP (17), length 55) 10.10.0.110.54681 > 172.16.24.1.53: 47500+ A? yandex.ru. (27) 06:00:31.645922 IP (tos 0x0, ttl 127, id 9153, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:31.645960 IP (tos 0x0, ttl 127, id 9154, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:32.242686 IP (tos 0x0, ttl 127, id 9155, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42) 06:00:32.242734 IP (tos 0xc0, ttl 64, id 45968, offset 0, flags [none], proto ICMP (1), length 98) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 78 IP (tos 0x0, ttl 127, id 9155, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42) 06:00:32.242742 IP (tos 0x0, ttl 127, id 9156, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42) 06:00:32.539016 IP (tos 0x0, ttl 127, id 9157, offset 0, flags [none], proto UDP (17), length 55) 10.10.0.110.54681 > 172.16.24.1.53: 47500+ A? yandex.ru. (27) 06:00:32.646828 IP (tos 0x0, ttl 127, id 9158, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:32.646868 IP (tos 0x0, ttl 127, id 9159, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:33.244552 IP (tos 0x0, ttl 127, id 9160, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.57509 > 172.16.24.1.53: 5151+ A? dnl-17.geo.kaspersky.com. (42) 06:00:33.244591 IP (tos 0xc0, ttl 64, id 45997, offset 0, flags [none], proto ICMP (1), length 98) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 78 IP (tos 0x0, ttl 127, id 9160, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.57509 > 172.16.24.1.53: 5151+ A? dnl-17.geo.kaspersky.com. (42) 06:00:33.540243 IP (tos 0x0, ttl 127, id 9161, offset 0, flags [none], proto UDP (17), length 55) 10.10.0.110.54681 > 172.16.24.1.53: 47500+ A? yandex.ru. (27) 06:00:33.647260 IP (tos 0x0, ttl 127, id 9162, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.61471 > 172.16.24.1.53: 6798+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:33.909740 IP (tos 0x0, ttl 127, id 9163, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:00:33.909792 IP (tos 0xc0, ttl 64, id 46068, offset 0, flags [none], proto ICMP (1), length 106) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86 IP (tos 0x0, ttl 127, id 9163, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:00:34.075646 IP (tos 0x0, ttl 127, id 9164, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.55850 > 172.16.24.1.53: 65495+ A? www.rambler.ru. (32) 06:00:34.245557 IP (tos 0x0, ttl 127, id 9165, offset 0, flags [none], proto UDP (17), length 70) 10.10.0.110.57509 > 172.16.24.1.53: 5151+ A? dnl-17.geo.kaspersky.com. (42) 06:00:34.647678 IP (tos 0x0, ttl 127, id 9166, offset 0, flags [none], proto UDP (17), length 83) 10.10.0.110.61471 > 172.16.24.1.53: 6798+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55) 06:00:35.076009 IP (tos 0x0, ttl 127, id 9167, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.55850 > 172.16.24.1.53: 65495+ A? www.rambler.ru. (32) 06:00:35.076064 IP (tos 0xc0, ttl 64, id 46234, offset 0, flags [none], proto ICMP (1), length 88) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68 IP (tos 0x0, ttl 127, id 9167, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.55850 > 172.16.24.1.53: 65495+ A? www.rambler.ru. (32) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба ну тут чётко видно, что запросы от 10.10.0.110 к 172.16.42.1 на порт 53 идут, а вот ответа обратно ни одного только ответы на icmp udp port 53 unreachable зафильтрован у вас 53 порт смотрите iptables -L -n | grep 53 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...