[Chrst]

Разговор идет примерно в таком ключе:

- У меня умерла кошечка, кто может сказать причину

- А она перед этим болела?

- Нет, была здорова. Только перед смертью из пасти шла кровь, глаза были на выкате.

- Может это что-то кишечное? Или отравление?

- Нет, она была здорова.

- Может это был клещ?

- Да нет, же, она была здорова. Только заметил, что незадолго до этого по ней машина проехала. Но это же не может быть причиной? Кто может точно сказать причину?

[7sergeynazarov7]

9 minutes ago, ayf said:

Я, конечно, 1001-х не видел, у меня просто 1002. Если я отдаю статический адрес клиенту, то у меня прописывается шлюз и маска. Никакой cisco-dns не нужен.

Ответ DNS request timed out.

timeout was 2 seconds.

host unkown

address 172.16.24.1

[ayf]

Только что, 7sergeynazarov7 сказал:

Ответ DNS request timed out.

timeout was 2 seconds.

host unkown

address 172.16.24.1

Конфиг выложите.

[7sergeynazarov7]

Just now, ayf said:

Конфиг выложите.

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you might need to uncomment the query-source
    // directive below.  Previous versions of BIND always asked
    // questions using port 53, but BIND 8.1 and later use an unprivileged
    // port by default.

    // query-source address * port 53;

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.
    forwarders { 8.8.8.8; 77.88.8.8; };

    version "";
    allow-transfer { none; };
    listen-on { 127.0.0.1; 172.16.8.12; 91.224.136.6; 172.16.24.1; };

    //allow-query { 0/0; };
    allow-query { any; };
    //allow-query-cache { none; };
    //recursion no;

    auth-nxdomain yes;
    listen-on-v6 { none; };
};
 

[ShyLion]

Если используется функционал с ISG, то ASR-ка умеет делать L4-redirect для DNS в том числе. Это нужно когда у пользователя нет доступа к левым DNS например.

Если в качестве DNS у клиентов прописана сама ASR-ка, то она умеет работать как промежуточный нейм-сервер (я бы не рекомендовал так делать).

 

2 hours ago, alibek said:

Cisco ASR не является ни рекурсором, не ресолвером, ни кеширующим DNS.

Никак.

При желании - является :) Хотя я бы не рекомендовал.

 

ip dns view default
 dns forwarder 8.8.8.8
 dns forwarding source-interface Loopback0
 dns forwarding
ip dns view-list DNS_LIST
 view default 10
  restrict source access-group dns_clients
ip dns server view-group DNS_LIST
ip dns server
ip access-list standard dns_clients
 permit 192.168.0.0 0.0.0.255

Так например.

 

@7sergeynazarov7 Коллега, из ваших постов совершенно непонятна топология вашей сети, наличие НАТа, его конфигурация, фаерволы и т.п.

 

[zhenya`]

Чините связность до вашего днс.

[VolanD666]

tcpdump то че говорит? Ну проще простого же дебажится, а тема на две страницы уже :)

[7sergeynazarov7]

14 hours ago, ShyLion said:

Если используется функционал с ISG, то ASR-ка умеет делать L4-redirect для DNS в том числе. Это нужно когда у пользователя нет доступа к левым DNS например.

Если в качестве DNS у клиентов прописана сама ASR-ка, то она умеет работать как промежуточный нейм-сервер (я бы не рекомендовал так делать).

 

При желании - является :) Хотя я бы не рекомендовал.

 

ip dns view default
 dns forwarder 8.8.8.8
 dns forwarding source-interface Loopback0
 dns forwarding
ip dns view-list DNS_LIST
 view default 10
  restrict source access-group dns_clients
ip dns server view-group DNS_LIST
ip dns server
ip access-list standard dns_clients
 permit 192.168.0.0 0.0.0.255

Так например.

 

@7sergeynazarov7 Коллега, из ваших постов совершенно непонятна топология вашей сети, наличие НАТа, его конфигурация, фаерволы и т.п.

 

ip dns view default 
Нет такой команды.

Cisco IOS XE Software, Version 03.12.00a.S - Standard Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(2)S0a, RELEASE SOFTWARE (fc1)
 

[VolanD666]

Дык АСР то тут причем. У вас ДНС не отвечает, верно?

[7sergeynazarov7]

Just now, VolanD666 said:

Дык АСР то тут причем. У вас ДНС не отвечает, верно?

Да, фактически интернет есть, просто Ip адресса не переводит в имена.

[guеst]

...и при этом у клиента в качестве используемого ДНС-сервера указано что? (когда не отвечает)

172.16.24.1  ?

а может лог с него тогда в это время посмотрим

Изменено 9 июня, 2018 пользователем guеst

[7sergeynazarov7]

1 minute ago, guеst said:

...и при этом у клиента в качестве используемого ДНС-сервера указано что? (когда не отвечает)

внутренний 172.16.24.1

[VolanD666]

Только что, 7sergeynazarov7 сказал:

внутренний 172.16.24.1

Его кто админит?

[7sergeynazarov7]

1 minute ago, VolanD666 said:

Его кто админит?

полный доступ есть у меня.

[VolanD666]

Вы не ответили на мой вопрос

[guеst]

traceroute c тестовой доходит до внутреннего ДНС-сервера?

ничего не фильтрует по дороге точно?

[7sergeynazarov7]

Just now, VolanD666 said:

Вы не ответили на мой вопрос

Админю я.

[ShyLion]

42 minutes ago, 7sergeynazarov7 said:

ip dns view default 
Нет такой команды.

Cisco IOS XE Software, Version 03.12.00a.S - Standard Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(2)S0a, RELEASE SOFTWARE (fc1)
 

Этот функционал есть в более поздних IOS. Но не факт что он вам нужен.

[VolanD666]

1 минуту назад, 7sergeynazarov7 сказал:

Админю я.

Что tcpdump говорит? Запросы от клиентов приходят на сервер, ответы уходит? В логах ДНС что? Я правильно понимаю, пинги от клиентов до ДНС сервера идут?

[7sergeynazarov7]

2 minutes ago, VolanD666 said:

Что tcpdump говорит? Запросы от клиентов приходят на сервер, ответы уходит? В логах ДНС что? Я правильно понимаю, пинги от клиентов до ДНС сервера идут?

Совершенно верно, пинги идут. 

 

tracert до DNS

1  <1мс <1мс <1мс  10.10.0.109

2   1 мс <1мс  <1мс 172.16.24.1

[guеst]

16 часов назад, 7sergeynazarov7 сказал:

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you might need to uncomment the query-source
    // directive below.  Previous versions of BIND always asked
    // questions using port 53, but BIND 8.1 and later use an unprivileged
    // port by default.

    // query-source address * port 53;

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.
    forwarders { 8.8.8.8; 77.88.8.8; };

    version "";
    allow-transfer { none; };
    listen-on { 127.0.0.1; 172.16.8.12; 91.224.136.6; 172.16.24.1; };

    //allow-query { 0/0; };
    allow-query { any; };
    //allow-query-cache { none; };
    //recursion no;

    auth-nxdomain yes;
    listen-on-v6 { none; };
};
 

я не помню как там с умолчаниями в bind

а рекурсивные запросы может  явно разрешить?

на всякий случай...

 

2 минуты назад, 7sergeynazarov7 сказал:

Совершенно верно, пинги идут. 

tcpdump -n -v host <Ip тестовой машины>

[7sergeynazarov7]

6 minutes ago, guеst said:

я не помню как там с умолчаниями в bind

а рекурсивные запросы может  явно разрешить?

на всякий случай...

 

tcpdump -n -v host <Ip тестовой машины>

root@rnat1:/var/log# tcpdump -n -v host 10.10.0.110
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
 

 

Запроса не видит по какой то причине.

 

1 minute ago, 7sergeynazarov7 said:

root@rnat1:/var/log# tcpdump -n -v host 10.10.0.110
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
 

 

Запроса не видит по какой то причине.
root@rnat1:/var/log# tcpdump -n -v host 10.10.0.110
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
83 packets received by filter
0 packets dropped by kernel
 

 

[guеst]

а этот запрос с eth0 интерфейса должен приходить? если нет то укажите

tcpdump -n -v -i eth<нужный>

 

[7sergeynazarov7]

7 minutes ago, guеst said:

а этот запрос с eth0 интерфейса должен приходить? если нет то укажите

tcpdump -n -v -i eth<нужный>

 

root@rnat1:/# tcpdump -n -v -i eth1 host 10.10.0.110
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
06:00:29.644987 IP (tos 0x0, ttl 127, id 9142, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:29.645030 IP (tos 0x0, ttl 127, id 9143, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:29.907947 IP (tos 0x0, ttl 127, id 9144, offset 0, flags [none], proto UDP (17), length 78)
    10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:00:29.907991 IP (tos 0xc0, ttl 64, id 45830, offset 0, flags [none], proto ICMP (1), length 106)
    172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86
    IP (tos 0x0, ttl 127, id 9144, offset 0, flags [none], proto UDP (17), length 78)
    10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:00:30.235874 IP (tos 0x0, ttl 127, id 9145, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51905 > 172.16.24.1.53: 40531+ AAAA? dnl-05.geo.kaspersky.com. (42)
06:00:30.241899 IP (tos 0x0, ttl 127, id 9147, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42)
06:00:30.241961 IP (tos 0x0, ttl 127, id 9146, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42)
06:00:30.645096 IP (tos 0x0, ttl 127, id 9148, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:30.645133 IP (tos 0x0, ttl 127, id 9149, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:31.242374 IP (tos 0x0, ttl 127, id 9150, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42)
06:00:31.242429 IP (tos 0xc0, ttl 64, id 45866, offset 0, flags [none], proto ICMP (1), length 98)
    172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 78
    IP (tos 0x0, ttl 127, id 9150, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42)
06:00:31.242438 IP (tos 0x0, ttl 127, id 9151, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42)
06:00:31.538707 IP (tos 0x0, ttl 127, id 9152, offset 0, flags [none], proto UDP (17), length 55)
    10.10.0.110.54681 > 172.16.24.1.53: 47500+ A? yandex.ru. (27)
06:00:31.645922 IP (tos 0x0, ttl 127, id 9153, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:31.645960 IP (tos 0x0, ttl 127, id 9154, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:32.242686 IP (tos 0x0, ttl 127, id 9155, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42)
06:00:32.242734 IP (tos 0xc0, ttl 64, id 45968, offset 0, flags [none], proto ICMP (1), length 98)
    172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 78
    IP (tos 0x0, ttl 127, id 9155, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51909 > 172.16.24.1.53: 22343+ AAAA? dnl-17.geo.kaspersky.com. (42)
06:00:32.242742 IP (tos 0x0, ttl 127, id 9156, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.51910 > 172.16.24.1.53: 61536+ A? dnl-17.geo.kaspersky.com. (42)
06:00:32.539016 IP (tos 0x0, ttl 127, id 9157, offset 0, flags [none], proto UDP (17), length 55)
    10.10.0.110.54681 > 172.16.24.1.53: 47500+ A? yandex.ru. (27)
06:00:32.646828 IP (tos 0x0, ttl 127, id 9158, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51907 > 172.16.24.1.53: 3389+ AAAA? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:32.646868 IP (tos 0x0, ttl 127, id 9159, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.51908 > 172.16.24.1.53: 21025+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:33.244552 IP (tos 0x0, ttl 127, id 9160, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.57509 > 172.16.24.1.53: 5151+ A? dnl-17.geo.kaspersky.com. (42)
06:00:33.244591 IP (tos 0xc0, ttl 64, id 45997, offset 0, flags [none], proto ICMP (1), length 98)
    172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 78
    IP (tos 0x0, ttl 127, id 9160, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.57509 > 172.16.24.1.53: 5151+ A? dnl-17.geo.kaspersky.com. (42)
06:00:33.540243 IP (tos 0x0, ttl 127, id 9161, offset 0, flags [none], proto UDP (17), length 55)
    10.10.0.110.54681 > 172.16.24.1.53: 47500+ A? yandex.ru. (27)
06:00:33.647260 IP (tos 0x0, ttl 127, id 9162, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.61471 > 172.16.24.1.53: 6798+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:33.909740 IP (tos 0x0, ttl 127, id 9163, offset 0, flags [none], proto UDP (17), length 78)
    10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:00:33.909792 IP (tos 0xc0, ttl 64, id 46068, offset 0, flags [none], proto ICMP (1), length 106)
    172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86
    IP (tos 0x0, ttl 127, id 9163, offset 0, flags [none], proto UDP (17), length 78)
    10.10.0.110.51904 > 172.16.24.1.53: 31264+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:00:34.075646 IP (tos 0x0, ttl 127, id 9164, offset 0, flags [none], proto UDP (17), length 60)
    10.10.0.110.55850 > 172.16.24.1.53: 65495+ A? www.rambler.ru. (32)
06:00:34.245557 IP (tos 0x0, ttl 127, id 9165, offset 0, flags [none], proto UDP (17), length 70)
    10.10.0.110.57509 > 172.16.24.1.53: 5151+ A? dnl-17.geo.kaspersky.com. (42)
06:00:34.647678 IP (tos 0x0, ttl 127, id 9166, offset 0, flags [none], proto UDP (17), length 83)
    10.10.0.110.61471 > 172.16.24.1.53: 6798+ A? ksn-crypto-kas-geo.kaspersky-labs.com. (55)
06:00:35.076009 IP (tos 0x0, ttl 127, id 9167, offset 0, flags [none], proto UDP (17), length 60)
    10.10.0.110.55850 > 172.16.24.1.53: 65495+ A? www.rambler.ru. (32)
06:00:35.076064 IP (tos 0xc0, ttl 64, id 46234, offset 0, flags [none], proto ICMP (1), length 88)
    172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68
    IP (tos 0x0, ttl 127, id 9167, offset 0, flags [none], proto UDP (17), length 60)
    10.10.0.110.55850 > 172.16.24.1.53: 65495+ A? www.rambler.ru. (32)
 

[guеst]

ну тут чётко видно, что запросы от 10.10.0.110 к 172.16.42.1 на порт 53 идут, а вот ответа обратно ни одного

только ответы на icmp udp port 53 unreachable

 

 

зафильтрован у вас 53 порт

смотрите 

iptables -L -n | grep 53