SKFREE

Troubleshooting - dns forwarder mikrotik
Chalan - 18.02.2014 - 14:31
Post subject: dns forwarder mikrotik
pouziva niekto na sieti? ja som nedavno narazil na idiotsky problem...

moja lokalna brana je mk na ktorej mi bezi dns kde mam ip hlavnej brany (tiez mk)...

na hlavnej brane bezi tiez dns kde mam ip mojich linxovych dns serverov...

ja ako klient mam nastavene dns mojej brany. za posledny tyzden som sa vsak stretol s pomalym resolvingom... podotykam ze dovtedy nebol ziaden problem...

tak som testoval:

ked sa cez nslookup pytam na nieco priamo mojho linux dns servera odpoved dostanem okamzite.

ked sa vsak pytatm lokalneho routera alebo hlavnej brany trva to niekedy aj 4sek...

ked na mojej lokalnej brane (mk) zmenim v dns ip hlavnej brany za ip linux dns servera a pytam sa cez nslookup mojej lokalnej brany ide to ako blesk.

kedze mam ip hlavnej brany nastavenu na vsetkych lokalnych routeroch, spravil som docasne presmerovanie dns requestov ktore prichadzaju na hlavnu branu na linux dns server a ide to ako blesk...

cital som na mk fore ze mikrotik ma cudne dns problemy preto som sa chcel spytat vas ci s tym mate podobne skusenosti alebo vam to slape ok...

ros hlavnej brany je 5.26 a je po nocnom restarte... cez vikend sa pokusim nahodit 3.10 kedze v changelogu som nasiel par veci co sa dns tyka, tak uvidim ci to pomoze...
midnight_man - 18.02.2014 - 15:41
Post subject:
DNS forwardy mame v kazdej dedine a nikdy s tym nebol ziadny problem Wink
Chalan - 18.02.2014 - 16:25
Post subject:
ved ani ja som doteraz ziaden problem nemal... fakt netusim preco to prestalo fungovat... pouzivas nejake specialne nastavenia toho dns forwardera na MK? ci to co je default?
midnight_man - 18.02.2014 - 21:00
Post subject:
tam sa toho moc nastavit neda, akurat podvihneme kapacitu dat ktoru to drzi a remote request.
euro - 19.02.2014 - 07:35
Post subject:
S tymto problemom sme sa stretli prave niekde okolo ver. 3.1, ako rozumnejsie mi prislo riesenie nasmerovat u klientov dns na nase linux dns servery ako riesit preco nejde korektne forward na MT. I ked nechapem kde moze byt problem nakolko si myslim ze MT pouziva rovnako bind ako aj ostatni.
jurkoo - 19.02.2014 - 09:19
Post subject:
presne ako pise euro, tiez som s tym mal problem na MK, tak som vsetkych nasmeroval na linuxovy stroj s bindom a odvtedy to ide v poriadku.
nejake problemy s DNS na MK vraj vsak boli opravene v nejakej neskorsej verzii ROS.
neos - 19.02.2014 - 09:56
Post subject:
Ja som mal problemy s DNS aj s ROS 6.7 na CCR. Predtym sa klienti obracali na linux a nikdy nebol problem. Teraz sa tiez obracaju znova na linux a DNS na MK nemienim viacej pouzivat. Spravalo sa to fest divne, problem nemali pausalne vsetci, len urcita cast zakaznikov. Prestudoval som MK fora a akurat som zisitil, ze problem existuje napriec roznymi verziami minimalne od 5.x a ziadne systemove riesenie som tam nevidel. Nemienim teda laborovat na produkcnej sieti s bugmi mikrotik, len ma to stalo kopu prace zmenit kazdemu na routri DNS, lebo som nasadil CCR miesto linux gw. S tymto ma mikrotik pekne nasral..
Chalan - 19.02.2014 - 10:43
Post subject:
no ved presne... ja som to poriesil presmerovanim dns requestov na hlavnej brane na linux bind, cize nemusim menit ipcky dnsiek na lokalnych routeroch... ale asi to nieje najcistejsie riesenie... neos ak ti to robi problem aj na 6.7 nema vyznam upgradovat lebo od tej verzie hore ziadne zmeny changelogu co sa tyka dns nevidim... asi na lokalny dns cache na mikrotikoch zabudnem a postupne to popreklapam na linux stroje...
Piti - 18.04.2014 - 14:18
Post subject:
Ja som mal ten isty problem. Ako hlavnu GW mam CCR (6.11) a tiez mi to vsetko slo OK a naraz jednej peknej noci sa to zacalo zj...t. Ak som si dal iny DNS ako MK tak to slo v poriadku. Tak som lietal po nete a hladal ci nieje nieco s nastaveniami cache alebo podobnych veci. Az som na jednom fore nasiel aby som zakazal nove DNS requesty z Internetu pre moj DNS na GW. Spravil som to a zacalo to bezat v pohode dalej ako to slo pred problemom. Tak skuste toto spravit.
Chalan - 09.05.2014 - 12:03
Post subject:
ahoj ja mam pravidlo

Code: ›
add action=drop chain=input comment="zakazeme dns requesty z vonku na tento MK" disabled=no dst-port=53 in-interface=ether11 protocol=udp
add action=drop chain=input disabled=no dst-port=53 in-interface=ether11 protocol=tcp

ale nepomohlo to nicomu, ake konkretne pravidlo mas ty ktore ti pomohlo? diki
kemper - 18.05.2014 - 16:07
Post subject:
Chalan wrote: ›ahoj ja mam pravidlo

Code: ›
add action=drop chain=input comment="zakazeme dns requesty z vonku na tento MK" disabled=no dst-port=53 in-interface=ether11 protocol=udp
add action=drop chain=input disabled=no dst-port=53 in-interface=ether11 protocol=tcp

ale nepomohlo to nicomu, ake konkretne pravidlo mas ty ktore ti pomohlo? diki


Zakaz 53 z vonku na vsetky IP - centralny router . Poziadavky idu priamo na klientsek zariadenia ... Cez dns server asi lezu odpovede spat do sveta ... Takto sa to chovalo na ver IP. Neverejne som nejako neskumal , kedze to po tomto kroku prestalo .

mp
psichac - 18.05.2014 - 18:14
Post subject:
takto by to mohlo byť?
Code: › chain=input action=drop protocol=udp src-address-list=!block dst-port=53

pričom address list block = lokálna sieť
kemper - 19.05.2014 - 09:29
Post subject:
psichac wrote: ›takto by to mohlo byť?
Code: › chain=input action=drop protocol=udp src-address-list=!block dst-port=53

pričom address list block = lokálna sieť


Ja mam forward , in inteface WAN . Tak ako si to napisal ti to bude blokovat na vsekych sietovkach vstup 53 ...
Chalan - 19.05.2014 - 09:37
Post subject:
ale forwardom zakazes vsetky dns requesty smerom ku klientom, nemas tam takych co maju vlastne dns servre?
kemper - 19.05.2014 - 10:09
Post subject:
Nie vlastne DNS nemaju , ak by niekto potreboval , tak nieje problem dat na niektore IP accept ...
Chalan - 19.05.2014 - 12:32
Post subject:
ok, cize ked si to takto forwardom zakazal zacal ti dns forwarder na mk fungovat spravne? tak ako pisal piti?
kemper - 19.05.2014 - 15:17
Post subject:
Chalan wrote: ›ok, cize ked si to takto forwardom zakazal zacal ti dns forwarder na mk fungovat spravne? tak ako pisal piti?


mam presmerovanie 53 na bind , po bloknuti prestali chodi blbosti
psichac - 19.05.2014 - 21:20
Post subject:
kemper wrote: ›
psichac wrote: ›takto by to mohlo byť?
Code: › chain=input action=drop protocol=udp src-address-list=!block dst-port=53

pričom address list block = lokálna sieť


Ja mam forward , in inteface WAN . Tak ako si to napisal ti to bude blokovat na vsekych sietovkach vstup 53 ...

hej, blokovať ale nie pre moju lokálnu sieť kedže je tam tá negácia (!block), a to mi nevadí. Takže je to ok, ja som trochu začiatočník s mk tak som sa pre istotu opýtal Smile
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits