+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Кэш DNS не работает.

Кэш DNS не работает., RouterOS

shielder

Guest

22.10.2005 14:47:00

Привет, вот моя конфигурация DNS:

primary-dns: 202.155.0.10
secondary-dns: 202.43.160.50
allow-remote-requests: yes
cache-size: 2048 kB
cache-max-ttl: 7d
cache-used: 433 kB

Когда я указываю клиенту DNS через 10.0.0.1 (IP MikroTik), некоторые сайты не разрешаются, но когда я указываю клиенту на DNS провайдера (202.43.160.50), все работает отлично. Что я сделал не так? Не мог бы кто-нибудь помочь, пожалуйста?

Спасибо вам большое.

sergejs Guest	#2 0 23.10.2005 12:27:00 Попробуй установить 202.43.160.50 как основной DNS-сервер и посмотри, что произойдет.

shielder

Guest

23.10.2005 14:50:00

Спасибо за ответ, я изменил его на 202.43.160.50 как основной DNS, но всё то же самое происходит, некоторые сайты всё равно не разрешаются, похоже, мой DNS-запрос не перенаправляется на DNS моего провайдера. Может, кто-нибудь может помочь? #dns #networktroubleshooting

jaytcsd Guest	#4 0 24.10.2005 02:16:00 Загляни в IP/DHCP-сервер, вкладку "Сети". Там есть поля для настроек DNS тоже. ip dhcp-server network> print ADDRESS GATEWAY DNS-SERVER WINS-SERVER DOMAIN 0 ;;; hotspot network 10.20.7.0/24 10.20.7.1 66.5.1.205.100 66.5.1.206.100

shielder Guest	#5 0 24.10.2005 13:26:00 У всех моих клиентов настроены статические IP-адреса, никто не использует DHCP, так что, думаю, дело не в этом. Но спасибо за ответ.

andrewluck Guest	#6 0 24.10.2005 14:09:00 Есть ли у вас какие-нибудь правила брандмауэра, перечисленные либо в цепочке входящих, либо в цепочке исходящих запросов? Если да, не могли бы вы выложить их здесь? С уважением, Эндрю.

shielder

Guest

25.10.2005 09:21:00

Я использую source-nat для всех своих клиентов. Вот моя конфигурация:

0 dst-address=202.78.xxx.xxx/32 action=nat to-src-address=202.78.xxx.xxx
1 out-interface=Internet flow=Flow-planet-http action=nat to-src-address=219.83.xxx.xxx
2 out-interface=Internet flow=Flow-WR-Http action=nat to-src-address=219.83.xxx.xxx
3 out-interface=Internet flow=Flow-WR-Irc action=nat to-src-address=219.83.xxx.xxx
4 src-address=10.0.0.3/32 out-interface=Internet action=nat to-src-address=219.83.96.51
5 src-address=10.0.0.5/32 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx
6 src-address=10.0.0.8/32 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx
7 src-address=10.0.0.10/32 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx
8 ;;; Down Warnet src-address=10.0.0.0/19 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx-219.83.xxx.xxx
9 ;;; Down Personal src-address=10.10.0.0/19 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx-219.83.xxx.xxx
10 src-address=10.10.1.16/32 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx
11 src-address=10.10.1.31/32 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx
12 src-address=10.10.1.35/32 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx
13 src-address=10.20.0.0/19 out-interface=Internet action=nat to-src-address=219.83.xxx.xxx
14 src-address=10.0.0.2/32 action=nat to-src-address=202.78.xxx.xxx-202.78.xxx.xxx
15 src-address=10.0.0.3/32 action=nat to-src-address=202.78.xxx.xxx
16 src-address=10.0.0.4/32 action=nat to-src-address=202.78.xxx.xxx
17 src-address=10.0.0.5/32 action=nat to-src-address=202.78.xxx.xxx
18 src-address=10.0.0.6/32 action=nat to-src-address=202.78.xxx.xxx
19 src-address=10.0.0.7/32 action=nat to-src-address=202.78.xxx.xxx
20 src-address=10.0.0.8/32 action=nat to-src-address=202.78.xxx.xxx
21 src-address=10.0.0.10/32 action=nat to-src-address=202.78.xxx.xxx
22 src-address=10.0.0.0/19 action=masquerade
23 src-address=10.10.0.0/19 action=nat to-src-address=202.78.xxx.xxx

Нужно ли добавить правило для переадресации DNS-запросов на какой-то IP? Эту проблему я не могу решить уже несколько месяцев. Пожалуйста, помогите мне, большое спасибо.

andrewluck

Guest

25.10.2005 10:15:00

У меня возникают трудности с пониманием того, что ты пытаешься сделать с этим набором NAT для источника и назначения. Было бы проще, если бы ты скрыл первые 3 цифры, которые одинаковые в каждом случае, вместо последних 6, которые показывают детали происходящего. В частности: можешь объяснить, что делает правило 0? Правило 14 NAT преобразует один IP в диапазон. Правило 22 неполное, так как не указывает интерфейс. Правило 22 также проблема, потому что в целом либо ты используешь source NAT, либо используешь masquerade. Однако, я подозреваю, что причиной твоих проблем является правило 0. 202.78.xxx.xxx включает DNS-серверы твоего провайдера, и ты меняешь исходный адрес пакетов, предназначенных для этих серверов. Это означает, что, когда они отвечают на твои запросы, маршрутизатор, вероятно, не получает их. Кроме того, можешь подтвердить, какие правила брандмауэра у тебя есть в цепочках INPUT и OUTPUT? Поскольку DNS-трафик в DNS-кэш проходит через эти цепочки, это действительно важно. С уважением, Andrew.

Hugh_Hartman Guest	#9 0 25.10.2005 10:39:00 Измени основной DNS: с 202.155.0.10 на 10.0.0.1 (IP Mikrotik), сделай вторичный DNS тоже 202.155.0.10 и попробуй эти настройки на стороне клиента.

ericsooter Guest	#10 0 25.10.2005 20:47:00 Полагаю, ты используешь DHCP с NAT? Там есть опция в настройках твоей сети DHCP, которая определяет, какой DNS-номер выдавать клиентам. Убедись, что он выдает себя как основной. Эрик.

shielder

Guest

#11

26.10.2005 05:05:00

Прошу прощения за то, что замучил вас всеми этими объяснениями про файрвол и xxx.xxx, но давайте я попробую объяснить, что вас смутило:

Правило 0: оно нужно для NAT моих клиентских запросов на один из моих серверов (126), адрес которого находится вне моего IP-пула. То есть, все мои клиентские запросы, адресованные 126, будут перенаправляться как 125. На самом деле, думаю, это не основная проблема, потому что IP 126 не входит в мой IP-пул, поэтому это не должно влиять на разрешение DNS.

Мои DNS-запросы идут на IP моего Mikrotik (10.0.0.1). Когда я направил DNS-запросы моего клиента на 10.0.0.1, некоторые сайты он смог разрешить, но большинство – нет.

Хью, если попробовать установить для клиента вторичный DNS на DNS моего провайдера, думаю, должно сработать, но проблема с DNS все равно остается, то есть DNS все равно не разрешает.

andrewluck

Guest

#12

26.10.2005 19:18:00

Окей, а как насчёт правил 14 и 22? И ты всё ещё не ответил на мой основной вопрос: Можешь, пожалуйста, подтвердить, какие правила у тебя настроены в цепях INPUT и OUTPUT файрвола? Так как DNS-трафик в направлении и из DNS-кэша проходит через эти цепи, это действительно важно. С уважением, Эндрю.

shielder

Guest

#13

27.10.2005 04:13:00

Правило 14 — для "наттинга" моего клиента в диапазон IP-адресов, чтобы они могли подключиться к IRC-серверу, так как IRC-сервер позволяет подключиться только нескольким компьютерам, поэтому я должен предоставить ему диапазон IP-адресов. Правило 22 — для маскирада моего клиента из сети 10.0.0.0/19 под один IP-адрес. Вот моя настройка Mikrotik: ISP ↔ Mikrotik <–Wireless–> Клиент (10.xx.xx.xx) ↔ Компьютер (более 10). В правилах брандмауэра в цепочках INPUT и OUTPUT у меня никаких настроек нет. Я просто настроил в цепочке FORWARD следующим образом: 0 X src-address=10.0.0.2/32 dst-address=:80 protocol=tcp action=drop 1 dst-address=:30200 protocol=tcp action=drop 2 dst-address=:137-139 protocol=tcp action=drop 3 dst-address=:1433 protocol=tcp action=drop 4 src-address=10.10.0.0/19 p2p=all-p2p action=drop 5 p2p=all-p2p action=drop 6 dst-address=:445 protocol=tcp action=drop 7 dst-address=:135 protocol=tcp action=drop 8 src-address=10.10.1.15/32 dst-address=:1025 protocol=tcp action=drop 9 src-address=10.10.1.15/32 dst-address=:6129 protocol=tcp action=drop 10 src-address=10.10.1.24/32:1279 protocol=tcp action=drop 11 src-address=10.10.1.18/32 dst-address=38.113.212.216/32 action=drop 12 src-address=10.0.0.8/32 dst-address=66.218.66.240/32 action=drop 13 src-address=10.0.0.5/32 dst-address=202.43.167.72/32 action=drop 14 src-address=10.0.0.8/32 dst-address=4.68.212.13/32 action=drop Нужно ли мне добавить какие-то правила в цепочки INPUT или OUTPUT, чтобы DNS работал? С уважением, Lim

andrewluck

Guest

#14

27.10.2005 17:53:00

Лим, если у тебя пустые цепочки INPUT и OUTPUT, то с этой проблемой ты в порядке. Весь трафик по умолчанию проходит. Но с точки зрения безопасности это очень плохо. Я не вижу никаких хороших причин, по которым у тебя могут быть проблемы с DNS. Должно просто работать. Твои правила Source NAT и Masquerade кажутся мне излишне сложными. У меня есть подсеть с маской /29. Моя внутренняя LAN и DMZ перенаправляются через Source NAT на два IP-адреса с использованием всего двух правил:

0 ;;; NAT для внутренней LAN
chain=srcnat out-interface=Internet src-address=192.168.1.0/24
action=src-nat to-addresses=xxx.xxx.230.205 to-ports=0-65535

1 ;;; NAT для DMZ
chain=srcnat out-interface=Internet src-address=192.168.2.0/24
action=src-nat to-addresses=xxx.xxx.230.201 to-ports=0-65535

Я бы посоветовал попробовать упростить твои текущие правила и решить, используешь ли ты Masquerade ИЛИ Source NAT. Не рекомендую смешивать оба вместе.

С уважением,
Эндрю

shielder

Guest

#15

28.10.2005 04:15:00

Большое спасибо, andrew! Моя главная цель, когда я настраиваю такое количество соединений, в том, чтобы у разных клиентов были разные IP-адреса. Например, чтобы 10.0.0.2 шёл на xx.xx.xx.116, а 10.0.0.3 — на xx.xx.xx.118. Вот это моя основная цель. Судя по DNS-кэшу, DNS на Mikrotik кэшируется и работает хорошо, но когда я указываю DNS-сервер клиента на 10.0.0.1 (IP Mikrotik), он не может разрешить большинство сайтов. Только небольшой процент сайтов, вроде Yahoo, разрешается Mikrotik DNS идеально. Кто-нибудь знает, в чём проблема? Помогите, пожалуйста. Спасибо.

mengong Guest	#16 0 07.11.2005 12:42:00 Чтобы использовать локальный DNS в качестве резонатора, попробуй указать его в настройках DNS статики.

maroon Guest	#17 0 09.11.2005 16:34:00 Было бы неплохо, если бы у каждого клиента был свой IP. Например, 10.0.0.2 шёл бы на xx.xx.xx.116, а 10.0.0.3 — на xx.xx.xx.118. Нужно настроить действие как NAT, а не masquerade, чтобы это работало нормально. А по DNS у меня всё работает: задал фиксированный IP на Mikrotik (ip address add address=10.10.10.10/32 interface=clients) и указал основной DNS=10.10.10.10, вторичный DNS=DNS-сервер провайдера, а у клиентов DNS=10.10.10.10. Использую 2.8.16 — всё работает как надо! Удачи!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры