OpenForum RSS: Не проходит AXFR DNS зоны через IOS NAT https://www.opennet.ru/openforum/vsluhforumID6/13.html Всем привет.<br><br>Трансфер DNS зоны из-за NAT отваливается по тамауту.<br>Экспериментально выяснил что если зона совсем маленькая<br>(из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))<br>то трансфер проходит. Если "bytes &gt; приблизительно 2500", то не проходит.<br>Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),<br>но куда конкретно копать что-то не соображу.<br><br>Трансфер делаю так<br>dig @server axfr zone.test.com<br> Не проходит AXFR DNS зоны через IOS NAT (oggi) https://www.opennet.ru/openforum/vsluhforumID6/13.html#16 Tue, 31 Jul 2012 09:05:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.<br>&gt;&gt;&gt; Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой <br>&gt;&gt;&gt; загружености проца.<br>&gt;&gt; на здоровье.<br>&gt;&gt; честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на <br>&gt;&gt; 9053 в nat и bind для трансфера (не знал про alg <br>&gt;&gt; но догадался что это из за application level ) потом где <br>&gt;&gt; то почитал о alg и дальше не копал.<br>&gt; Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат. <br>&gt; Отпишу, если будет че-нить интересное.<br><br>Проблема известная (bug CSCta55540). Решение - то, что предложил karen durinyaт "ip nat service alg tcp dns" или "no-payload" для статических правил трансляции. Замечу, что в доке написано что NAT не транслирует адреса при трансфере (адреса в файле зоны), на практике, судя из объяснений инженера TAC, NAT таки транслирует (пытается по крайней мере) - нужно править документацию.<br> Не проходит AXFR DNS зоны через IOS NAT (oggi) https://www.opennet.ru/openforum/vsluhforumID6/13.html#15 Fri, 27 Jul 2012 14:05:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; трансфер работает.<br>&gt;&gt;&gt; Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая <br>&gt;&gt;&gt; зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.<br>&gt;&gt; Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой <br>&gt;&gt; загружености проца.<br>&gt; на здоровье.<br>&gt; честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на <br>&gt; 9053 в nat и bind для трансфера (не знал про alg <br>&gt; но догадался что это из за application level ) потом где <br>&gt; то почитал о alg и дальше не копал.<br><br>Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат. Отпишу, если будет че-нить интересное.<br><br> Не проходит AXFR DNS зоны через IOS NAT (karen durinyan) https://www.opennet.ru/openforum/vsluhforumID6/13.html#14 Fri, 27 Jul 2012 13:42:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; dig @server axfr zone.test.com <br>&gt;&gt;&gt;&gt; no ip nat service alg tcp dns <br>&gt;&gt;&gt;&gt; no ip nat service alg udp dns <br>&gt;&gt;&gt; Большое спасибо. После <br>&gt;&gt;&gt; no ip nat service alg tcp dns <br>&gt;&gt;&gt; трансфер работает.<br>&gt;&gt; Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая <br>&gt;&gt; зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.<br>&gt; Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой <br>&gt; загружености проца.<br><br>на здоровье.<br><br>честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на 9053 в nat и bind для трансфера (не знал про alg но догадался что это из за application level ) потом где то почитал о alg и дальше не копал.<br> Не проходит AXFR DNS зоны через IOS NAT (oggi) https://www.opennet.ru/openforum/vsluhforumID6/13.html#13 Fri, 27 Jul 2012 13:30:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; но куда конкретно копать что-то не соображу.<br>&gt;&gt;&gt;&gt; Трансфер делаю так <br>&gt;&gt;&gt;&gt; dig @server axfr zone.test.com <br>&gt;&gt;&gt; no ip nat service alg tcp dns <br>&gt;&gt;&gt; no ip nat service alg udp dns <br>&gt;&gt; Большое спасибо. После <br>&gt;&gt; no ip nat service alg tcp dns <br>&gt;&gt; трансфер работает.<br>&gt; Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая <br>&gt; зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить. <br><br>Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой загружености проца.<br><br><br> Не проходит AXFR DNS зоны через IOS NAT (oggi) https://www.opennet.ru/openforum/vsluhforumID6/13.html#12 Fri, 27 Jul 2012 13:27:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; то трансфер проходит. Если "bytes &gt; приблизительно 2500", то не проходит.<br>&gt;&gt;&gt; Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), <br>&gt;&gt;&gt; но куда конкретно копать что-то не соображу.<br>&gt;&gt;&gt; Трансфер делаю так <br>&gt;&gt;&gt; dig @server axfr zone.test.com <br>&gt;&gt; no ip nat service alg tcp dns <br>&gt;&gt; no ip nat service alg udp dns <br>&gt; Большое спасибо. После <br>&gt; no ip nat service alg tcp dns <br>&gt; трансфер работает.<br><br>Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.<br><br>&gt; Всем спасибо за участие. Не проходит AXFR DNS зоны через IOS NAT (oggi) https://www.opennet.ru/openforum/vsluhforumID6/13.html#11 Fri, 27 Jul 2012 13:25:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt; the address information out of the file. Even if it could, <br>&gt;&gt; zone files are often very large, which would put a significant <br>&gt;&gt; performance burden on the NAT device. Therefore, a primary and secondary <br>&gt;&gt; DNS server for the same zone cannot be located on opposite <br>&gt;&gt; sides of a NAT, because the information in zone files will <br>&gt;&gt; not be translated during a zone transfer.<br>&gt;&gt; Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.<br>&gt;&gt; Нужно Primary и Secondary сервера размещать с одной стороны.<br>&gt; Вот еще что нарыл, возможно вам поможет <br>&gt; http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-workaround-for-nat-rewriting-dns-packets <br><br>Ага. Это нагуглил вчера. Только не стал думать как подогнать мою топологию по описанное решение, оставил на потом, решил сначало зарегать SR в cisco TAC.<br><br> Не проходит AXFR DNS зоны через IOS NAT (oggi) https://www.opennet.ru/openforum/vsluhforumID6/13.html#10 Fri, 27 Jul 2012 13:22:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Трансфер DNS зоны из-за NAT отваливается по тамауту.<br>&gt;&gt; Экспериментально выяснил что если зона совсем маленькая <br>&gt;&gt; (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) <br>&gt;&gt; то трансфер проходит. Если "bytes &gt; приблизительно 2500", то не проходит.<br>&gt;&gt; Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), <br>&gt;&gt; но куда конкретно копать что-то не соображу.<br>&gt;&gt; Трансфер делаю так <br>&gt;&gt; dig @server axfr zone.test.com <br>&gt; no ip nat service alg tcp dns <br>&gt; no ip nat service alg udp dns <br><br>Большое спасибо. После<br>no ip nat service alg tcp dns<br>трансфер работает.<br><br>Всем спасибо за участие.<br> Не проходит AXFR DNS зоны через IOS NAT (oggi) https://www.opennet.ru/openforum/vsluhforumID6/13.html#9 Fri, 27 Jul 2012 13:17:13 GMT &gt;[оверквотинг удален]<br>&gt; Выдержка из Routing tcp/ip vol.2 <br>&gt; Because a zone transfer is a file transfer, a NAT cannot parse <br>&gt; the address information out of the file. Even if it could, <br>&gt; zone files are often very large, which would put a significant <br>&gt; performance burden on the NAT device. Therefore, a primary and secondary <br>&gt; DNS server for the same zone cannot be located on opposite <br>&gt; sides of a NAT, because the information in zone files will <br>&gt; not be translated during a zone transfer.<br>&gt; Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.<br>&gt; Нужно Primary и Secondary сервера размещать с одной стороны.<br><br>Да, видел этот текст. Только ИМХО речь идет о том что IOS NAT не транслирует адреса внутри DNS запросов (ну например чтобы не делать split horizon (в терминах BIND отдельные view для клиентов из LAN и Интернет), стоит NS внутри LAN(inside) держит зону zone.example.com, в которой RR это внутренние/серые адреса, client из outside спрашивает у NS например A, сервер отвечает серым адр Не проходит AXFR DNS зоны через IOS NAT (karen durinyan) https://www.opennet.ru/openforum/vsluhforumID6/13.html#8 Fri, 27 Jul 2012 12:23:18 GMT &gt; Всем привет.<br>&gt; Трансфер DNS зоны из-за NAT отваливается по тамауту.<br>&gt; Экспериментально выяснил что если зона совсем маленькая <br>&gt; (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) <br>&gt; то трансфер проходит. Если "bytes &gt; приблизительно 2500", то не проходит.<br>&gt; Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), <br>&gt; но куда конкретно копать что-то не соображу.<br>&gt; Трансфер делаю так <br>&gt; dig @server axfr zone.test.com <br><br> no ip nat service alg tcp dns<br> no ip nat service alg udp dns<br><br>