The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"DNS сервер через NAT (не отвечает наружу)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"DNS сервер через NAT (не отвечает наружу)"  +/
Сообщение от oper2000email (?), 29-Окт-09, 06:43 
Подскажите, из-за чего может быть такая проблема:
Внутри сети стоит DNS сервер (192.168.10.8), который должен обслуживать запросы от внешних клиентов. Выход на провайдера идет через Cisco 1720, через Serial0. Делаю стандартный PAT по udp и tcp по 53 порту. В логах dns сервера видно, что запросы до него доходят и ответы он выдает. При обращении на ХХХ.ХХХ.ХХХ.ХХХ снаружи как к dns-серверу, запрос отваливается по тайм-ауту (DNS request timed out).
Цыска (192.168.10.129) является шлюзом сервера по-умолчанию.
Вот кусочек конфигурации:
===================================================================================
interface FastEthernet0
ip address 192.168.10.129 255.255.255.0
ip accounting output-packets
ip nat inside
speed auto
no cdp enable
!
interface Serial0
ip address negotiated
ip nat outside
encapsulation ppp
no fair-queue
no cdp enable
!
ip nat inside source list 100 interface Serial0 overload
ip nat inside source static tcp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
ip nat inside source static udp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0  
access-list 100 permit ip any any
==================================================================================
Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как и советуют здесь в форуме... Подскажите, что не так и как настроить правильно.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DNS сервер через NAT (не отвечает наружу)"  +/
Сообщение от petrovichr (?), 29-Окт-09, 12:36 
>[оверквотинг удален]
>ip nat inside source list 100 interface Serial0 overload
>ip nat inside source static tcp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
>ip nat inside source static udp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
>ip classless
>ip route 0.0.0.0 0.0.0.0 Serial0
>access-list 100 permit ip any any
>==================================================================================
>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>и советуют здесь в форуме... Подскажите, что не так и как
>настроить правильно.

Вообще-то кофн правильный
Покажи sh ip nat tra
Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики обращений

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DNS сервер через NAT (не отвечает наружу)"  +/
Сообщение от Николай (??), 29-Окт-09, 12:51 
>[оверквотинг удален]
>>access-list 100 permit ip any any
>>==================================================================================
>>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>>и советуют здесь в форуме... Подскажите, что не так и как
>>настроить правильно.
>
>Вообще-то кофн правильный
>Покажи sh ip nat tra
>Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики
>обращений

может так с самим ДНС и зонами - корректно приписано кому что отдавать

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "DNS сервер через NAT (не отвечает наружу)"  +/
Сообщение от oper2000email (?), 29-Окт-09, 13:50 
>>[оверквотинг удален]
>>>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>>>и советуют здесь в форуме... Подскажите, что не так и как
>>>настроить правильно.
>>
>>Вообще-то кофн правильный
>>Покажи sh ip nat tra
>>Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики
>>обращений
>

Я привел не весь конфиг. Внутри за цыской стоит еще почтовый сервер, поэтому настроен проброс 25 и 110 портов:

ip nat inside source static tcp 192.168.10.8 25 ХХХ.ХХХ.ХХХ.ХХХ 25 extendable
ip nat inside source static tcp 192.168.10.8 110 ХХХ.ХХХ.ХХХ.ХХХ 110 extendable

Эти порты работают без проблем. Похоже, что именно udp не хочет возвращаться.

Для проверки с удаленного клиента 88.147.155.228 даю такой запрос:
nslookup www.mydomain.ru 88.147.150.250
*** Can't find server name for address 88.147.150.250: Server failed
Server:  UnKnown
Address:  88.147.150.250

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

На цыске после этого:

c17#sh ip nat tra udp
Pro Inside global      Inside local       Outside local      Outside global
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1190 88.147.155.228:1190
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1191 88.147.155.228:1191
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1192 88.147.155.228:1192
udp 88.147.150.250:53  192.168.10.8:53    ---                ---
c17#
C виду вообще все нормально...

>может так с самим ДНС и зонами - корректно приписано кому что>отдавать

Если вместо cisco 1720 поставить обычный shdsl модем (есть еще резервный канал в того же провайдера) и на модеме настроить нат для пробороса dns, то dns сервер начинает отвечать наружу.

Более того, если снаружи делаю так (внешний адрес 88.147.ХХХ.ХХХ):
>nslookup
> server 88.147.ХХХ.ХХХ

Default Server:  mydomain.ru
Address:  88.147.ХХХ.ХХХ

> www.mydomain.ru

Server:  mydomain.ru
Address:  88.147.XXX.XXX

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to sarpost.ru timed-out

*** Потом включаю tcp вместо udp:

> set vc
> www.mydomain.ru

Server:  mydomain.ru
Address:  88.147.ХХХ.ХХХ

Name:    www.mydomain.ru
Address:  88.147.YYY.YY

>

При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось бы чтобы работало и по udp. На сервере никаких фильтров и файерволов не стоит....
Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема вообще не в Cisco, а в nslookup? Однако, если с сервисных сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер не работает...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "DNS сервер через NAT (не отвечает наружу)"  +/
Сообщение от Docemail (ok), 24-Сен-18, 16:34 
>[оверквотинг удален]
> Name:    www.mydomain.ru
> Address:  88.147.YYY.YY
>>
> При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось
> бы чтобы работало и по udp. На сервере никаких фильтров и
> файерволов не стоит....
> Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема
> вообще не в Cisco, а в nslookup? Однако, если с сервисных
> сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер
> не работает...

столкнулся с такойже проблемой, никак немогу решить.
Как решили?  

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "DNS сервер через NAT (не отвечает наружу)"  +/
Сообщение от Docemail (ok), 24-Сен-18, 16:48 
>[оверквотинг удален]
>>>
>> При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось
>> бы чтобы работало и по udp. На сервере никаких фильтров и
>> файерволов не стоит....
>> Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема
>> вообще не в Cisco, а в nslookup? Однако, если с сервисных
>> сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер
>> не работает...
> столкнулся с такойже проблемой, никак немогу решить.
> Как решили?

в места extendable в случаи с dns надо стаить  no-payload

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру