Всем привет.Трансфер DNS зоны из-за NAT отваливается по тамауту.
Экспериментально выяснил что если зона совсем маленькая
(из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
но куда конкретно копать что-то не соображу.Трансфер делаю так
dig @server axfr zone.test.com
> Всем привет.
> Трансфер DNS зоны из-за NAT отваливается по тамауту.
> Экспериментально выяснил что если зона совсем маленькая
> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
> но куда конкретно копать что-то не соображу.
> Трансфер делаю так
> dig @server axfr zone.test.comЗЫ C881 IOS 15.0M(6)
> Всем привет.
> Трансфер DNS зоны из-за NAT отваливается по тамауту.
> Экспериментально выяснил что если зона совсем маленькая
> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
> но куда конкретно копать что-то не соображу.
> Трансфер делаю так
> dig @server axfr zone.test.comЧета с МТУ?
>> Всем привет.
>> Трансфер DNS зоны из-за NAT отваливается по тамауту.
>> Экспериментально выяснил что если зона совсем маленькая
>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>> но куда конкретно копать что-то не соображу.
>> Трансфер делаю так
>> dig @server axfr zone.test.com
> Чета с МТУ?По всему пути MTU 1500
>[оверквотинг удален]
>>> Трансфер DNS зоны из-за NAT отваливается по тамауту.
>>> Экспериментально выяснил что если зона совсем маленькая
>>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>> но куда конкретно копать что-то не соображу.
>>> Трансфер делаю так
>>> dig @server axfr zone.test.com
>> Чета с МТУ?
> По всему пути MTU 1500Dns inspect попробуйте выключить для начала.
>[оверквотинг удален]
>>>> Экспериментально выяснил что если зона совсем маленькая
>>>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>>>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>>> но куда конкретно копать что-то не соображу.
>>>> Трансфер делаю так
>>>> dig @server axfr zone.test.com
>>> Чета с МТУ?
>> По всему пути MTU 1500
> Dns inspect попробуйте выключить для начала.Пробовал без inspect. Есть 2ой аналогичный маршрутизатор, на нем inspect выключен, ситуация такая же. Только что выключил inspect на обсуждаемом маршрутизаторе, трансфер по прежнему обламывается. Мимо NAT "пролетает со свистом".
>[оверквотинг удален]
>>>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>>>> но куда конкретно копать что-то не соображу.
>>>>> Трансфер делаю так
>>>>> dig @server axfr zone.test.com
>>>> Чета с МТУ?
>>> По всему пути MTU 1500
>> Dns inspect попробуйте выключить для начала.
> Пробовал без inspect. Есть 2ой аналогичный маршрутизатор, на нем inspect выключен, ситуация
> такая же. Только что выключил inspect на обсуждаемом маршрутизаторе, трансфер по
> прежнему обламывается. Мимо NAT "пролетает со свистом".Выдержка из Routing tcp/ip vol.2
Because a zone transfer is a file transfer, a NAT cannot parse the address information out of the file. Even if it could, zone files are often very large, which would put a significant performance burden on the NAT device. Therefore, a primary and secondary DNS server for the same zone cannot be located on opposite sides of a NAT, because the information in zone files will not be translated during a zone transfer.
Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
Нужно Primary и Secondary сервера размещать с одной стороны.
>[оверквотинг удален]
> Выдержка из Routing tcp/ip vol.2
> Because a zone transfer is a file transfer, a NAT cannot parse
> the address information out of the file. Even if it could,
> zone files are often very large, which would put a significant
> performance burden on the NAT device. Therefore, a primary and secondary
> DNS server for the same zone cannot be located on opposite
> sides of a NAT, because the information in zone files will
> not be translated during a zone transfer.
> Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
> Нужно Primary и Secondary сервера размещать с одной стороны.Вот еще что нарыл, возможно вам поможет
http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-wor...
>[оверквотинг удален]
>> the address information out of the file. Even if it could,
>> zone files are often very large, which would put a significant
>> performance burden on the NAT device. Therefore, a primary and secondary
>> DNS server for the same zone cannot be located on opposite
>> sides of a NAT, because the information in zone files will
>> not be translated during a zone transfer.
>> Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
>> Нужно Primary и Secondary сервера размещать с одной стороны.
> Вот еще что нарыл, возможно вам поможет
> http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-wor...Ага. Это нагуглил вчера. Только не стал думать как подогнать мою топологию по описанное решение, оставил на потом, решил сначало зарегать SR в cisco TAC.
>[оверквотинг удален]
> Выдержка из Routing tcp/ip vol.2
> Because a zone transfer is a file transfer, a NAT cannot parse
> the address information out of the file. Even if it could,
> zone files are often very large, which would put a significant
> performance burden on the NAT device. Therefore, a primary and secondary
> DNS server for the same zone cannot be located on opposite
> sides of a NAT, because the information in zone files will
> not be translated during a zone transfer.
> Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
> Нужно Primary и Secondary сервера размещать с одной стороны.Да, видел этот текст. Только ИМХО речь идет о том что IOS NAT не транслирует адреса внутри DNS запросов (ну например чтобы не делать split horizon (в терминах BIND отдельные view для клиентов из LAN и Интернет), стоит NS внутри LAN(inside) держит зону zone.example.com, в которой RR это внутренние/серые адреса, client из outside спрашивает у NS например A, сервер отвечает серым адресом, а IOS NAT заботится о том чтобы клиенту пришел ответ IN A белый адрес, т.е. трансляция на application level). А мне это и не нужно.
> Всем привет.
> Трансфер DNS зоны из-за NAT отваливается по тамауту.
> Экспериментально выяснил что если зона совсем маленькая
> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
> но куда конкретно копать что-то не соображу.
> Трансфер делаю так
> dig @server axfr zone.test.comno ip nat service alg tcp dns
no ip nat service alg udp dns
>[оверквотинг удален]
>> Трансфер DNS зоны из-за NAT отваливается по тамауту.
>> Экспериментально выяснил что если зона совсем маленькая
>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>> но куда конкретно копать что-то не соображу.
>> Трансфер делаю так
>> dig @server axfr zone.test.com
> no ip nat service alg tcp dns
> no ip nat service alg udp dnsБольшое спасибо. После
no ip nat service alg tcp dns
трансфер работает.Всем спасибо за участие.
>[оверквотинг удален]
>>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>> но куда конкретно копать что-то не соображу.
>>> Трансфер делаю так
>>> dig @server axfr zone.test.com
>> no ip nat service alg tcp dns
>> no ip nat service alg udp dns
> Большое спасибо. После
> no ip nat service alg tcp dns
> трансфер работает.Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
> Всем спасибо за участие.
>[оверквотинг удален]
>>>> но куда конкретно копать что-то не соображу.
>>>> Трансфер делаю так
>>>> dig @server axfr zone.test.com
>>> no ip nat service alg tcp dns
>>> no ip nat service alg udp dns
>> Большое спасибо. После
>> no ip nat service alg tcp dns
>> трансфер работает.
> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая
> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой загружености проца.
>[оверквотинг удален]
>>>>> dig @server axfr zone.test.com
>>>> no ip nat service alg tcp dns
>>>> no ip nat service alg udp dns
>>> Большое спасибо. После
>>> no ip nat service alg tcp dns
>>> трансфер работает.
>> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая
>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
> Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой
> загружености проца.на здоровье.
честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на 9053 в nat и bind для трансфера (не знал про alg но догадался что это из за application level ) потом где то почитал о alg и дальше не копал.
>[оверквотинг удален]
>>>> трансфер работает.
>>> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая
>>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
>> Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой
>> загружености проца.
> на здоровье.
> честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на
> 9053 в nat и bind для трансфера (не знал про alg
> но догадался что это из за application level ) потом где
> то почитал о alg и дальше не копал.Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат. Отпишу, если будет че-нить интересное.
>[оверквотинг удален]
>>>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
>>> Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой
>>> загружености проца.
>> на здоровье.
>> честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на
>> 9053 в nat и bind для трансфера (не знал про alg
>> но догадался что это из за application level ) потом где
>> то почитал о alg и дальше не копал.
> Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат.
> Отпишу, если будет че-нить интересное.Проблема известная (bug CSCta55540). Решение - то, что предложил karen durinyaт "ip nat service alg tcp dns" или "no-payload" для статических правил трансляции. Замечу, что в доке написано что NAT не транслирует адреса при трансфере (адреса в файле зоны), на практике, судя из объяснений инженера TAC, NAT таки транслирует (пытается по крайней мере) - нужно править документацию.