URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19917
[ Назад ]

Исходное сообщение
"DNS сервер через NAT (не отвечает наружу)"
Отправлено oper2000 , 29-Окт-09 06:43

Подскажите, из-за чего может быть такая проблема:
Внутри сети стоит DNS сервер (192.168.10.8), который должен обслуживать запросы от внешних клиентов. Выход на провайдера идет через Cisco 1720, через Serial0. Делаю стандартный PAT по udp и tcp по 53 порту. В логах dns сервера видно, что запросы до него доходят и ответы он выдает. При обращении на ХХХ.ХХХ.ХХХ.ХХХ снаружи как к dns-серверу, запрос отваливается по тайм-ауту (DNS request timed out).
Цыска (192.168.10.129) является шлюзом сервера по-умолчанию.
Вот кусочек конфигурации:
===================================================================================
interface FastEthernet0
ip address 192.168.10.129 255.255.255.0
ip accounting output-packets
ip nat inside
speed auto
no cdp enable
!
interface Serial0
ip address negotiated
ip nat outside
encapsulation ppp
no fair-queue
no cdp enable
!
ip nat inside source list 100 interface Serial0 overload
ip nat inside source static tcp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
ip nat inside source static udp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 100 permit ip any any
==================================================================================
Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как и советуют здесь в форуме... Подскажите, что не так и как настроить правильно.

Содержание

DNS сервер через NAT (не отвечает наружу),petrovichr, 12:36 , 29-Окт-09
- DNS сервер через NAT (не отвечает наружу),Николай, 12:51 , 29-Окт-09
  - DNS сервер через NAT (не отвечает наружу),oper2000, 13:50 , 29-Окт-09
    - DNS сервер через NAT (не отвечает наружу),Doc, 16:34 , 24-Сен-18
      - DNS сервер через NAT (не отвечает наружу),Doc, 16:48 , 24-Сен-18

Сообщения в этом обсуждении

"DNS сервер через NAT (не отвечает наружу)"
Отправлено petrovichr , 29-Окт-09 12:36

>[оверквотинг удален]
>ip nat inside source list 100 interface Serial0 overload
>ip nat inside source static tcp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
>ip nat inside source static udp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
>ip classless
>ip route 0.0.0.0 0.0.0.0 Serial0
>access-list 100 permit ip any any
>==================================================================================
>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>и советуют здесь в форуме... Подскажите, что не так и как
>настроить правильно.
Вообще-то кофн правильный
Покажи sh ip nat tra
Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики обращений

"DNS сервер через NAT (не отвечает наружу)"
Отправлено Николай , 29-Окт-09 12:51

>[оверквотинг удален]
>>access-list 100 permit ip any any
>>==================================================================================
>>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>>и советуют здесь в форуме... Подскажите, что не так и как
>>настроить правильно.
>
>Вообще-то кофн правильный
>Покажи sh ip nat tra
>Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики
>обращений
может так с самим ДНС и зонами - корректно приписано кому что отдавать

"DNS сервер через NAT (не отвечает наружу)"
Отправлено oper2000 , 29-Окт-09 13:50

>>[оверквотинг удален]
>>>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>>>и советуют здесь в форуме... Подскажите, что не так и как
>>>настроить правильно.
>>
>>Вообще-то кофн правильный
>>Покажи sh ip nat tra
>>Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики
>>обращений
>
Я привел не весь конфиг. Внутри за цыской стоит еще почтовый сервер, поэтому настроен проброс 25 и 110 портов:
ip nat inside source static tcp 192.168.10.8 25 ХХХ.ХХХ.ХХХ.ХХХ 25 extendable
ip nat inside source static tcp 192.168.10.8 110 ХХХ.ХХХ.ХХХ.ХХХ 110 extendable
Эти порты работают без проблем. Похоже, что именно udp не хочет возвращаться.
Для проверки с удаленного клиента 88.147.155.228 даю такой запрос:
nslookup www.mydomain.ru 88.147.150.250
*** Can't find server name for address 88.147.150.250: Server failed
Server:  UnKnown
Address:  88.147.150.250
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out
На цыске после этого:
c17#sh ip nat tra udp
Pro Inside global      Inside local       Outside local      Outside global
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1190 88.147.155.228:1190
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1191 88.147.155.228:1191
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1192 88.147.155.228:1192
udp 88.147.150.250:53  192.168.10.8:53    ---                ---
c17#
C виду вообще все нормально...
>может так с самим ДНС и зонами - корректно приписано кому что>отдавать
Если вместо cisco 1720 поставить обычный shdsl модем (есть еще резервный канал в того же провайдера) и на модеме настроить нат для пробороса dns, то dns сервер начинает отвечать наружу.
Более того, если снаружи делаю так (внешний адрес 88.147.ХХХ.ХХХ):
>nslookup
> server 88.147.ХХХ.ХХХ
Default Server:  mydomain.ru
Address:  88.147.ХХХ.ХХХ
> www.mydomain.ru
Server:  mydomain.ru
Address:  88.147.XXX.XXX
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to sarpost.ru timed-out
*** Потом включаю tcp вместо udp:
> set vc
> www.mydomain.ru
Server:  mydomain.ru
Address:  88.147.ХХХ.ХХХ
Name:    www.mydomain.ru
Address:  88.147.YYY.YY
>
При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось бы чтобы работало и по udp. На сервере никаких фильтров и файерволов не стоит....
Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема вообще не в Cisco, а в nslookup? Однако, если с сервисных сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер не работает...

"DNS сервер через NAT (не отвечает наружу)"
Отправлено Doc , 24-Сен-18 16:34

>[оверквотинг удален]
> Name:    www.mydomain.ru
> Address:  88.147.YYY.YY
>>
> При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось
> бы чтобы работало и по udp. На сервере никаких фильтров и
> файерволов не стоит....
> Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема
> вообще не в Cisco, а в nslookup? Однако, если с сервисных
> сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер
> не работает...
столкнулся с такойже проблемой, никак немогу решить.
Как решили?

"DNS сервер через NAT (не отвечает наружу)"
Отправлено Doc , 24-Сен-18 16:48

>[оверквотинг удален]
>>>
>> При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось
>> бы чтобы работало и по udp. На сервере никаких фильтров и
>> файерволов не стоит....
>> Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема
>> вообще не в Cisco, а в nslookup? Однако, если с сервисных
>> сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер
>> не работает...
> столкнулся с такойже проблемой, никак немогу решить.
> Как решили?
в места extendable в случаи с dns надо стаить no-payload