forum.opennet.ru - "DNS сервер через NAT (не отвечает наружу)" (5)

"DNS сервер через NAT (не отвечает наружу)"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DNS сервер через NAT (не отвечает наружу)"	+/–
Сообщение от oper2000 (?), 29-Окт-09, 06:43
Подскажите, из-за чего может быть такая проблема: Внутри сети стоит DNS сервер (192.168.10.8), который должен обслуживать запросы от внешних клиентов. Выход на провайдера идет через Cisco 1720, через Serial0. Делаю стандартный PAT по udp и tcp по 53 порту. В логах dns сервера видно, что запросы до него доходят и ответы он выдает. При обращении на ХХХ.ХХХ.ХХХ.ХХХ снаружи как к dns-серверу, запрос отваливается по тайм-ауту (DNS request timed out). Цыска (192.168.10.129) является шлюзом сервера по-умолчанию. Вот кусочек конфигурации: =================================================================================== interface FastEthernet0 ip address 192.168.10.129 255.255.255.0 ip accounting output-packets ip nat inside speed auto no cdp enable ! interface Serial0 ip address negotiated ip nat outside encapsulation ppp no fair-queue no cdp enable ! ip nat inside source list 100 interface Serial0 overload ip nat inside source static tcp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable ip nat inside source static udp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable ip classless ip route 0.0.0.0 0.0.0.0 Serial0 access-list 100 permit ip any any ================================================================================== Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как и советуют здесь в форуме... Подскажите, что не так и как настроить правильно.
Ответить \| Правка \| Cообщить модератору

Оглавление

DNS сервер через NAT (не отвечает наружу), petrovichr (?), 12:36 , 29-Окт-09, (1)

DNS сервер через NAT (не отвечает наружу), Николай (??), 12:51 , 29-Окт-09, (2)

DNS сервер через NAT (не отвечает наружу), oper2000 (?), 13:50 , 29-Окт-09, (3)

DNS сервер через NAT (не отвечает наружу), Doc (ok), 16:34 , 24-Сен-18, (4)

DNS сервер через NAT (не отвечает наружу), Doc (ok), 16:48 , 24-Сен-18, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "DNS сервер через NAT (не отвечает наружу)" +/–

Сообщение от petrovichr (?), 29-Окт-09, 12:36

>[оверквотинг удален]
>ip nat inside source list 100 interface Serial0 overload
>ip nat inside source static tcp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
>ip nat inside source static udp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable
>ip classless
>ip route 0.0.0.0 0.0.0.0 Serial0
>access-list 100 permit ip any any
>==================================================================================
>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>и советуют здесь в форуме... Подскажите, что не так и как
>настроить правильно.
Вообще-то кофн правильный
Покажи sh ip nat tra
Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики обращений

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DNS сервер через NAT (не отвечает наружу)" +/–

Сообщение от Николай (??), 29-Окт-09, 12:51

>[оверквотинг удален]
>>access-list 100 permit ip any any
>>==================================================================================
>>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>>и советуют здесь в форуме... Подскажите, что не так и как
>>настроить правильно.
>
>Вообще-то кофн правильный
>Покажи sh ip nat tra
>Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики
>обращений
может так с самим ДНС и зонами - корректно приписано кому что отдавать

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "DNS сервер через NAT (не отвечает наружу)" +/–

Сообщение от oper2000 (?), 29-Окт-09, 13:50

>>[оверквотинг удален]
>>>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как
>>>и советуют здесь в форуме... Подскажите, что не так и как
>>>настроить правильно.
>>
>>Вообще-то кофн правильный
>>Покажи sh ip nat tra
>>Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики
>>обращений
>
Я привел не весь конфиг. Внутри за цыской стоит еще почтовый сервер, поэтому настроен проброс 25 и 110 портов:
ip nat inside source static tcp 192.168.10.8 25 ХХХ.ХХХ.ХХХ.ХХХ 25 extendable
ip nat inside source static tcp 192.168.10.8 110 ХХХ.ХХХ.ХХХ.ХХХ 110 extendable
Эти порты работают без проблем. Похоже, что именно udp не хочет возвращаться.
Для проверки с удаленного клиента 88.147.155.228 даю такой запрос:
nslookup www.mydomain.ru 88.147.150.250
*** Can't find server name for address 88.147.150.250: Server failed
Server:  UnKnown
Address:  88.147.150.250
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out
На цыске после этого:
c17#sh ip nat tra udp
Pro Inside global      Inside local       Outside local      Outside global
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1190 88.147.155.228:1190
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1191 88.147.155.228:1191
udp 88.147.150.250:53  192.168.10.8:53    88.147.155.228:1192 88.147.155.228:1192
udp 88.147.150.250:53  192.168.10.8:53    ---                ---
c17#
C виду вообще все нормально...
>может так с самим ДНС и зонами - корректно приписано кому что>отдавать
Если вместо cisco 1720 поставить обычный shdsl модем (есть еще резервный канал в того же провайдера) и на модеме настроить нат для пробороса dns, то dns сервер начинает отвечать наружу.
Более того, если снаружи делаю так (внешний адрес 88.147.ХХХ.ХХХ):
>nslookup
> server 88.147.ХХХ.ХХХ
Default Server:  mydomain.ru
Address:  88.147.ХХХ.ХХХ
> www.mydomain.ru
Server:  mydomain.ru
Address:  88.147.XXX.XXX
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to sarpost.ru timed-out
*** Потом включаю tcp вместо udp:
> set vc
> www.mydomain.ru
Server:  mydomain.ru
Address:  88.147.ХХХ.ХХХ
Name:    www.mydomain.ru
Address:  88.147.YYY.YY
>
При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось бы чтобы работало и по udp. На сервере никаких фильтров и файерволов не стоит....
Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема вообще не в Cisco, а в nslookup? Однако, если с сервисных сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер не работает...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "DNS сервер через NAT (не отвечает наружу)" +/–

Сообщение от Doc (ok), 24-Сен-18, 16:34

>[оверквотинг удален]
> Name:    www.mydomain.ru
> Address:  88.147.YYY.YY
>>
> При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось
> бы чтобы работало и по udp. На сервере никаких фильтров и
> файерволов не стоит....
> Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема
> вообще не в Cisco, а в nslookup? Однако, если с сервисных
> сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер
> не работает...
столкнулся с такойже проблемой, никак немогу решить.
Как решили?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "DNS сервер через NAT (не отвечает наружу)" +/–

Сообщение от Doc (ok), 24-Сен-18, 16:48

>[оверквотинг удален]
>>>
>> При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось
>> бы чтобы работало и по udp. На сервере никаких фильтров и
>> файерволов не стоит....
>> Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема
>> вообще не в Cisco, а в nslookup? Однако, если с сервисных
>> сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер
>> не работает...
> столкнулся с такойже проблемой, никак немогу решить.
> Как решили?
в места extendable в случаи с dns надо стаить  no-payload

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DNS сервер через NAT (не отвечает наружу)"	+/–
Сообщение от petrovichr (?), 29-Окт-09, 12:36
>[оверквотинг удален] >ip nat inside source list 100 interface Serial0 overload >ip nat inside source static tcp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable >ip nat inside source static udp 192.168.10.8 53 ХХХ.ХХХ.ХХХ.ХХХ 53 extendable >ip classless >ip route 0.0.0.0 0.0.0.0 Serial0 >access-list 100 permit ip any any >================================================================================== >Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как >и советуют здесь в форуме... Подскажите, что не так и как >настроить правильно. Вообще-то кофн правильный Покажи sh ip nat tra Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики обращений
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "DNS сервер через NAT (не отвечает наружу)"	+/–
	Сообщение от Николай (??), 29-Окт-09, 12:51
	>[оверквотинг удален] >>access-list 100 permit ip any any >>================================================================================== >>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как >>и советуют здесь в форуме... Подскажите, что не так и как >>настроить правильно. > >Вообще-то кофн правильный >Покажи sh ip nat tra >Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики >обращений может так с самим ДНС и зонами - корректно приписано кому что отдавать
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "DNS сервер через NAT (не отвечает наружу)"	+/–
	Сообщение от oper2000 (?), 29-Окт-09, 13:50
	>>[оверквотинг удален] >>>Запросы изнутри сети к серверу обрабатываются нормально. Вроде бы все делаю, как >>>и советуют здесь в форуме... Подскажите, что не так и как >>>настроить правильно. >> >>Вообще-то кофн правильный >>Покажи sh ip nat tra >>Для проверки пробрось например 22 тсп порт, нарисуй АЦЛ и проверь счетчики >>обращений > Я привел не весь конфиг. Внутри за цыской стоит еще почтовый сервер, поэтому настроен проброс 25 и 110 портов: ip nat inside source static tcp 192.168.10.8 25 ХХХ.ХХХ.ХХХ.ХХХ 25 extendable ip nat inside source static tcp 192.168.10.8 110 ХХХ.ХХХ.ХХХ.ХХХ 110 extendable Эти порты работают без проблем. Похоже, что именно udp не хочет возвращаться. Для проверки с удаленного клиента 88.147.155.228 даю такой запрос: nslookup www.mydomain.ru 88.147.150.250 * Can't find server name for address 88.147.150.250: Server failed Server: UnKnown Address: 88.147.150.250 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. * Request to UnKnown timed-out На цыске после этого: c17#sh ip nat tra udp Pro Inside global Inside local Outside local Outside global udp 88.147.150.250:53 192.168.10.8:53 88.147.155.228:1190 88.147.155.228:1190 udp 88.147.150.250:53 192.168.10.8:53 88.147.155.228:1191 88.147.155.228:1191 udp 88.147.150.250:53 192.168.10.8:53 88.147.155.228:1192 88.147.155.228:1192 udp 88.147.150.250:53 192.168.10.8:53 --- --- c17# C виду вообще все нормально... >может так с самим ДНС и зонами - корректно приписано кому что>отдавать Если вместо cisco 1720 поставить обычный shdsl модем (есть еще резервный канал в того же провайдера) и на модеме настроить нат для пробороса dns, то dns сервер начинает отвечать наружу. Более того, если снаружи делаю так (внешний адрес 88.147.ХХХ.ХХХ): >nslookup > server 88.147.ХХХ.ХХХ Default Server: mydomain.ru Address: 88.147.ХХХ.ХХХ > www.mydomain.ru Server: mydomain.ru Address: 88.147.XXX.XXX DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. * Request to sarpost.ru timed-out * Потом включаю tcp вместо udp: > set vc > www.mydomain.ru Server: mydomain.ru Address: 88.147.ХХХ.ХХХ Name: www.mydomain.ru Address: 88.147.YYY.YY > При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось бы чтобы работало и по udp. На сервере никаких фильтров и файерволов не стоит.... Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема вообще не в Cisco, а в nslookup? Однако, если с сервисных сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер не работает...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "DNS сервер через NAT (не отвечает наружу)"	+/–
	Сообщение от Doc (ok), 24-Сен-18, 16:34
	>[оверквотинг удален] > Name: www.mydomain.ru > Address: 88.147.YYY.YY >> > При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось > бы чтобы работало и по udp. На сервере никаких фильтров и > файерволов не стоит.... > Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема > вообще не в Cisco, а в nslookup? Однако, если с сервисных > сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер > не работает... столкнулся с такойже проблемой, никак немогу решить. Как решили?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "DNS сервер через NAT (не отвечает наружу)"	+/–
	Сообщение от Doc (ok), 24-Сен-18, 16:48
	>[оверквотинг удален] >>> >> При этом (после set vc) сервер нормально отвечает на запросы. Но хотелось >> бы чтобы работало и по udp. На сервере никаких фильтров и >> файерволов не стоит.... >> Самое интересное, что на вторичный DNS-сервер зона передается нормально. Может проблема >> вообще не в Cisco, а в nslookup? Однако, если с сервисных >> сайтов запускаю проверку DNS? то идут ругательства, о том, что сервер >> не работает... > столкнулся с такойже проблемой, никак немогу решить. > Как решили? в места extendable в случаи с dns надо стаить no-payload
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору