DNS Namensauflösung nicht immer möglich mit PIX 501
Guten Abend zusammen,
nachem ich die PIX mit Eurer hilfe zum laufen gebracht habe bin ich nun am nächsten Problem bei dem ich nicht wirklich weiter komme.
Wen ich eine DNS Anfrage an den win2003 server aus dem internen Netz mache die der Server im Cache hat ist alles OK und superschnell. Wenn der den Namen nicht auflösen kann soll er die Anfrage über die PIX an den DNS-Server des Providers weiterleiten. Am Server ist die interne IP der PIX als DNS eingetragen.
Problem ist nun daß es recht lange dauert bzw. die Anfrage mehrmals gestellt werden muß damit der Name aufgelöst wird.
Mit nslookup beispielsweise ca. 10 mal anfragen mit jeweils timeout (2sek) und dann wird der Name aufgelöst. Mit Brower logischerweise gleiches Bild, mehrmals refresh dann geht's.
Die Analyse des Syslogs der PIX hat mich zu folgenden Einträgen gebracht:
UDP request discarded from 192.168.0.7/1040 to inside:192.168.0.1/domain
Wobei
192.168.0.7 der DNS-Server (Win2003) und
192.168.0.1 die interne Adresse der PIX ist
Internetanbindung erolgt über DSL mit dynamischer IP.
Die PIX ist momentan noch so konfiguriert daß Sie von innen nach außen alles durchläßt.
Würde mich freuen wenn jemand eine Idee hat oder mich auf den richtigen weg bringen kann.
Grüße
Erik
nachem ich die PIX mit Eurer hilfe zum laufen gebracht habe bin ich nun am nächsten Problem bei dem ich nicht wirklich weiter komme.
Wen ich eine DNS Anfrage an den win2003 server aus dem internen Netz mache die der Server im Cache hat ist alles OK und superschnell. Wenn der den Namen nicht auflösen kann soll er die Anfrage über die PIX an den DNS-Server des Providers weiterleiten. Am Server ist die interne IP der PIX als DNS eingetragen.
Problem ist nun daß es recht lange dauert bzw. die Anfrage mehrmals gestellt werden muß damit der Name aufgelöst wird.
Mit nslookup beispielsweise ca. 10 mal anfragen mit jeweils timeout (2sek) und dann wird der Name aufgelöst. Mit Brower logischerweise gleiches Bild, mehrmals refresh dann geht's.
Die Analyse des Syslogs der PIX hat mich zu folgenden Einträgen gebracht:
UDP request discarded from 192.168.0.7/1040 to inside:192.168.0.1/domain
Wobei
192.168.0.7 der DNS-Server (Win2003) und
192.168.0.1 die interne Adresse der PIX ist
Internetanbindung erolgt über DSL mit dynamischer IP.
Die PIX ist momentan noch so konfiguriert daß Sie von innen nach außen alles durchläßt.
Würde mich freuen wenn jemand eine Idee hat oder mich auf den richtigen weg bringen kann.
Grüße
Erik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 46723
Url: https://administrator.de/contentid/46723
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Hi Erik,
Die PIX benimmt sich nicht wie ein DNS Server, so wie das viele einfache DSL Router machen. Wie du oben erwähnst soll der DNS Server direkt den ISP fragen. Der DNS Dienst darf die Frage aber nicht an die PIX stellen.
Probiere vom Server mit nslookup folgendes:
nslookup www.heise.de
Dein Server sollte seinen eigenen DNS Dienst fragen, du sagst das dauert lange.
nslookup www.heise.de 212.19.48.14
Der DNS von Plusline (212.19.48.14) wird dann direkt gefragt und das sollte auch funktionieren.
Wenn der erste Versuch nicht oder nur langsam gelingt, der zweite aber funktioniert, dann bitte auf dem Server, Verwaltung, DNS, Eigenschaften vom DNS Server, auf dem TAB Forwarders (sorry habe gerade nur engl. Version hier, evtl. Weiterleitungen?) nur den DNS Server von deinem ISP (oder aus dem Beispiel von oben) eintragen. Damit werden DNS Fragen, die der Server selber nicht beantworten kann, weil es nicht seine Domain ist, nicht an die PIX gestellt sondern an den Forwarder DNS.
Wenn das nicht geht dann poste mal die Konfig.
Gruß Rafiki
Die PIX benimmt sich nicht wie ein DNS Server, so wie das viele einfache DSL Router machen. Wie du oben erwähnst soll der DNS Server direkt den ISP fragen. Der DNS Dienst darf die Frage aber nicht an die PIX stellen.
Probiere vom Server mit nslookup folgendes:
nslookup www.heise.de
Dein Server sollte seinen eigenen DNS Dienst fragen, du sagst das dauert lange.
nslookup www.heise.de 212.19.48.14
Der DNS von Plusline (212.19.48.14) wird dann direkt gefragt und das sollte auch funktionieren.
Wenn der erste Versuch nicht oder nur langsam gelingt, der zweite aber funktioniert, dann bitte auf dem Server, Verwaltung, DNS, Eigenschaften vom DNS Server, auf dem TAB Forwarders (sorry habe gerade nur engl. Version hier, evtl. Weiterleitungen?) nur den DNS Server von deinem ISP (oder aus dem Beispiel von oben) eintragen. Damit werden DNS Fragen, die der Server selber nicht beantworten kann, weil es nicht seine Domain ist, nicht an die PIX gestellt sondern an den Forwarder DNS.
Wenn das nicht geht dann poste mal die Konfig.
Gruß Rafiki
Hallo,
ich kann deinem Beitrag nur zustimmen, habe jedoch ein Problem dabei. Klar muss er es an einen öffendlichen DNS stellen (b.B. 145.253.2.11 oder 145.253.2.75 von Arcor) aber wie werden interne Namen aufgelöst? Da muss er ja wieder seinen eigenen DNS fragen, der dann wiederrum die externen nicht kann . . . Genau das Problem hatte ich ja auch, als ich versucht hab, nen DNS mit Linux zu konfigurieren =D
ich kann deinem Beitrag nur zustimmen, habe jedoch ein Problem dabei. Klar muss er es an einen öffendlichen DNS stellen (b.B. 145.253.2.11 oder 145.253.2.75 von Arcor) aber wie werden interne Namen aufgelöst? Da muss er ja wieder seinen eigenen DNS fragen, der dann wiederrum die externen nicht kann . . . Genau das Problem hatte ich ja auch, als ich versucht hab, nen DNS mit Linux zu konfigurieren =D
Hi Maik,
alle PCs im LAN fragen den DNS Server. Der DNS Server kennt und beantwortet alle Fragen die in seinem Zuständigkeitsbereich liegen. z.B. nslookup pc17.meinefirma.de wird durch den DNS Server server.meinefirma.de beantwortet. Wenn eine Frage zu einer anderen Domain gestellt wird, dann wird der DNS vom ISP gefragt. z.b. www.heise.de kennt der server.meinefirma.de nicht, fragt dann arcor und merkt sich die Antwort für eine gewisse Zeit, falls die Frage noch mal kommt (cache).
Gruß Rafki
alle PCs im LAN fragen den DNS Server. Der DNS Server kennt und beantwortet alle Fragen die in seinem Zuständigkeitsbereich liegen. z.B. nslookup pc17.meinefirma.de wird durch den DNS Server server.meinefirma.de beantwortet. Wenn eine Frage zu einer anderen Domain gestellt wird, dann wird der DNS vom ISP gefragt. z.b. www.heise.de kennt der server.meinefirma.de nicht, fragt dann arcor und merkt sich die Antwort für eine gewisse Zeit, falls die Frage noch mal kommt (cache).
Gruß Rafki
Japp,
alles schon klar, Soviel weiss ich ja als Azubi Informatikkaufmann im ersten Jahr auch schon =D
Ich habe den Beitrag aber so verstanden,d ass ich den Clienten den externen DNS angebe, der ejdoch kann meine internen Aderssen nicht !?
Eigendlich sag ich doch meinen Clienten, "Leute, nimmt meinen DNS, der weiss alles". Weiss dieser Super-Guru mal nicht bescheid, fragt er das laufende Lexikon beim ISP. Oder ist da ein Gedankenfehler drin?
alles schon klar, Soviel weiss ich ja als Azubi Informatikkaufmann im ersten Jahr auch schon =D
Ich habe den Beitrag aber so verstanden,d ass ich den Clienten den externen DNS angebe, der ejdoch kann meine internen Aderssen nicht !?
Eigendlich sag ich doch meinen Clienten, "Leute, nimmt meinen DNS, der weiss alles". Weiss dieser Super-Guru mal nicht bescheid, fragt er das laufende Lexikon beim ISP. Oder ist da ein Gedankenfehler drin?
Viele Wege führen nach Rom.
In einem kleinen Heimnetzwerk, ohne Domain controller, ist der DNS meistens der DSL Router.
In einem Netzwerk mit Domain Controller (Server), ist dieser dann DNS und nur dieser Server wird von den Clients gefragt. Für dinge die der DNS DNS Server Dienst nicht kennt fragt er dann den ISP und gibt die antowrt an den Client weiter.
Gruß Rafki
In einem kleinen Heimnetzwerk, ohne Domain controller, ist der DNS meistens der DSL Router.
In einem Netzwerk mit Domain Controller (Server), ist dieser dann DNS und nur dieser Server wird von den Clients gefragt. Für dinge die der DNS DNS Server Dienst nicht kennt fragt er dann den ISP und gibt die antowrt an den Client weiter.
Gruß Rafki