eriks
Goto Top

DNS Namensauflösung nicht immer möglich mit PIX 501

Guten Abend zusammen,

nachem ich die PIX mit Eurer hilfe zum laufen gebracht habe bin ich nun am nächsten Problem bei dem ich nicht wirklich weiter komme.
Wen ich eine DNS Anfrage an den win2003 server aus dem internen Netz mache die der Server im Cache hat ist alles OK und superschnell. Wenn der den Namen nicht auflösen kann soll er die Anfrage über die PIX an den DNS-Server des Providers weiterleiten. Am Server ist die interne IP der PIX als DNS eingetragen.
Problem ist nun daß es recht lange dauert bzw. die Anfrage mehrmals gestellt werden muß damit der Name aufgelöst wird.
Mit nslookup beispielsweise ca. 10 mal anfragen mit jeweils timeout (2sek) und dann wird der Name aufgelöst. Mit Brower logischerweise gleiches Bild, mehrmals refresh dann geht's.

Die Analyse des Syslogs der PIX hat mich zu folgenden Einträgen gebracht:

UDP request discarded from 192.168.0.7/1040 to inside:192.168.0.1/domain

Wobei
192.168.0.7 der DNS-Server (Win2003) und
192.168.0.1 die interne Adresse der PIX ist

Internetanbindung erolgt über DSL mit dynamischer IP.


Die PIX ist momentan noch so konfiguriert daß Sie von innen nach außen alles durchläßt.

Würde mich freuen wenn jemand eine Idee hat oder mich auf den richtigen weg bringen kann.


Grüße

Erik

Content-ID: 46723

Url: https://administrator.de/contentid/46723

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

Rafiki
Rafiki 14.12.2006 um 07:38:19 Uhr
Goto Top
Hi Erik,

Die PIX benimmt sich nicht wie ein DNS Server, so wie das viele einfache DSL Router machen. Wie du oben erwähnst soll der DNS Server direkt den ISP fragen. Der DNS Dienst darf die Frage aber nicht an die PIX stellen.

Probiere vom Server mit nslookup folgendes:
nslookup www.heise.de
Dein Server sollte seinen eigenen DNS Dienst fragen, du sagst das dauert lange.

nslookup www.heise.de 212.19.48.14
Der DNS von Plusline (212.19.48.14) wird dann direkt gefragt und das sollte auch funktionieren.

Wenn der erste Versuch nicht oder nur langsam gelingt, der zweite aber funktioniert, dann bitte auf dem Server, Verwaltung, DNS, Eigenschaften vom DNS Server, auf dem TAB Forwarders (sorry habe gerade nur engl. Version hier, evtl. Weiterleitungen?) nur den DNS Server von deinem ISP (oder aus dem Beispiel von oben) eintragen. Damit werden DNS Fragen, die der Server selber nicht beantworten kann, weil es nicht seine Domain ist, nicht an die PIX gestellt sondern an den Forwarder DNS.

Wenn das nicht geht dann poste mal die Konfig.

Gruß Rafiki
Maik87
Maik87 14.12.2006 um 08:01:35 Uhr
Goto Top
Hallo,

ich kann deinem Beitrag nur zustimmen, habe jedoch ein Problem dabei. Klar muss er es an einen öffendlichen DNS stellen (b.B. 145.253.2.11 oder 145.253.2.75 von Arcor) aber wie werden interne Namen aufgelöst? Da muss er ja wieder seinen eigenen DNS fragen, der dann wiederrum die externen nicht kann . . . Genau das Problem hatte ich ja auch, als ich versucht hab, nen DNS mit Linux zu konfigurieren =D
Rafiki
Rafiki 14.12.2006 um 08:20:48 Uhr
Goto Top
Hi Maik,

alle PCs im LAN fragen den DNS Server. Der DNS Server kennt und beantwortet alle Fragen die in seinem Zuständigkeitsbereich liegen. z.B. nslookup pc17.meinefirma.de wird durch den DNS Server server.meinefirma.de beantwortet. Wenn eine Frage zu einer anderen Domain gestellt wird, dann wird der DNS vom ISP gefragt. z.b. www.heise.de kennt der server.meinefirma.de nicht, fragt dann arcor und merkt sich die Antwort für eine gewisse Zeit, falls die Frage noch mal kommt (cache).


Gruß Rafki
ErikS
ErikS 14.12.2006 um 09:33:36 Uhr
Goto Top
Vielen Dank, funktioniert jetzt alles. Hab wohl den Wald vor lauter Bäumen nicht mehr gesehen face-wink

Grüße

Erik
Maik87
Maik87 15.12.2006 um 08:05:23 Uhr
Goto Top
Japp,

alles schon klar, Soviel weiss ich ja als Azubi Informatikkaufmann im ersten Jahr auch schon =D

Ich habe den Beitrag aber so verstanden,d ass ich den Clienten den externen DNS angebe, der ejdoch kann meine internen Aderssen nicht !?

Eigendlich sag ich doch meinen Clienten, "Leute, nimmt meinen DNS, der weiss alles". Weiss dieser Super-Guru mal nicht bescheid, fragt er das laufende Lexikon beim ISP. Oder ist da ein Gedankenfehler drin?
Rafiki
Rafiki 15.12.2006 um 08:30:43 Uhr
Goto Top
Viele Wege führen nach Rom.
In einem kleinen Heimnetzwerk, ohne Domain controller, ist der DNS meistens der DSL Router.

In einem Netzwerk mit Domain Controller (Server), ist dieser dann DNS und nur dieser Server wird von den Clients gefragt. Für dinge die der DNS DNS Server Dienst nicht kennt fragt er dann den ISP und gibt die antowrt an den Client weiter.

Gruß Rafki