DNS lagy

[Tomáš Nesrsta]

Caute,
setkal se někdo s problémem na MK s DNS, že by překládal s lagama, popřípadě náhodně přestal překládat úplně?
Aktuálně mám klienty přesměrovaný na IP mikrotika, kterej se odkazuje na DNS. Od rána je s tím problém kdy některý stránky jedou a jiný ne. Zkusil jsem upgrade z 5.25 na 6.13 - bez efektu.
Změna DNS na MK - bez efektu. Flush DNS na MK - bez efektu.

[telleke]

Klienti dostávají jaké DNS? Stejné jako bránu, nebo rovnou IP routeru, který překládá DNS?

My to máme nastavené tak, že DHCP na sektoru přidělí klientovi přímo adresu routeru/DNS serveru. Takže klient má například IP: 10.10.10.33, brána 10.10.10.1 a DNS 10.0.0.1 Adresu 10.0.0.1 dostávají všecha zařízení v síti. Je to sice blbý na předělání když by se DNS změnilo, ale zatím to funguje naprosto bezproblémů.

[Tomáš Nesrsta]

Klienti (SXT) maji nastaveno DNS treba 10.0.0.1 a to se pak plnotucnych DNS. Ale ted proste ta masina 10.0.0.1 dela nejakej haluz. A do dnesniho rano to bylo taky bez problemu...

[telleke]

Co nějakej firewall? Nemáš tam něco takového? Že by ti to naházelo na blacklist něco co nemělo?

Co třeba přeplněná cache?

[douby]

ahoj párkrát se nám stalo, že zákazník mohl jen na české weby a na zahraniční ne. chyba byla v tom, že technik nastavil do DHCP na SXT u klienta aby přiděloval jako DNS sám sebe a ne náš DNS server. Nějakou dobu to jelo OK a jednoho dne to začalo takto haprovat. Stačilo nastavit, aby DHCP na SXT přidělovl jako DNS náš DNS server a jelo se dál…

[Tomáš Nesrsta]

ja to mám tak že DHCP na SXT přiděluje IP gatewaye a ta je jako DNS resolver. No do dnešního rána s tím nebyl problém.... Zajímavý třeba je že on ti požadavek na server přeloží, např. při pingu ale, některý stánksy se načtou pomalu, jiný vůbec. Třeba seznam ještě OK ale mapy.cz ne.

Zatím jsem to vyřešil DNS NATem a postupně si budu hrát s přehazováním DNS na klientech no...

Varianta kde je Gateway jako resolver se mi líbila, protože když se změní IP DNSka tak to změním jenom na jedný mašině a je klid...

[douby]

no vypadá to na podobný problém. zkus třeba na problematickym miste flushnout si cache na svym stroji a pak dat

Kód: Vybrat vše

nslookup www.nhl.com

nebo jine exoticke stranky...vsadil bych boty ze to bude psat timeout

jinak samozřejmě je nejlepší mít někde DNS server na IP a na tuto ip směřovat dotazy všech storjů v síti. Na této ip může běžet cokoliv a když bude potřeba něco změnit tak to není problém, protože máš dobrou abstrakční bariéru...

[douby]

jeste napis co rika /tools profile, máš na té GW předpokládám veřejku

[Tomáš Nesrsta]

nslookup http://www.nhl.com

Kód: Vybrat vše

Server:  UnKnown
Address:  10.152.0.1

Nazev:   a1937.na.akamai.net.0.1.cn.akamaitech.net
Addresses:  23.62.6.97
     23.62.6.90
Aliases:  www.nhl.com
     www.nhl.com.edgesuite.net
     a1937.na.akamai.net




NAME CPU USAGE
disk all 0%
ethernet all 5.7%
dns all 0%
traffic-flow all 0.7%
firewall all 9%
networking all 6.2%
dude all 0%
management all 0%
routing all 0%
idle all 75.7%
queuing all 0.2%
unclassified all 2.2%

Koukam ze jsem se trochu upsal, mam to tak ze je gateway ktera dela jenom NAT a za ni je Shaper a na nem je DNS resolver. DNS si veme max 1%.

Aktualni stav je ten ze preklad na MK funguje jak ma. Otazkou je proc zacal blbnout.

[Majklik]

Prvně, ten nslookup jen stylem "nslookup www.nhl.com". Potom, ty nepoužíváš IPv4, ale jen IPv6? V tom výpisu tohlo:
Address: fe80::1
ti říká, že DNS server máš zadán IPv6 adresou, navíc link local adresou, takže ten DNS server musí být dostupný na lokální LAN.
Možná výpis "ipconfig -all" a zkontorlovat, zda ti funguje přidělování DNS IPv4 adresy v DHCP.

[Polk]

Ahoj dneska jsem měl stejný problém. Od rána DNS drhly jako kráva.
Brána také cachuje a dotazuje se na 2xBIND server. Firewallem z venku blokovaná.
Pokud byl v PC DNS přímo BIND, tak v pohodě, přes cache MK to drhlo. Nic nepomáhalo, část trafiku jsem nechal dotazovat napřímo na google dns. A pak se to rozjelo.
Ale dříve jsem se s tím setkal a vytěžovali to ataky z venku, to se firewallem vyřešilo, ale dnes i při částečném trafiku než bývá ve špičce to prostě nejelo.

[Tomáš Nesrsta]

jo vypnul jsem IPv6 na sitovce a opravil jsem to v postu - nslookup.

Me to dopoledne drhlo tak ze net byl skoro nepouzitelnej i kdyz do site data tekly. Z venku mam taky dotazy zakazany. MK se dotazuje naseho BINDU a pak tam ma IP na NIC. Pokud se nastavila DNS v kompu na BIND nebo kamkoliv jinam tak to jelo. Ale protoze maji vsichni naflakany IP na ten MK tak jsem to bohuzel musel vyresit DNS NATem.

Vypada to ze je to hodne zivej organismus.

[Tomáš Nesrsta]

tak je opet rano a mame to tu zase:

Kód: Vybrat vše

DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  10.152.0.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Nazev:   c1.idnes.cz
Address:  194.79.52.192
Aliases:  www.idnes.cz



[melvi]

Ano, něco se děje, včera jsem musel přehodit DNS z mikrotiku na BIND, překlad lagoval nekutečně.

I na BIND jede hodně trafficu, vidím to na nějaký BOT na PC zákazníků, který hltí DNS a Mikrotik to nezvládá.

[pepulis]

Ted tu budu mozna za blba, ale nepsalo se tady jiz pred x lety, ze DNS resolver na MK zlobi, pomuze castecne / uplne zmenseni cache-max-ttl v ip/dns a nejlepe hodit zakazniky primo na binda / unbound apod.?

Prosim zadne argumentace, ze to predelavat je na dlouho atd. - k tomu poslouzi pravidlo v NATu, nez se to postupne predela. Pokud nekdo vyuziva vice DNSko (tj. ma u sebe nejaky bordel), co takhle ho docasne presmerovat s DNS pozadavky na 8.8.8.8, zlepsi se to pak ostatnim?