classic.ISPforum.cz

Zdravím,
Mám takový problém. Mám za Mikrotikem server kde běží DNS server Bind9, mikrotik mám natovanej a tento konkrétní server mám natovaný do veřejný IP adresy pomocí src a dst natu. Všechno funguje kromě toho DNS serveru. Něco jsem našel na google třeba: http://forum.mikrotik.com/viewtopic.php?t=39241 ale řešení pro můj problém jsem nenašel.
Můžete mi prosím poradit jak to nastavit aby fungovat i ten dns server?
Budu rád za každou radu děkuji.

Nevidím důvod, proč by měl mít problém s NAT. Normální aplikace. Snad jen špatně nastavený parametr query-source-address (z hlavy ... možná je syntaxe trochu jiná) by mohl být problém.

A ještě mi řekni, jak ti máme poradit, když jsi sem nedal ani řádek ze své konfigurace ... Že by se zde objevil někdo, kdo řešil přesně stejný problém a poskytl ti přesné řešení je tak málo pravděpodobné ... že spíš ti poradí microsoft.

Konfigurace je tady:

Omlouvám se.

ludvik píše:Nevidím důvod, proč by měl mít problém s NAT. Normální aplikace. Snad jen špatně nastavený parametr query-source-address (z hlavy ... možná je syntaxe trochu jiná) by mohl být problém.

A jak mám tedy přenastavit ten query-source-address ?

Zkus to nijak. Nebo na tu IP, co je NATkovaná.

Budeš tam mít nějakou logickou chybu. Prostě není důvod, proč by to nemělo jít. Není to žádná specialita jako FTP nebo torrent, nebo nějaké RPC šílenosti. Dostane paket, tak na něj odpoví. Je to stejné, jako web server. Až na to, že potřebuje oba protokoly, tcp i udp.

Takže si to někde buď filtruješ, na routeru nebo tom serveru, nebo máš blbě toho binda a špatně udělané např. ACL.

Zkus si to po cestě logovat, nebo sniffovat. Uvidíš, kde se ti to sekne a nevrátí. Zkoušej.

Bind9 špatně není když tam ještě nebyl ten mikrotik tak normálně fungovat a 53 ve firewallu zablokovanou také nemám naopak mám jí ještě přidanou jako povolenou.

dst nat mám nastaven takto:


a src nat takto:


A nejsem jedinej komu Bind9 za Mikrotikem nefunguje našel jsem spostu dotazů na tento problém ale všek žádne řešení.
Jo jinak používám Mikrotik nainstalovaný na x86

lepsi nez zaneradit forum neprehlednymi obrazky je pouzit

/ip firewall
export compact


taky muzes pomoci snifferu koukat kam az packety od bindu (a v jakem stavu) dorazily.

Interesting ports on alpha.freshost.cz (85.132.182.219):
Not shown: 1669 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp filtered domain
80/tcp open http
111/tcp open rpcbind
143/tcp open imap
161/tcp filtered snmp
443/tcp open https
993/tcp open imaps
3306/tcp open mysql
8081/tcp open blackice-icecap

Nmap finished: 1 IP address (1 host up) scanned in 2.409 seconds

barneby píše:Bind9 špatně není když tam ještě nebyl ten mikrotik tak normálně fungovat a 53 ve firewallu zablokovanou také nemám naopak mám jí ještě přidanou jako povolenou.

Mimochodem ty obrázky tu počítám za půl roku už nebudou vidět ...

53/tcp filtered domain
Ale co s tím když ho mám ve firewallu povolený a stejně nejde? Nemůže být třeba problém na straně ISP?

barneby píše:53/tcp filtered domain
Ale co s tím když ho mám ve firewallu povolený a stejně nejde? Nemůže být třeba problém na straně ISP?

ISP to klidne muze taky blokovat - zvlast pokud ma Tve IP spatnou reputaci (bezel na nem nechraneny rekurzivni DNS server apod). Overit si to muzes snifovanim DNS packetu na wanu - pokud vidis jen odchozi dotazy a neprichazi zadne odpovedi tak se to zrejme ztraci nekde u ISP

Tak to asi blokuje ISP protože když jsem u něj na lokálu dns normálně fungují ale když se na ně chci připojit v veřejný tak je 53 blokována.