Назад | Перейти на главную страницу

Cisco 837 не передает трафик UDP должным образом (было: проблема с запросом DNS)

У нас есть настройка линии ADSL -> Маршрутизатор Cisco 837 ADSL -> Межсетевой экран / NAT Zyxel ZyWall 35 -> Коммутатор -> LAN.

В течение многих лет все было хорошо, внезапно перестало работать разрешение DNS из локальной сети на общедоступные DNS-серверы. Мне ничего не известно об изменениях, поэтому я не могу ничего отменить.

Текущее поведение:

Резюме: ПТС вроде нормально все продумано. UDP работает от Cisco через ADSL, и он работает от LAN к Cisco, но, похоже, он не проходит через Cisco 837 должным образом. Обновление: с помощью netcat подтверждено, что затронут любой трафик UDP из локальной сети, а не только трафик на порт 53.

Обновить: Если я изменю внешний IP-адрес брандмауэра на любой другой IP-адрес в подсети, это начнет работать. Когда ставлю обратно, перестает работать. Теперь я подозреваю, что это проблема интернет-провайдера (кажется ли это правдоподобным?), И я удаляю конфигурацию Cisco.

  • Это просто udp или tcp тоже влияет?
  • Есть ли проблемы с IPv4 / IPv6 (иногда роутеры путаются, я видел это только для действительно дешевых)

Способ проверить это (используя DNS-серверы Google):

$ dig @8.8.8.8 example.com +noall +answer +notcp +ignore # udp only
example.com.        50270   IN  A   192.0.43.10
;; Received 45 bytes from 8.8.8.8#53(8.8.8.8) in 29 ms

$ dig -4 example.com +noall +answer +notcp +ignore # udp only/ipv4 only
example.com.        50270   IN  A   192.0.43.10

$ dig -6 example.com +noall +answer +notcp +ignore # udp only/ipv6 only
example.com.        50270   IN  A   192.0.43.10
;; Received 45 bytes from 8.8.8.8#53(8.8.8.8) in 29 ms

$ dig @8.8.8.8 example.com +noall +answer +tcp # tcp only
example.com.        50256   IN  A   192.0.43.10
;; Received 45 bytes from 8.8.8.8#53(8.8.8.8) in 30 ms

$ dig -4 example.com +noall +answer +tcp # tcp only/ipv4 only
example.com.        50256   IN  A   192.0.43.10
;; Received 45 bytes from 8.8.8.8#53(8.8.8.8) in 30 ms

$ dig -6 example.com +noall +answer +tcp # tcp only/ipv6 only
example.com.        50256   IN  A   192.0.43.10
;; Received 45 bytes from 8.8.8.8#53(8.8.8.8) in 30 ms

Также:

  • У тебя есть tcpdump
  • Может быть, получите дешевый экземпляр VPS / EC2 / Rackspace и откройте порт 53 (netcat твой друг). Проверьте с помощью telnet возможность подключения - просто чтобы убедиться, что ваши пакеты действительно выходят за пределы вашего брандмауэра.

На самом деле есть хороший статья в Google Code, в котором рассказывается об устранении проблем с DNS.

Возможно, вы захотите протестировать другой DNS, например DNS вашего интернет-провайдера или OpenDNS.

У меня такое ощущение, что ваш брандмауэр не поддерживает 8.8.8.8.

Сначала начните с того, что отключите оба и снова подключите их. Проверьте настройки шлюза на Zyxel и убедитесь, что он указывает на cisco DSL. Затем убедитесь, что порт включен административно на маршрутизаторе cisco. Затем убедитесь, что ACL на маршрутизаторе cisco позволяет Zyxel подключаться к нему. Пингуйте роутер cisco от zyxel, никакого ответа. Что-нибудь изменилось за последнее время? Прошивка, восстановление, что-нибудь?