Problema com DNS centralizado. [RESOLVIDO]

rodrigocontrib
(usa Debian)

Enviado em 06/08/2014 - 17:36h

Prezados,
Estou com um problema um tanto chato em meu laboratorio, criei uma estrutura da seguinte forma:

internet <==> GW <==> GW-LAB <==> FW-RI <==> DNS
internet <==> GW <==> GW-LAB <==> FW-01
internet <==> GW <==> GW-LAB <==> FW-02
Quero utilizar o DNS que está abaixo do FW-RI para suprir todos os firewalls da rede com um unico dns,
no entanto quando faço uma consulta no DNS ele apresenta dois problemas distintos, o primeiro é que resolve nomes para dominios cadastrados nele.
No meu caso meudominio.com mas o tempo de resposta está muito alto dos hosts [FW-01 e FW-02] e normal no FW-RI.
O segundo problema é o pior, é quando acesso o DNS para consulta de a partir de host na rede que não seja o FW-RI, ele simplesmente não responde
para domínios não cadastrados nele.
Consigo pingar normalmente o DNS, dar telnet na porta 53 e não tenho regras de firewall bloqueando nada.Todos os firewalls estão configurados com
um unico DNS que é o meu.
Alguém poderia me auxiliar neste assunto.

Buckminster
(usa Debian)

Enviado em 06/08/2014 - 18:21h

Como estão as ligações físicas?

Pelo que eu entendi cada GW é um gateway distinto e cada qual com a sua própria rede.

O DNS está conectado fisicamente em um switch na rede FW-RI?

Tu acrescentou o IP do teu DNS nos DHCPs das redes?
Exemplo: option domain-name-servers teu_IP_DNS, 8.8.8.8, 189.38.95.95, teu_IP_do_gateway;

rodrigocontrib
(usa Debian)

Enviado em 06/08/2014 - 18:54h

Vamos lá:

internet <==> GW <==> GW-LAB <==> FW-RI <==> DNS
internet <==> GW <==> GW-LAB <==> FW-01
internet <==> GW <==> GW-LAB <==> FW-02

O GW-LAB fala com todos os conectados diretamente, cada um por uma VLAN diferente.
Só criei uma vlan diferente entre o FW-RI e o DNS para separa-lo das demais redes.

Vamos as Vlans:
GW-LAB <==> FW-RI Vlan-RI
GW-LAB <==> FW-01 Vlan-FW-01
GW-LAB <==> FW-02 Vlan-FW-02
FW-RI <==> DNS Vlan-Servicos

Bom, o ip do meu dns é 192.168.22.83

Abaixo meus traceroutes dos meus firewalls/GW para o meu dns:
root@FW-01:~# traceroute 192.168.22.83
traceroute to 192.168.22.83 (192.168.22.83), 30 hops max, 60 byte packets
1 192.168.22.13 (192.168.22.13) 0.856 ms 0.717 ms 0.551 ms
2 192.168.22.242 (192.168.22.242) 1.790 ms 1.714 ms 1.617 ms
3 192.168.22.83 (192.168.22.83) 3.433 ms 3.411 ms 3.179 ms
root@FW-01:~#

root@FW-02:~# traceroute 192.168.22.83
traceroute to 192.168.22.83 (192.168.22.83), 30 hops max, 60 byte packets
1 192.168.22.161 (192.168.22.161) 0.332 ms 0.714 ms 0.422 ms
2 192.168.22.242 (192.168.22.242) 1.627 ms 1.546 ms 3.786 ms
3 192.168.22.83 (192.168.22.83) 3.699 ms 3.603 ms 3.506 ms
root@FW-02:~#


root@FW-RI:~# traceroute 192.168.22.83
traceroute to 192.168.22.83 (192.168.22.83), 30 hops max, 60 byte packets
1 192.168.22.83 (192.168.22.83) 0.900 ms 0.763 ms 0.661 ms
root@FW-RI:~#

root@GW-LAB:~# traceroute 192.168.22.83
traceroute to 192.168.22.83 (192.168.22.83), 30 hops max, 60 byte packets
1 192.168.22.242 (192.168.22.242) 0.449 ms 0.712 ms 0.613 ms
2 192.168.22.83 (192.168.22.83) 1.291 ms 1.069 ms 2.095 ms
root@GW-LAB:~#

Tracert do meu DNS para meus FWS/GW
Para meu FW-01
root@DNS-RI:~# traceroute 192.168.22.14
traceroute to 192.168.22.14 (192.168.22.14), 30 hops max, 60 byte packets
1 192.168.22.81 (192.168.22.81) 1.666 ms 1.538 ms 1.446 ms
2 192.168.22.241 (192.168.22.241) 2.887 ms 3.058 ms 2.968 ms
3 192.168.22.14 (192.168.22.14) 7.727 ms 7.637 ms 7.545 ms
root@DNS-RI:~#
Para meu FW-02
root@DNS-RI:~# traceroute 192.168.22.162
traceroute to 192.168.22.162 (192.168.22.162), 30 hops max, 60 byte packets
1 192.168.22.81 (192.168.22.81) 4.004 ms 3.882 ms 3.705 ms
2 192.168.22.241 (192.168.22.241) 3.602 ms 3.514 ms 3.427 ms
3 192.168.22.162 (192.168.22.162) 3.339 ms 2.750 ms 2.706 ms
root@DNS-RI:~# ^C
Para meu FW-RI
root@DNS-RI:~# traceroute 192.168.22.81
traceroute to 192.168.22.81 (192.168.22.81), 30 hops max, 60 byte packets
1 192.168.22.81 (192.168.22.81) 0.303 ms 1.964 ms 1.877 ms
root@DNS-RI:~#
Para meu GW-LAB
root@DNS-RI:~# traceroute 192.168.22.161
traceroute to 192.168.22.161 (192.168.22.161), 30 hops max, 60 byte packets
1 192.168.22.81 (192.168.22.81) 4.102 ms 3.980 ms 3.890 ms
2 192.168.22.161 (192.168.22.161) 6.602 ms 6.522 ms 6.435 ms
root@DNS-RI:~#

rodrigocontrib
(usa Debian)

Enviado em 06/08/2014 - 19:03h

Testes feitos do hos FW-RI (gateway do DNS):

root@FW-RI:~# cat /etc/resolv.conf
domain localdomain
search localdomain
search meudominio.com.br
nameserver 192.168.22.83
root@FW-RI:~# ping meudominio.com
PING meudominio.com (192.168.22.83) 56(84) bytes of data.
64 bytes from 192.168.22.83: icmp_req=1 ttl=64 time=0.090 ms
64 bytes from 192.168.22.83: icmp_req=2 ttl=64 time=0.413 ms
64 bytes from 192.168.22.83: icmp_req=3 ttl=64 time=0.889 ms
64 bytes from 192.168.22.83: icmp_req=4 ttl=64 time=0.290 ms
^C
--- meudominio.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3009ms
rtt min/avg/max/mdev = 0.090/0.420/0.889/0.294 ms
root@FW-RI:~# ping google.com
PING google.com (186.223.162.155) 56(84) bytes of data.
64 bytes from badfa29b.virtua.com.br (186.223.162.155): icmp_req=1 ttl=60 time=8.64 ms
64 bytes from badfa29b.virtua.com.br (186.223.162.155): icmp_req=2 ttl=60 time=9.70 ms
64 bytes from badfa29b.virtua.com.br (186.223.162.155): icmp_req=3 ttl=60 time=9.19 ms
64 bytes from badfa29b.virtua.com.br (186.223.162.155): icmp_req=4 ttl=60 time=10.1 ms
^C
--- google.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3001ms
rtt min/avg/max/mdev = 8.648/9.428/10.161/0.565 ms
root@FW-RI:~#

Testes feitos do host GW-LAB:
OBS: Note que o DNS resolve o dominio que eu criei dentro dele meudominio.com, mas não resolve os dominios externos a ele, como ele faz no
FW-RI que é um host que está logo acima dele (É o gateway do DNS)

root@GW:~# cat /etc/resolv.conf
domain meudominio.com
search localdomain
nameserver 192.168.22.83
root@GW:~# ping meudominio.com
PING meudominio.com (192.168.22.83) 56(84) bytes of data.
64 bytes from 192.168.22.83: icmp_req=1 ttl=63 time=0.372 ms
64 bytes from 192.168.22.83: icmp_req=2 ttl=63 time=0.515 ms
64 bytes from 192.168.22.83: icmp_req=3 ttl=63 time=0.769 ms
^C
--- meudominio.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 0.372/0.552/0.769/0.164 ms
root@GW:~# ping google.com
ping: unknown host google.com
root@GW:~#

rodrigocontrib
(usa Debian)

Enviado em 08/08/2014 - 09:37h

Srs.
Consegui uma solução para o problema, na verdade era uma opção que não consta no meu named.conf.options a entrada é a bendita:
allow-query { any; };
Pelo que entendi, o DNS não tinha nenhuma altorização para que outros servidores o acessassem e fizessem requisições.
Provavelmente é uma opção de segurança para não sobrecarregar.

Li a resposta no forum abaixo :
http://www.vivaolinux.com.br/topico/CentOS/Bind-so-resolve-nome-em-maquina-local?num_por_pagina=12&a...