Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 3963 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"host doesn't exist" whn using astaro as dns proxy

mourik_jan
dear readers,

using astaro as dns proxy for internal. have four external dns servers setup, astaro listens to [internal]. all seems to work, exept for internal addresses.

so: www.unimaas.nl resolves to 137.120.1.126, and this ip resolves to www.unimaas.nl. no problem.

however, with all our own addresses, it works one way: dnsname to ip works, but ip to dns name DOESN'T. error message: (from Sam Spade)


09/21/04 11:24:41 dig 192.87.143.5 @ 192.87.143.1
Dig 5.143.87.192.in-addr.arpa@192.87.143.1 ...
Authoritative Answer
Recursive queries supported by this server
Authoritative answer: Host doesn't exist
 Query for 5.143.87.192.in-addr.arpa type=255 class=1
  143.87.192.in-addr.arpa SOA (Zone of Authority)
        Primary NS: localhost
        Responsible person: firewall@fw-notify.net
        serial:1095756860
        refresh:10800s (3 hours)
        retry:900s (15 minutes)
        expire:604800s (7 days)
        minimum-ttl:86400s (24 hours)


remark: internel addresses are *real* ip's. the dns server containing our entries is not on our network, but hosted somewhere else.

what is going wrong here?


This thread was automatically locked due to age.
Parents
  • 0
    is there really no one who has a clue??

    the problem basically comes down to this:

    when asking astaro about an internal address, it says: "authorative answer: host does not exist" (see post above)

    but when asking an external dns server directly it gives the right information.

    In other words: the dns entries are RIGHT, astaro just does not forward or resolve any addresses from the internal range.

    What's wrong here?? (internal range are REAL ip's, btw)
  • 0 in reply to mourik_jan
    I don't perhaps couldn't follow all details here, but it seems to me that ASL doesn't forward DNS queries for addresses that are it's local subnets . So it thinks it is authority, but doesn't have that address.

    What do you have as forwarders?
  • 0 in reply to MagicMike
    What matter was fixed under the hood? Sorry, not following that...

    You mean to say it should be resolving it?
    I know; I'm saying it (the "under the hood" components) is not because it might be seeing the address as private and dropping it.
  • 0 in reply to SecApp
    Sorry, I meant ASL thinks it is authoritative for all those net's with DNS proxy "listening". So the reverse query doesn't get forwarded. The fix was to edit named.conf-default from the command line.
  • 0 in reply to MagicMike
    Sorry! I see what you're saying now.
    (That's why I used those italicized maybes!)

    That's probably it...

    And here's the post: BIND edit for local DNS
  • 0 in reply to mourik_jan
    The ASL generates zones for local interfaces. This leads to a non-working reverse. Strange enough, this is in since Version 2, but you seem to be the first who needs that functionality ;-)
    If those zone definitions do not exist. the firewall asks for the IP address in the internet, creating possibly unwanted traffic for most of the customers; I think that might be the reason why this was implemented.

    The solution for your problem is to remove the line containing  [] from /var/chroot-bind/etc/named.conf-default and disabling/enabling the DNS proxy.

    I entered this in our bug database and we will discuss internally if this "feature" should be removed.
  • 0 in reply to andreas
    [ QUOTE ]
    , this is in since Version 2, but you seem to be the first who needs that functionality ;-) 

    [/ QUOTE ]
    Not really  

    Greetings
    cyclops
  • 0 in reply to andreas
    I've been having this problem for years in 3.x!
    Now I know how to fix it.

    Thanks,
    Barry
  • 0 in reply to andreas
    I think it should be an option in the proxy config.

    I agree with you -- you don't want private IP's trying to resolve on the internet.

    On the other hand, you want your real IPs to resolve.

    I'd been wondering why none of my log analyzers have been able to resolve our own IPs, but other IPs resolve fine.

    Thanks,
    Barry
  • 0 in reply to BarryG
    Interesting problem. I was not aware there was an issue with getting the ASL DNS proxy to resolve local addresses.

    In my home LAN, I have a file server on the local LAN, which runs DNS and DHCP server for the LAN. All DNS requests go to it, which means that all my local fakenet DNS names get properly resolved. For external DNS lookups, my DNS server calls the ASL DNS proxy, which calls my ISPs DNS servers. It is a simple setup, and it resolves everything. No reconfiguration of the ASL DNS proxy was ever required.
  • 0 in reply to VelvetFog
    That's how I have mine setup and it works great. It would be a nice option however to be able to set up a 2ndary zone for the internal network. This way you could have ASL be a 2ndary DNS server for internal clients and still be able to resolve both internal and internet address. As it stands now if you point your internal clients to ASL and Not your internal server you lose internal reolution. I would bet this coule be done with the exsisting BIND loaded on the ASL it would just be a mater of adding the configuration option in the DNS proxie pages.
  • 0 in reply to MarkMurphy
    Its worse than that... we have real DNS setup on an External server at our ISP, but ASL won't resolve the addresses... it seems to throw requests for INT DNS to /dev/null or something.

    Barry
Reply Children
No Data