Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1092 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Drops

virtualrack
Hi All-

After many years of running Astaro on a (don't laugh) PIII 500 w/ 512MB of RAM, I decided to upgrade including hardware. I installed version 7.2 on new hardware and all went well. I tried to run the import from v6 to v7, but it failed, no big deal. 

I built a basic config from scratch. I created MASQ and packet filter rules to allow web surfing. Everything seems to be working except DNS. DNS queries are eventually responded to but it takes 15-30 seconds each time. In the log, I see the packets counted as dropped. I've rechecked the 7.2 configuration several times and get the same result. No changes were made to the clients, but to eliminate it as an issue, a switched back to the old box and viola everything was working again. Switching back to the new box and reinstalling everything still leaves me with slow DNS response. I've read many posts regarding various DNS configurations and none of them work. At this point, I've pulled the new box off the network and reverted back to my trusty PIII 500. 

Any thoughts on what would cause slow and dropped DNS packets?


This thread was automatically locked due to age.
Parents
  • 0
    I assume you have 
    DNS forwarders set to your ISP
    DNS proxy enabled, and allowing connections from the internal network
    ?

    Have you looked at the logs? (PacketFilter, IPS, ...)

    Barry
  • 0 in reply to BarryG
    I assume you have 
    DNS forwarders set to your ISP
    DNS proxy enabled, and allowing connections from the internal network
    ?

    Have you looked at the logs? (PacketFilter, IPS, ...)

    Barry


    DNS forwarders are set to my ISP. I've tried setting them to my ISP, both by checking the box and adding them manually. Both still produce intermittent slow response. Even pointing the clients directly to the ISP DNS servers produce intermittent slow response on the new box.

    DNS proxy is enabled and allowing connections from the internal network. I tried allowing connections from the entire network and specific hosts. Both still produce intermittent slow responses.

    In reviewing the logs including the livelog, I notice some DNS packets from the internal network are dropped, while others from the same hosts are just not passed. The ones not passed are dropped or allow, the state is underdetermined in the livelog. Another thing I notice is packet acknowledgements from sites like Google are being dropped.

    When I replace the new box with my old 6.3 box with an identical configuration, everything works fine. I've rebuilt this new box three times, so I'm stumped at this point.
  • 0 in reply to virtualrack
    In reviewing the logs including the livelog, I notice some DNS packets from the internal network are dropped, while others from the same hosts are just not passed. The ones not passed are dropped or allow, the state is underdetermined in the livelog.


    Can you please post examples from your logs?

    Also, what do you mean by "just not passed" and "undetermined"?

    Barry
  • 0 in reply to BarryG
    A couple of thoughts-
    Have you tried using alternate DNS servers as a test? Maybe the OpenDNS servers, 208.67.220.220 and 208.67.222.222 will show different behavior which might help identify the root problem.

    Also, are the dropped packets all UDP with destination port 53?  Which rule is dropping them?

    As BarryG suggested, log snippets might help.
  • 0 in reply to Jack Daniel
    Hi,
    you might also add how you set the new box up
    1/. migrated 6.3 configuration
    2/. created the configuration from new.

    Ian M[:)]
  • 0 in reply to RFCat_vk_01
    Hi,
    you might also add how you set the new box up
    1/. migrated 6.3 configuration
    2/. created the configuration from new.

    Ian M[:)]


    Hi All-

    Thanks for the responses. For now I took the new box off the network and put the old box back in service. I'll have another chance to "fiddle" with it this weekend, so expect more details this weekend. I can answer a few of the questions now.

    1. I originally tried to import a 6.313 configuration to 7.2; however the import failed, so I ended up creating the configuration from scratch without using the wizard.

    2. As for the comment regarding traffic, the livelog color codes traffic. The dropped DNS requests all appear as grey versus the green for traffic passing and red for blocked traffic.

    3. Good suggestion on using the OpenDNS servers, but I already tried this one and it didn't make a difference.

    Again, thanks for the suggestions. I'll have another chance to try again on Saturday.
  • 0 in reply to virtualrack
    Thanks again for everyone's suggestions. I started from scratch again today and rebuilt the new box. After getting 7.x loaded, I ran into the same intermittent drops. After a process of elimination, I narrowed the issue down to a single interface. Turns out the NIC is bad. After replacing the NIC, things are working fine.
Reply
  • 0 in reply to virtualrack
    Thanks again for everyone's suggestions. I started from scratch again today and rebuilt the new box. After getting 7.x loaded, I ran into the same intermittent drops. After a process of elimination, I narrowed the issue down to a single interface. Turns out the NIC is bad. After replacing the NIC, things are working fine.
Children
No Data