Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3261 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS sometimes working sometimes not

ITinfrastruktur
Dear Board Members,

since about 3 days our DNS service in our network is going crazy.

First, we have a Windows Server 2008 R2 domain controller (DC) where the DNS Server in configured as a DNS Forwarder to the Astaro Firewall. So clients first send their DNS requests to the DC then it gets redirected to the Astaro Firewall and then to the DNS servers of our provider.

The DNS service of the Astaro Firewall is configured that it only allows DNS requests from the DC. And there are 2 DNS forwarding entries for DNS servers of our providers. Regarding DNS service there is no rule in the packet filter rules.

Since 2 days erratically DNS requests from the DC by the Astaro packet filter gets dropped (-> packet filter log). So our DNS system is sometimes working sometimes not and I can't find the reason why this is happening. Astaro worked well for about 4 months and this suddenly started to happen.

Additional Information:
Prior to the problems above an additional interface with an additional subnet was connected (this is a test subnetwork with test clients), a few new packet filter entries were made for the new subnet and the subnet was added as an allowed network to make DNS requests to astaro.

Our Astaro Firewall:
Astaro Virtual Appliance on VMware ESXi with license for 25 users / Astaro Version 8.102


This thread was automatically locked due to age.
  • 0
    don't use the ad as a dns forwarder.  you need to use AD as the network dns.  Have the astaro send AD dns to the AD server and other dns to the internet providder's dns.
  • 0 in reply to William Warren
    So let me get this right:

    Clients send their dns requests to the AD and the AD sends the requests to the providers DNS servers, right?
    And Astaro sends his DNS requests to the AD as well and the AD sends the requests to the providers DNS servers?

    I've never heard that someone has configured it that way. Why do you recommend this?
  • 0 in reply to ITinfrastruktur
    By the way:

    It looks like that some entries in the Astaro Firewall are corrupt. I made the following rule and DNS requests from the AD to the providers DNS servers (yes I changed it temporarily) still gets dropped by the packet filter:

    Source       Service       Destination
    srvAD        DNS            Internet v4

    My guess is, that somehow the "srvAD" entry got corrupt. The packet filter still drops DNS requests from srvAD to the internet (=DNS servers of our provider). But I have to mention that not all DNS requests get dropped. Sometime requests get through sometimes they get dropped without reason.

    From the packet filter log:
    srvAD:50678 --> providerDNS:53    => sometimes dropped sometimes not
  • 0 in reply to ITinfrastruktur
    So let me get this right:

    Clients send their dns requests to the AD and the AD sends the requests to the providers DNS servers, right?
    And Astaro sends his DNS requests to the AD as well and the AD sends the requests to the providers DNS servers?

    I've never heard that someone has configured it that way. Why do you recommend this?

    because it is hte way AD requires it for AD to function correctly.  Actually it's seutp this way be default. 

    you need to setup AD to be the primary DNS for the entire network.,  YOu also need to authorize the DNS server for AD on the AD DHCP server as well..aka dhcp should be on the AD server as well.  Forwarders should be the wan dns 1 wan dns 2.  If you want to use the astaro put it at the bottom of hte list.  I have 7 forwarders for dns in my AD DNS and the astaro is number 7.
      
    On the Astaro in the DNS area general tab.read this carefully:
    Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.

    so if you run AD this should be blank for your internal network.  Otherwsie you get a dns loop that cuases various kinds of issues.  

    Forwarders tab: wan dns 1, wan dns 2, internal AD dns third in that order
    request routing tab: click new.  domain is the AD domain(should be domain.local) not the wan domain.  if they match(not advisable) then use it there.  Target servers is your AD server.Save it and turn it on

    This will keep your dns from getgin looped over and other weirdness.  It also means the Astaro will not be trying to service DNS requests for AD which it can't resolve.

    Keep in mind if your dhcp and dns on the AD are misconfigured then this could cause issues until you get it fixed.
  • 0
    Hi, ITinfrastuktur, and welcome to the User BB!

    Here's a suggested DNS Best Practice - a summary I wrote of what BruceK and others suggested two years ago.

    If you're still having problems, please post a line from your packet filter log showing the drop.  Also, confirm that the requesting IP is your DC, or show a pic of the 'Allowed networks' for the DNS Proxy.  Check the Intrusion Prevention log at the same time as the line in the PF log to see if there's a problem there.

    Cheers - Bob