Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 2716 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Nightmare =( H3LP!

Corey3443
Ok I did a rebuild with Vlans this time, something new. ive had no trouble setting everything up, web proxy, NAT, firewall the lot. UNTIL NOW

i've ran into this issue where my client machines can not resolve dns. And i have no idea why.

On one of my box's, i run transmission for seeding/downloading; and even since i did my rebuild i cant seem to resolve dns names.

Ive done the Following: (ports are forwarded correctly etc)

[LIST=1]
  • Checks IP Config, it is using ASG as its dns
  • Checks to see if ASG is allowing access, it is
  • Checked Defualt Gateway, its correct
  • flushed dns, than used a forwarder that was my isp "4.2.2.1" which was what i use to use still didnt work
  • Pop'd a vain and ready the put my head through screen
[/LIST]

I can however use the webproxy and visit those dns names.


if someone could help me solve this ASAP id be soever greatful


This thread was automatically locked due to age.
  • 0
    2. Checks to see if ASG is allowing access, it is

    Do you mean the "Allowed Networks" in the DNS menu, right?

    What did you get back if you try to resolve a name at command line? 
    nslookup www.google.com 


    You also can try if you can connect to the DNS service of the ASG by telnet: 
    telnet  53
  • 0 in reply to UrsWeiss
    Do you mean the "Allowed Networks" in the DNS menu, right?

    Yes, i have 3 vlans so i have all 3 in there.


    What did you get back if you try to resolve a name at command line? 
    nslookup www.google.com 


    i got 1 of 2 things. From my pc, i got the proper resolve, from the server i got a fail, and from a laptop i got a fail aswell.

    all the settings are the same so im lost

    i've just rolled back to my old config (minus vlans) due to rage. i really wanted the vlans, but if its going to cause other issues i would be happy with what i had.
  • 0 in reply to Corey3443
    Have you configured the switch ports (and the hosts if you want to use tagged ports) properly?

    The switch port (or the host if the switch port is configured as tagged) has to be member of the corresponding VLAN.
  • 0
    Yea, i can reach everything correctly and its all configured right, I can ping everything on local Vlan, and if i setup a firewall rule, i can ping other vlan devices aswell.

    The File Server, and this Desktop are on the Same Switch, Which than connects to the Tagged Port, which than in turn goes to the firewall.
    From a different vlan network, i can even access my window shares by using a firewall rule  (Public (network object) - > CIFS Service - >File Server (Host Object)

    Both The File Server, and The desktop in current on are Both on the Same VLAN
    Both use DHCP
    Both have a Any Service Allow rule to Internet Uplink

    Desktop can Resolve Names, without getting errors.

    File Server can not.
  • 0
    would it help if i gave u more info? if so what do you want?
    edit: i would happy give remote access, but i just rolled back
  • 0
    Information:
    Nic 1 (UPLINK) - Cable Modem (DHCP)
    Nic 2 Vlan tag 7 (Secure) -  (10.0.0.1/255.255.255.0)
    Nic 2 Vlan tag 10 (Public) -  (10.0.8.1/255.255.255.0)
    Nic 2 Vlan tag 11 (DMZ)   -  (172.168.1.1/255.255.255.0)

    Secure and Public both have a DHCP Server, but Secure has "Clients with static mappings only" ticked.

    Secure,Public,DMZ have Masq rules pointing to UPLINK.

    Secure has a Firewall rules:
    Secure (Network) -> All Services -> Internet v4 | Allow,Log
    Secure (Network) -> All Services -> Public (Network) | Allow,Log

    Public Has a Firewall Rules:
    PublicUserGroupObject - > Approved Services - > Internet v4 | Allow,Log
    PublicUserGroupObject - > CIFS - > NAS Hostname | Allow,Log

    DMZ has a firewall rule:
    DMZ (Network) -> ALL Services - > Secure (Network) | Deny ,Log
    DMZ (Network) -> ALL Services - > Public (Network)  | Deny ,Log
    DMZ (Network) -> ALL Services - > Internet v4 | Allow,Log

    DNS Settings:

    Allowed Networks: Secure (Network), Public (Network), DMZ(Network)

    DNS Forwarders:
    4.2.2.1 (Host, Uplink Interface)
    4.2.2.2 (Host, Uplink Interface)

    "Use forwarders assigned by ISP" unticked


    This firewall is sitting on a cable uplink, so no NAT in front of it

    EDIT: ive noticed in the dnsproxy logs im getting lots of theses

    2011:11:19-12:51:38 AstaroFW named[5958]: unexpected RCODE (REFUSED) resolving '223.35.179.142.in-addr.arpa/PTR/IN': 209.53.4.150#53
    2011:11:19-12:51:39 AstaroFW named[5958]: unexpected RCODE (REFUSED) resolving '223.35.179.142.in-addr.arpa/PTR/IN': 209.53.4.130#53

    they seem to pop up whenever im trying to resolve a name, yet if i do it on my desktop i works.
  • 0
    bump! sure no one has any ideas? if someone has some spare time, i can open up the web interface for you to have a look.
    cuz if not, im going to have to go back to my old settings, and i kind of wanted the vlans to work.

    AND before people say i did vlans wrong, there set up fine lol
    i can ping each vlan (using tags btw) device and they can all reach the ASG. If i also setup a firewall rule to let the ping travel from vlan 1 to vlan 2 it will let me ping that aswell
  • 0
    Hi Corey,

    Nearly all of The stuff Looks good, I can only give you a hint. 

    Please try to remove the interface bindings for your DNS sever objects and flush the DNS cache.

    When trying it again, use tcpdump on the ASG to verify that the dns packets reach the ASG. you can do this with:

    tcpdump -i  -qnn host  and port 53


    Than you should see packets coming in and out.

    You can also make sure that the dns resolution in the box is working as expected with:

    host 


    If packets go back and forth and the DNA resulting on the box works, we need to dig a little deeper.

    Thx Gert
  • 0
    Thanks Gert, i tried that but it didnt seem to help, infact, about 20mins later i was over it and decided i would just try a rebuild to see if it was a underlying config issue that maybe didn't get overridden correctly or something.

    Even though it was a bitch to redo the config, everything seems to be working now perfectly. 

    Very pleased with how the vlans are working for me, together with my GS108T and a Router Running DD-Wrt (trunked using tags), Vlan tags seem to be a awesome way to config multiple networks. Im considering getting another GS108T just so i can Use Multiple Vlans at the other end of the house by adding another trunk.

    Infact, everyone said they are rather difficult to learn, yet it took only 2mins to setup once i got my head another the Netgear Webui

    A quick question though, Ive configured a CIFS firewall rule to allow Samba Traffic to a single host on my "secure" network. Now from my understand, if i'm trying to access this via Wifi which is located on the Private Network, traffic has to do the following:

    Request File from windows share - > Go to GS108T -> Go to ASG -> ASG routes to GS108T -> GS108T go to Samba Share

    Would this put alot of strain on the firewall?
    Specs:

    Intel Atom 525
    4GB Ram
    60GB SSD
  • 0
    Hi, the CIFS traffic may be slowed by the IPS. My experience is that my single-core Atom 270 can run about 40-50mbps through the IPS.

    If needed, you could add IPS exception for the traffic.

    Barry