Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 9384 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Weird DNS issue

x12Mike
Greetings All,

  I ran into this today, and am kinda stumped.  I use the UTM at home for my house.  It runs DNS for my home network and forwards out to Google's (8.8.8.8 & 8.8.4.4) for non-internal resolution.

  DHCP is done by the UTM, and hands out the UTM IP for DNS to my LAN.

  I came home today and the UTM is not resolving any .tv domains (twit.tv, justin.tv, etc, etc).

  I have restarted it, flushed the resolver cache, yet nothing works.  I even went as far as taking my home domain (my.home) and put it in the DNS Request Routing section, with the IP being the UTM and set DHCP to hand out  Google's...  

  In that last example, I can resolve .tv domains, but my local zone (my.home) doesn't resolve...  (which may be an error in my understanding of how the DNS Request Routes work)

  It has always been working, so I am not sure how it stopped, but I cannot for the life of me resolve it...

  I also cannot seem to get more verbose logging for the bind log to see what is going on in the background...

Any suggestions?


This thread was automatically locked due to age.
  • 0
    Have you tried other DNS servers out there. 4.2.2.2-6 is verizon, iPFire has a list that you can pick to try out.
  • 0 in reply to Alex_P_01
    I know Google DNS works as you can see below.

    Using the UTM which should be forwarding
    root@server:~$ nslookup twit.tv
    Server:         192.168.0.1
    Address:        192.168.0.1#53

    ** server can't find twit.tv: NXDOMAIN

    Using Google DNS directly
    root@server:~$ nslookup twit.tv 8.8.8.8
    Server:         8.8.8.8
    Address:        8.8.8.8#53

    Non-authoritative answer:
    Name:   twit.tv
    Address: 174.36.55.199
  • 0
    Hi,

    Please post screenshots of your DNS request routing setup.

    You could also try restarting the DNS 'proxy'.

    Barry
  • 0 in reply to BarryG
    OK I attached all three things I could think of.

    Just to reiterate tho, DNS_Forwarders has always been the way it is, but the highlighted section that says "Currently assigned forwarders" lists my ISP's DNS servers, but is that just for reference, or is the UTM using those instead of what I have listed?

    The Google_DNS_Entry image lists the 8.8.8.8 IP, the #2 entry has the 8.8.4.4 IP.

    The Request_Routing_Attempt was my attempt this evening to resolve the issue, which still appears to not be working regardless if that entry is there or not.

    Also note, that when I make a change (because I am currently on a Windows laptop), I do the following:

    ipconfig /flushdns
    arp -d


    And then I run basic nslookup queries or dig queries to see if my changes worked.
  • 0 in reply to x12Mike
    Just to reiterate tho, DNS_Forwarders has always been the way it is, but the highlighted section that says "Currently assigned forwarders" lists my ISP's DNS servers, but is that just for reference, or is the UTM using those instead of what I have listed?


    As long as you don't check the "Use ISP forwarders" checkbox, that is just for reference.

    The Request_Routing_Attempt was my attempt this evening to resolve the issue, which still appears to not be working regardless if that entry is there or not.


    Weird.
    Is your 'my.home' request route disabled?

    On the console/shell, can you run tcpdump on port 53 on the external interface and try to resolve a .tv domain from your PC, with and without the request routes?
    tcpdump -i eth0 port 53
    (assuming eth0 is external)

    Barry
  • 0
    1. Also check the logs (IPS, Firewall).
    It could be an IPS problem.

    2. What is the UTM version?

    I'm running 9.106017, pattern version 51576, and using OpenDNS as the forwarders, and twit.tv resolves OK for me internally.

    Barry
  • 0 in reply to BarryG

    Weird.
    Is your 'my.home' request route disabled?

    Yes, I am back to default with the UTM doing DNS and forwarders being Google.  Request Routing is empty.


    On the console/shell, can you run tcpdump on port 53 on the external interface and try to resolve a .tv domain from your PC, with and without the request routes?
    tcpdump -i eth0 port 53
    (assuming eth0 is external)
    Barry


    I added a -v just to see, and this is what I got:

    utm:/ # tcpdump -v -i eth0 port 53
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
    08:24:21.583506 IP (tos 0x0, ttl 128, id 14615, offset 0, flags [none], proto UDP (17), length 70) laptop.my.home.53435 > utm.domain: 1+ PTR? 1.0.168.192.in-addr.arpa. (42)
    08:24:21.584238 IP (tos 0x0, ttl 64, id 43399, offset 0, flags [none], proto UDP (17), length 126) utm.domain > laptop.my.home.53435: 1* 1/1/1 1.0.168.192.in-addr.arpa. (98)
    08:24:21.585813 IP (tos 0x0, ttl 128, id 14616, offset 0, flags [none], proto UDP (17), length 62) laptop.my.home.53436 > utm.domain: 2+ A? twit.tv.my.home. (34)
    08:24:21.586291 IP (tos 0x0, ttl 64, id 43400, offset 0, flags [none], proto UDP (17), length 124) utm.domain > laptop.my.home.53436: 2 NXDomain* 0/1/0 (96)
    08:24:21.587143 IP (tos 0x0, ttl 128, id 14618, offset 0, flags [none], proto UDP (17), length 62) laptop.my.home.53437 > utm.domain: 3+ AAAA? twit.tv.my.home. (34)
    08:24:21.587490 IP (tos 0x0, ttl 64, id 43401, offset 0, flags [none], proto UDP (17), length 124) utm.domain > laptop.my.home.53437: 3 NXDomain* 0/1/0 (96)
    08:24:21.588365 IP (tos 0x0, ttl 128, id 14620, offset 0, flags [none], proto UDP (17), length 53) laptop.my.home.53438 > utm.domain: 4+ A? twit.tv. (25)
    08:24:21.588701 IP (tos 0x0, ttl 64, id 43402, offset 0, flags [none], proto UDP (17), length 115) utm.domain > laptop.my.home.53438: 4 NXDomain* 0/1/0 (87)
    08:24:21.589816 IP (tos 0x0, ttl 128, id 14622, offset 0, flags [none], proto UDP (17), length 53) laptop.my.home.53439 > utm.domain: 5+ AAAA? twit.tv. (25)
    08:24:21.590160 IP (tos 0x0, ttl 64, id 43403, offset 0, flags [none], proto UDP (17), length 115) utm.domain > laptop.my.home.53439: 5 NXDomain* 0/1/0 (87)
    08:24:21.623803 IP (tos 0x0, ttl 128, id 14625, offset 0, flags [none], proto UDP (17), length 70) laptop.my.home.53440 > utm.domain: 1+ PTR? 1.0.168.192.in-addr.arpa. (42)
    08:24:21.624159 IP (tos 0x0, ttl 64, id 43404, offset 0, flags [none], proto UDP (17), length 126) utm.domain > laptop.my.home.53440: 1* 1/1/1 1.0.168.192.in-addr.arpa. (98)
    08:24:21.631880 IP (tos 0x0, ttl 128, id 14627, offset 0, flags [none], proto UDP (17), length 66) laptop.my.home.53441 > utm.domain: 2+ A? geekbeat.tv.my.home. (38)
    08:24:21.632233 IP (tos 0x0, ttl 64, id 43405, offset 0, flags [none], proto UDP (17), length 128) utm.domain > laptop.my.home.53441: 2 NXDomain* 0/1/0 (100)
    08:24:21.633097 IP (tos 0x0, ttl 128, id 14628, offset 0, flags [none], proto UDP (17), length 66) laptop.my.home.53442 > utm.domain: 3+ AAAA? geekbeat.tv.my.home. (38)
    08:24:21.633465 IP (tos 0x0, ttl 64, id 43406, offset 0, flags [none], proto UDP (17), length 128) utm.domain > laptop.my.home.53442: 3 NXDomain* 0/1/0 (100)
    08:24:21.634358 IP (tos 0x0, ttl 128, id 14630, offset 0, flags [none], proto UDP (17), length 57) laptop.my.home.53443 > utm.domain: 4+ A? geekbeat.tv. (29)
    08:24:21.634721 IP (tos 0x0, ttl 64, id 43407, offset 0, flags [none], proto UDP (17), length 119) utm.domain > laptop.my.home.53443: 4 NXDomain* 0/1/0 (91)
    08:24:21.635649 IP (tos 0x0, ttl 128, id 14633, offset 0, flags [none], proto UDP (17), length 57) laptop.my.home.53444 > utm.domain: 5+ AAAA? geekbeat.tv. (29)
    08:24:21.636036 IP (tos 0x0, ttl 64, id 43408, offset 0, flags [none], proto UDP (17), length 119) utm.domain > laptop.my.home.53444: 5 NXDomain* 0/1/0 (91)


    And as I am re-reading this to make the post look pretty and easy to read, I notice that the UTM shows as "utm.domain".  There is a host entry for it, so shouldn't it be "utm.my.home"?  (Didn't know if it should be that way or not, and is related.)
  • 0 in reply to BarryG
    1. Also check the logs (IPS, Firewall).
    It could be an IPS problem.

    I didn't notice anything, but will double-check

    EDIT:  I went back to check both logs, and nothing showed up when I ran the nslookup's.


    2. What is the UTM version?

    I'm running 9.106017, pattern version 51576, and using OpenDNS as the forwarders, and twit.tv resolves OK for me internally.

    Barry


    Firmware:  9.106-17
    Pattern Version:  51609
  • 0 in reply to x12Mike
    I notice that the UTM shows as "utm.domain".  There is a host entry for it, so shouldn't it be "utm.my.home"?  (Didn't know if it should be that way or not, and is related.)


    Hi,

    What do you have set in the firewall hostname in the Management section?

    This tcpdump looks like it's on the internal interface; is eth0 internal or external?
    Can you run it again on external, and add -n to show IPs instead of names?

    Barry
  • 0
    BTW, I've had weird problems at home when using a fake domain... it affected lookups within that domain, but I never noticed problems with internet DNS.

    I got a real .net domain from namecheap for $10 with dynamic DNS and am having no more problems.

    Barry