Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 9397 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Weird DNS issue

x12Mike
Greetings All,

  I ran into this today, and am kinda stumped.  I use the UTM at home for my house.  It runs DNS for my home network and forwards out to Google's (8.8.8.8 & 8.8.4.4) for non-internal resolution.

  DHCP is done by the UTM, and hands out the UTM IP for DNS to my LAN.

  I came home today and the UTM is not resolving any .tv domains (twit.tv, justin.tv, etc, etc).

  I have restarted it, flushed the resolver cache, yet nothing works.  I even went as far as taking my home domain (my.home) and put it in the DNS Request Routing section, with the IP being the UTM and set DHCP to hand out  Google's...  

  In that last example, I can resolve .tv domains, but my local zone (my.home) doesn't resolve...  (which may be an error in my understanding of how the DNS Request Routes work)

  It has always been working, so I am not sure how it stopped, but I cannot for the life of me resolve it...

  I also cannot seem to get more verbose logging for the bind log to see what is going on in the background...

Any suggestions?


This thread was automatically locked due to age.
Parents
  • 0
    I ran this just to be safe:

    tcpdump -vvv -n -i any port 53


    It's all LAN based, nothing goes outside...  


    16:17:48.754916 IP (tos 0x0, ttl 128, id 710, offset 0, flags [none], proto UDP (17), length 70) 192.168.0.140.60220 > 192.168.0.1.53: [udp sum ok] 1+ PTR? 1.0.168.192.in-addr.arpa. (42)
    16:17:48.755418 IP (tos 0x0, ttl 64, id 43389, offset 0, flags [none], proto UDP (17), length 126) 192.168.0.1.53 > 192.168.0.140.60220: 1* q: PTR? 1.0.168.192.in-addr.arpa. 1/1/1 1.0.168.192.in-addr.arpa.[|domain]
    16:17:48.757067 IP (tos 0x0, ttl 128, id 712, offset 0, flags [none], proto UDP (17), length 62) 192.168.0.140.60221 > 192.168.0.1.53: [udp sum ok] 2+ A? twit.tv.my.home. (34)
    16:17:48.757388 IP (tos 0x0, ttl 64, id 43390, offset 0, flags [none], proto UDP (17), length 124) 192.168.0.1.53 > 192.168.0.140.60221: 2 NXDomain* q: A? twit.tv.my.home. 0/1/0 ns: tv.my.home. SOA[|domain]
    16:17:48.758322 IP (tos 0x0, ttl 128, id 714, offset 0, flags [none], proto UDP (17), length 62) 192.168.0.140.60222 > 192.168.0.1.53: [udp sum ok] 3+ AAAA? twit.tv.my.home. (34)
    16:17:48.758656 IP (tos 0x0, ttl 64, id 43391, offset 0, flags [none], proto UDP (17), length 124) 192.168.0.1.53 > 192.168.0.140.60222: 3 NXDomain* q: AAAA? twit.tv.my.home. 0/1/0 ns: tv.my.home. SOA[|domain]
    16:17:48.759526 IP (tos 0x0, ttl 128, id 716, offset 0, flags [none], proto UDP (17), length 53) 192.168.0.140.60223 > 192.168.0.1.53: [udp sum ok] 4+ A? twit.tv. (25)
    16:17:48.759831 IP (tos 0x0, ttl 64, id 43392, offset 0, flags [none], proto UDP (17), length 115) 192.168.0.1.53 > 192.168.0.140.60223: 4 NXDomain* q: A? twit.tv. 0/1/0 ns: tv. SOA[|domain]
    16:17:48.760807 IP (tos 0x0, ttl 128, id 718, offset 0, flags [none], proto UDP (17), length 53) 192.168.0.140.60224 > 192.168.0.1.53: [udp sum ok] 5+ AAAA? twit.tv. (25)
    16:17:48.761151 IP (tos 0x0, ttl 64, id 43393, offset 0, flags [none], proto UDP (17), length 115) 192.168.0.1.53 > 192.168.0.140.60224: 5 NXDomain* q: AAAA? twit.tv. 0/1/0 ns: tv. SOA[|domain]
    16:17:48.786549 IP (tos 0x0, ttl 128, id 720, offset 0, flags [none], proto UDP (17), length 70) 192.168.0.140.60225 > 192.168.0.1.53: [udp sum ok] 1+ PTR? 1.0.168.192.in-addr.arpa. (42)
    16:17:48.786877 IP (tos 0x0, ttl 64, id 43394, offset 0, flags [none], proto UDP (17), length 126) 192.168.0.1.53 > 192.168.0.140.60225: 1* q: PTR? 1.0.168.192.in-addr.arpa. 1/1/1 1.0.168.192.in-addr.arpa.[|domain]
    16:17:48.788557 IP (tos 0x0, ttl 128, id 722, offset 0, flags [none], proto UDP (17), length 66) 192.168.0.140.60226 > 192.168.0.1.53: [udp sum ok] 2+ A? geekbeat.tv.my.home. (38)
    16:17:48.788886 IP (tos 0x0, ttl 64, id 43395, offset 0, flags [none], proto UDP (17), length 128) 192.168.0.1.53 > 192.168.0.140.60226: 2 NXDomain* q: A? geekbeat.tv.my.home. 0/1/0 ns: tv.my.home. (100)
    16:17:48.790465 IP (tos 0x0, ttl 128, id 724, offset 0, flags [none], proto UDP (17), length 66) 192.168.0.140.60227 > 192.168.0.1.53: [udp sum ok] 3+ AAAA? geekbeat.tv.my.home. (38)
    16:17:48.790777 IP (tos 0x0, ttl 64, id 43396, offset 0, flags [none], proto UDP (17), length 128) 192.168.0.1.53 > 192.168.0.140.60227: 3 NXDomain* q: AAAA? geekbeat.tv.my.home. 0/1/0 ns: tv.my.home. (100)
    16:17:48.791574 IP (tos 0x0, ttl 128, id 725, offset 0, flags [none], proto UDP (17), length 57) 192.168.0.140.60228 > 192.168.0.1.53: [udp sum ok] 4+ A? geekbeat.tv. (29)
    16:17:48.791882 IP (tos 0x0, ttl 64, id 43397, offset 0, flags [none], proto UDP (17), length 119) 192.168.0.1.53 > 192.168.0.140.60228: 4 NXDomain* q: A? geekbeat.tv. 0/1/0 ns: tv. SOA[|domain]
    16:17:48.792976 IP (tos 0x0, ttl 128, id 727, offset 0, flags [none], proto UDP (17), length 57) 192.168.0.140.60229 > 192.168.0.1.53: [udp sum ok] 5+ AAAA? geekbeat.tv. (29)
    16:17:48.793280 IP (tos 0x0, ttl 64, id 43398, offset 0, flags [none], proto UDP (17), length 119) 192.168.0.1.53 > 192.168.0.140.60229: 5 NXDomain* q: AAAA? geekbeat.tv. 0/1/0 ns: tv. SOA[|domain]

Reply
  • 0
    I ran this just to be safe:

    tcpdump -vvv -n -i any port 53


    It's all LAN based, nothing goes outside...  


    16:17:48.754916 IP (tos 0x0, ttl 128, id 710, offset 0, flags [none], proto UDP (17), length 70) 192.168.0.140.60220 > 192.168.0.1.53: [udp sum ok] 1+ PTR? 1.0.168.192.in-addr.arpa. (42)
    16:17:48.755418 IP (tos 0x0, ttl 64, id 43389, offset 0, flags [none], proto UDP (17), length 126) 192.168.0.1.53 > 192.168.0.140.60220: 1* q: PTR? 1.0.168.192.in-addr.arpa. 1/1/1 1.0.168.192.in-addr.arpa.[|domain]
    16:17:48.757067 IP (tos 0x0, ttl 128, id 712, offset 0, flags [none], proto UDP (17), length 62) 192.168.0.140.60221 > 192.168.0.1.53: [udp sum ok] 2+ A? twit.tv.my.home. (34)
    16:17:48.757388 IP (tos 0x0, ttl 64, id 43390, offset 0, flags [none], proto UDP (17), length 124) 192.168.0.1.53 > 192.168.0.140.60221: 2 NXDomain* q: A? twit.tv.my.home. 0/1/0 ns: tv.my.home. SOA[|domain]
    16:17:48.758322 IP (tos 0x0, ttl 128, id 714, offset 0, flags [none], proto UDP (17), length 62) 192.168.0.140.60222 > 192.168.0.1.53: [udp sum ok] 3+ AAAA? twit.tv.my.home. (34)
    16:17:48.758656 IP (tos 0x0, ttl 64, id 43391, offset 0, flags [none], proto UDP (17), length 124) 192.168.0.1.53 > 192.168.0.140.60222: 3 NXDomain* q: AAAA? twit.tv.my.home. 0/1/0 ns: tv.my.home. SOA[|domain]
    16:17:48.759526 IP (tos 0x0, ttl 128, id 716, offset 0, flags [none], proto UDP (17), length 53) 192.168.0.140.60223 > 192.168.0.1.53: [udp sum ok] 4+ A? twit.tv. (25)
    16:17:48.759831 IP (tos 0x0, ttl 64, id 43392, offset 0, flags [none], proto UDP (17), length 115) 192.168.0.1.53 > 192.168.0.140.60223: 4 NXDomain* q: A? twit.tv. 0/1/0 ns: tv. SOA[|domain]
    16:17:48.760807 IP (tos 0x0, ttl 128, id 718, offset 0, flags [none], proto UDP (17), length 53) 192.168.0.140.60224 > 192.168.0.1.53: [udp sum ok] 5+ AAAA? twit.tv. (25)
    16:17:48.761151 IP (tos 0x0, ttl 64, id 43393, offset 0, flags [none], proto UDP (17), length 115) 192.168.0.1.53 > 192.168.0.140.60224: 5 NXDomain* q: AAAA? twit.tv. 0/1/0 ns: tv. SOA[|domain]
    16:17:48.786549 IP (tos 0x0, ttl 128, id 720, offset 0, flags [none], proto UDP (17), length 70) 192.168.0.140.60225 > 192.168.0.1.53: [udp sum ok] 1+ PTR? 1.0.168.192.in-addr.arpa. (42)
    16:17:48.786877 IP (tos 0x0, ttl 64, id 43394, offset 0, flags [none], proto UDP (17), length 126) 192.168.0.1.53 > 192.168.0.140.60225: 1* q: PTR? 1.0.168.192.in-addr.arpa. 1/1/1 1.0.168.192.in-addr.arpa.[|domain]
    16:17:48.788557 IP (tos 0x0, ttl 128, id 722, offset 0, flags [none], proto UDP (17), length 66) 192.168.0.140.60226 > 192.168.0.1.53: [udp sum ok] 2+ A? geekbeat.tv.my.home. (38)
    16:17:48.788886 IP (tos 0x0, ttl 64, id 43395, offset 0, flags [none], proto UDP (17), length 128) 192.168.0.1.53 > 192.168.0.140.60226: 2 NXDomain* q: A? geekbeat.tv.my.home. 0/1/0 ns: tv.my.home. (100)
    16:17:48.790465 IP (tos 0x0, ttl 128, id 724, offset 0, flags [none], proto UDP (17), length 66) 192.168.0.140.60227 > 192.168.0.1.53: [udp sum ok] 3+ AAAA? geekbeat.tv.my.home. (38)
    16:17:48.790777 IP (tos 0x0, ttl 64, id 43396, offset 0, flags [none], proto UDP (17), length 128) 192.168.0.1.53 > 192.168.0.140.60227: 3 NXDomain* q: AAAA? geekbeat.tv.my.home. 0/1/0 ns: tv.my.home. (100)
    16:17:48.791574 IP (tos 0x0, ttl 128, id 725, offset 0, flags [none], proto UDP (17), length 57) 192.168.0.140.60228 > 192.168.0.1.53: [udp sum ok] 4+ A? geekbeat.tv. (29)
    16:17:48.791882 IP (tos 0x0, ttl 64, id 43397, offset 0, flags [none], proto UDP (17), length 119) 192.168.0.1.53 > 192.168.0.140.60228: 4 NXDomain* q: A? geekbeat.tv. 0/1/0 ns: tv. SOA[|domain]
    16:17:48.792976 IP (tos 0x0, ttl 128, id 727, offset 0, flags [none], proto UDP (17), length 57) 192.168.0.140.60229 > 192.168.0.1.53: [udp sum ok] 5+ AAAA? geekbeat.tv. (29)
    16:17:48.793280 IP (tos 0x0, ttl 64, id 43398, offset 0, flags [none], proto UDP (17), length 119) 192.168.0.1.53 > 192.168.0.140.60229: 5 NXDomain* q: AAAA? geekbeat.tv. 0/1/0 ns: tv. SOA[|domain]

Children
No Data