Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3270 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS "Host not found" problem on uplink saturation

SmallAdmin
Hello,
this is a problem which randomly appears and I've never been able to track it fully down or get rid of it.
I've got three different UTM installations (two appliances, one VM), all 9.3x, where we get "host not found" and/or very slow connection speed as soon as a big, long lasting upload happens. Our DNS is configured according to the "DNS best practice": Clients -> Internal DC/DNS -> UTM -> Google public DNS;
This is happening on asymmetric ADSL Lines (down 8 MBit, up 400-600 kBit), it doesn't happen on HDSL configurations with more than 1 MBit uplink.
We've tried with and without QoS and fine-tuning of the corresponding interface configurations (LAN and WAN) with no success.
Even if we manually limit the uplink speed client-side to about 300 kBit per upload, the problem persists.
What could be wrong in our setups?

Best regards,
TP


This thread was automatically locked due to age.
  • 0
    Hello,
    this is a problem which randomly appears and I've never been able to track it fully down or get rid of it.
    I've got three different UTM installations (two appliances, one VM), all 9.3x, where we get "host not found" and/or very slow connection speed as soon as a big, long lasting upload happens. Our DNS is configured according to the "DNS best practice": Clients -> Internal DC/DNS -> UTM -> Google public DNS;
    This is happening on asymmetric ADSL Lines (down 8 MBit, up 400-600 kBit), it doesn't happen on HDSL configurations with more than 1 MBit uplink.
    We've tried with and without QoS and fine-tuning of the corresponding interface configurations (LAN and WAN) with no success.
    Even if we manually limit the uplink speed client-side to about 300 kBit per upload, the problem persists.
    What could be wrong in our setups?

    Best regards,
    TP


    nothing.  If the upload is truly saturated there is simply no bandwidth available for any other outgoing traffic to make it out so you will get those errors.  If QOS is setup correctly then the uplink never gets saturated because 10% is saved by the qos for anything that need to get out.  You can also setup a bandwidth reservation to give dns a kiloit or so if your line is just not capable of being properly setup due to it's speeds being unstable(this is common with some DSL lines).  If you have a reseller get them involved.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Yes, TP and DK, put a Bandwidth Pool on the External interface guaranteeing 10kbps to 'Any -> DNS -> Internet'.

    William, several years ago, due to issues with QoS, I started not selecting 'Upload Optimizer' when any Bandwidth Pool was on an interface.  Likewise, the 'Download Equalizer' and Download Throttling rules.  I haven't revisited that in awhile - are you saying that those automatic selections no longer cause conflicts with manually-created rules?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes, TP and DK, put a Bandwidth Pool on the External interface guaranteeing 10kbps to 'Any -> DNS -> Internet'.

    William, several years ago, due to issues with QoS, I started not selecting 'Upload Optimizer' when any Bandwidth Pool was on an interface.  Likewise, the 'Download Equalizer' and Download Throttling rules.  I haven't revisited that in awhile - are you saying that those automatic selections no longer cause conflicts with manually-created rules?

    Cheers - Bob


    I use those along with custom rules and they work fine.  QOS just like then takes proper tuning and accurate real-time measurements of your ACTUAL throughput not what the isp is saying you are getting.  Dsl lines are notorious(deservedly so) of being unstable so you have to run multiple measurements and use the LOWEST measured speed to ensure proper setup.  Comcast is the best on the cable side for stability and actually reaching their provisioning...most cable providers are really good...dsl and other phone line based technologies(or wifi is actually worse) can be a challenge.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hello,
    actually this problem seems to be unsolvable, as long as ADSL comes into play. The guaranteed bandwidth is so ridiculously low, that it's just impossible to set it at that value without slowing all services globally down. DNS is just the service where you notice it immediately.
    It would be great if an automatism could "autosense" the available bandwidth on the interface at UTM side...

    For the installations with an additional symmetric line (>1 MBit uplink) I'm going to try some multipath rules to bind DNS to sHDSL (xDSL), to avoid possible bottlenecks with the unstable bandwidth.

    I'll report the results as soon as I'm back from holidays (14 days).

    Thanks all for your advice!

    WBR,
    TP
  • 0
    Hello,
    it seems to work, as long there is a symmetric line with at least 1 MBit uplink and I set the DNS traffic selector's minimum bandwidth to at least 10% of the available bandwidth.
    Question is: does the UTM's own DNS forwarder respect the multipath and/or QoS rules?
  • 0
    Yes it should.  It would apply to any DNS traffic.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?