Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 9872 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL + LB

AliIsmail
Dear Friends,

I have two internet connections from the same ISP. Both are with public IP.

I got DI-LB604 Load Balance router, from DLINK, I would like to have the two internet connection be treated as one LAN, then be filtered by ASL.

I found that the DLINK router require at least one DNS IP, after two days of experiments and  setuped it in many different ways, but it seems that the ASTARO DNS proxy is conflicting with the DNS of the LB, thought I disable the ASL DNS proxy, in order to obtain one LAN.

As expected the performance was not good.

Is there any way to disable or disactivate the LB DNS ?

Hearing from you soon.

Ali Ismail
eng_ali1979@yahoo.com
wee_aliismail@hotmail.com


This thread was automatically locked due to age.
Parents
  • 0
    ?? DNS, you talking about the DNS entry on the Router right?
    Normaly that would be the DNS of the provider, not the DNS on the Firewall. 

    The Firewall only sees the internal IP-Adress of the Router nothing more. All the Load-Balancing is beeing done by the LB604 not the Firewall.
  • 0 in reply to NimmdirKeks
    I am also using a dual wan router DI-LB604. In the LAN side of the LB there is ASTARO firewall.

    WAN1--!
    !
    !---DI-LB604---192.168.0.1------192.168.0.10---ASL
    !
    WAN2--!

    In the LB router I am using the ISP DNS.
    In the ASL I am enabling the DNS proxy and put 192.168.0.1 in the DNS configuration. (192.168.0.1 is the LAN side of the LB)

    I am also let ASTARO to listen to 192.168.0.10.

    In the Clients PC I am using 192.168.0.10 as their DNS server.

    I hope that my ASL is caching the DNS.

    I would like to mention that I faced a trouble with VoIP applications and Camera, still not solved.

    Hearing from you soon.
  • 0 in reply to AliIsmail
    The Bind on the Astaro should normaly cache. You can confirm that, when you do a nslookup and select the astaro as server and you get an "Non-authoritative answer:" answer. 

    DNS Resolv-Chain
    client --> astaro --> router --> provider dns
    Which point in the chain can't resolve names?
    The client pc's are infront of the Firewall?

    VoIP configs can be hard in such a routed/masqued enviroment, and nearly impossible without the right equiqment. The same counts for many streaming application with dynamic ports.
  • 0 in reply to NimmdirKeks
    WAN1
    !
    !---DI-LB604---192.168.0.1------192.168.0.10---ASL
    !
    WAN2

    WAN1 and WAN2 are configured with the DNS of the ISP.

    ASL DNS proxy is listening to external, the DNS forwarder is 192.168.0.1

    Am I doing right ?
  • 0 in reply to AliIsmail
    When the Router allows DNS requests on the 192.168.0.1, then yes. 

    But, if a client is in the 192.168.0.0/24 network, he can directly ask the 192.168.0.1. So why should the firewall answer DNS requests on 192.168.0.10?
  • 0 in reply to NimmdirKeks
    Hi Friends,

    The clients are behind the ASL. I just allow DNS request to 192.168.0.1.

    This is the best settings, since I tried many issues, but some sites are not resolved until another try F5  [:S] .

    So is the DNS requests are cached in my ASTARO ?

    Another issue is I have a problem with the VoIP, the download of sound and even the camera are bad, while upload the voice is perfect !!!!

    Kindly help.

    Thanks
  • 0 in reply to AliIsmail
    Why don't you let the Astaro resolve directly to the ISP DNS?  Just punch a hole for port 53 through the Dlink box.  Let your clients resolve to the DNS proxy on the Astaro.

    If this is a production network you should get a more robust bandwidth aggregator like a FatPipe Superstream.  Forget the Dlink SOHO stuff.
  • 0 in reply to Paul_M
    I agree with you to put ISP DNS in the ASL box, but what about "Interface to listen to " ?

    What DNS should I put in the DLINK router, since it reuqire at least one DNS.

    I bought DLINK because it is cheap, moreover no other Load Balance brand in IRAQ.

    Hearing from you soon.
  • 0 in reply to AliIsmail
    The interface to listen on is the interface serving your clients.  i.e, which network card to you want to respond to DNS queries to the DNS proxy on the Astaro?  Usually most people only listen on the internal interface.  

    Who cares what DNS your Dlink box uses?  You are not going to send any queries to the Dlink box if you do what I suggested in my last post.  You punch a hole through the Dlink firewall to allow all port 53 traffic coming from the astaro to the ISP DNS.  The Astaro does not query the DNS on the Dlink.  It sends them through to the ISP DNS servers.  

    How many users do you have behind the Astaro?
    If you have more than 100 then you need to use something other than your Dlink.  Look at the smaller Sonicwall products.  Some of them do round-robin bandwidth agg.
  • 0 in reply to Paul_M
    WAN1
    !
    !---DI-LB604---192.168.0.1------192.168.0.10---ASL---Clients
    !
    WAN2


    The interface that is serving my clients, is the Internal interface of the ASL.

    So normally I am going to use the ISP DNS in the forwarder DNS.

    How can I know that the DLINK is blocking the 53 ? Is it normally closed ? I can telnet port 53 

    What should I put in the DNS of the DLINK box ?

    Should the client have the DNS of ASL and DLINK ?

    Hearing from you soon.
  • 0 in reply to AliIsmail
    [ QUOTE ]

    The interface that is serving my clients, is the Internal interface of the ASL.

    So normally I am going to use the ISP DNS in the forwarder DNS.

    How can I know that the DLINK is blocking the 53 ? Is it normally closed ? I can telnet port 53 

    What should I put in the DNS of the DLINK box ?

    Should the client have the DNS of ASL and DLINK ?

    Hearing from you soon. 

    [/ QUOTE ]

    If the internal interface of the Astaro is serving your clients then you should have the internal interface selected in the DNS proxy settings to listen on.  

    Telnetting to port 53 is not the best way to check see if you have access to a DNS server.  Use dig from the shell of the Astaro or nslookup from a windows client behind your Astaro to see if DNS is working properly.

    Is your Dlink going to be serving DNS?  If not then don't worry about the DNS box of the Dlink config.  Why does it matter to you if your Dlink router can resolve DNS?  It is the Astaro you need to make sure can resolve names. 

    If you are planning to use the DNS proxy of the Astaro then you should point your clients to the Astaro for DNS.  Does that not make sense?

    Why would you point your clients to the DNS of the Dlink?  Why?  My first suggestion was not to do it in this manner.
Reply
  • 0 in reply to AliIsmail
    [ QUOTE ]

    The interface that is serving my clients, is the Internal interface of the ASL.

    So normally I am going to use the ISP DNS in the forwarder DNS.

    How can I know that the DLINK is blocking the 53 ? Is it normally closed ? I can telnet port 53 

    What should I put in the DNS of the DLINK box ?

    Should the client have the DNS of ASL and DLINK ?

    Hearing from you soon. 

    [/ QUOTE ]

    If the internal interface of the Astaro is serving your clients then you should have the internal interface selected in the DNS proxy settings to listen on.  

    Telnetting to port 53 is not the best way to check see if you have access to a DNS server.  Use dig from the shell of the Astaro or nslookup from a windows client behind your Astaro to see if DNS is working properly.

    Is your Dlink going to be serving DNS?  If not then don't worry about the DNS box of the Dlink config.  Why does it matter to you if your Dlink router can resolve DNS?  It is the Astaro you need to make sure can resolve names. 

    If you are planning to use the DNS proxy of the Astaro then you should point your clients to the Astaro for DNS.  Does that not make sense?

    Why would you point your clients to the DNS of the Dlink?  Why?  My first suggestion was not to do it in this manner.
Children
No Data