DNS-Server geht nur einmal

[hjb]

Hi,

ich habe hier ein mehr als ärgerliches Problem. Auf meinem Server läuft named als DNS-Server. Er ist als Forwarder konfiguriert:

forward only;
forwarders {
194.25.2.129;
212.227.14.1;
};

Früher ging ich über die ISDN-Karte in diesem Rechner ins Internet, der Rechner machte also gleichzeitig noch Masquerading und Paketfilterung, und trotz dynamischer IP-Adresse funktionierte alles.

Nun gehe ich über einen DSL-Router ins Internet, der Server hat daher eine statische Route auf den Router:

172.30.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 172.30.2.6 0.0.0.0 UG 0 0 0 eth1

Wenn man jetzt named neu startet, funktioniert die Namensauflösung einwandfrei. Sobald aber der Router einmal aufgelegt und neu connected hat, erhalte ich nur noch:
Non-existent host/domain

Dabei sind die Nameserver mit ping erreichbar, die Route stimmt also logischerweise, das Masquerading funktioniert, und im Paketfilter bleibt auch nichts hängen. Ich habe mal eine Logging-Regel für ipchains definiert, und es sieht so aus, als würden die DNS-Server auf die Anfragen nicht antworten.

Der Router ist mit fli4l aufgebaut, läuft mit Kernel 2.2.19 und ipchains. Ich habe 3 Subnetze (172.30.2, 172.30.3 und 172.30.4), die alle drei maskiert werden. Das Problem ist in allen drei Subnetzen das gleiche.

Was könnte hier faul sein? Wie gesagt, ping mit IP-Adressen funktioniert immer. Warum antworten die verdammten Nameserver nicht?

Danke,
hjb

[feldsee]

Möglicher Weise läuft der name server cache demon Amok. Schau mal in der SuSE-Supportdatenbank unter dem Stichwort nscd nach, da geht es um ein *vielleicht* ähnliches Problem.

feldsee.

[trinity]

@hjb
wieso hast du eine statische route?
DSL geht doch über ppp0 raus und nicht über eth+, oder? Und die ppp0 ip-Adresse ändert sich ständig.

[Rossi]

Versuch mal, Deine statische Route durch einen klassischen "defaultgateway" zu ersetzen, der dann auf Deinen DSL Router verweist (route add default gw ip-des-dslrouters).

Bin mir (logischerweise) nicht sicher, aber es macht den Eindruck, als ob Deine drei Subnetzte den DNS-Rechner als Defaultgateway haben und dieser dann "nur" eine statisch Route zum DSL Router.

[Sven]

Hi!
Ich seh das auch so wie Rossi, in die route.conf "default ip(Router) 0.0.0.0 pppd" eintragen, dann klappt's auch mit dem DNS

[hjb]

Hi,

Server und Router sind zwei verschiedene Dinge! Der Router ist der mit ppp und der dynamischen IP. Das DNS laeuft dagegen auf dem Server. Daher gehen leider alle eure Antworten am Problem vorbei.

Gruss,
hjb

[trinity]

@hjb

danke für die zusatzinformaion <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
sag doch bitte auch noch, welche nameserver nicht reagieren, der interne oder der externe?

kann es vielleicht sein, dass der Verbindungsaufbau mit dsl etwas länger dauert als mit ISDN und so dein named bis zum connect mit dsl ein timeout für diese beiden Server erreicht hat?
setz doch einfach nochmals die gleichen zwei nameserver (oder besser 2 andere) dazu.


Gruß

[Rossi]

Nein, gehen sie nicht. Du hast eine statische Route vom Server zum "Gateway", richtig ? Und Deine Clients haben was als Standard Gateway eigetragen ? Den Router ? Würde den erfolgreichen Ping erklären.
Wenn Du drei Subnetze hast, hat Dein Server 3 Netzwerkkarten ? Oder wie kontaktieren die "Subnetze" den DNS ? Er scheint ja kurzfristig zu laufen. Oder werden per IPChains DNS-Anfragen an den Router "zurück" zum Server gerouted ?
Und warum hat der Server keine Defaultroute zum "Gateway" sondern eine statische ?

Wäre nett, wenn Du ein paar mehr Informationen hättest. Was haben die Rechner der Subnetze als default Gateway ?
Auf welchen Schnitstellen lauscht der named ? Klappt alles, wenn Du (testweise) den Clients in der resolv.conf die "externen" nameserver einträgst ?

Ein paar Infos zur Topologie wären nicht schlecht.

Kann ja auch sein, das die Tatsache, das der named nach einem Neustart funktioniert, ein "widriger" Zufall ist und eigentlich gar nicht dürfte ?

Ich gehe davon aus, das ein MSS Problem (falsche Paketgröße wegen pppoe) nicht vorliegt

[hjb]

Hi Lutz,

> danke für die zusatzinformaion

ich dachte, ich hätte im ersten Posting alles Wesentliche genannt <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

> sag doch bitte auch noch, welche nameserver nicht reagieren, der interne oder der externe?

Die externen, auch das sollte eigentlich klar sein.

> kann es vielleicht sein, dass der Verbindungsaufbau mit dsl etwas länger dauert als mit ISDN und so dein named bis zum connect mit dsl ein timeout für diese beiden Server erreicht hat?

Das wäre eine Möglichkeit...

> setz doch einfach nochmals die gleichen zwei nameserver (oder besser 2 andere) dazu.

Ich habe 4 weitere Nameserver als Forwarder eingetragen. Gestern morgen habe ich meinen Nameserver neu gestartet, weil das Problem immer noch bestand. Seither ist das Problem weg! Wahrscheinlich war es der erste Neustart seit dem Eintrag von zusätzlichen Nameservern.

Manchmal scheint die Namensauflösung etwas langsam zu sein (Timeout an einem Forwarder?), doch es funktioniert.

Danke für den Tip, auch wenn ich unabhängig von dir darauf gekommen bin.

Wenn ich jetzt noch herausfinden könnte, welche Nameserver nicht antworten, könnte ich diese aus meiner Liste rauswerfen und damit die Performance optimieren. Leider bietet BIND dafür nur ein mieses Tracefile. Zeit für einen neuen DNS-Server?

Gruß,
hjb

[hjb]

Hi Rossi,

zur Topologie brauche ich mich nicht weiter zu verbreiten, denn das Routing funktioniert. Mein Server hat zwei Netzwerke direkt angeschlossen, und BIND lauscht genau auf diesen beiden Interfaces.

> Und warum hat der Server keine Defaultroute zum "Gateway" sondern eine statische ?

Das ist doch die Defaultroute. Du hättest nur genauer hinsehen müssen...

Das mit der resolv.conf auf den Clients habe ich nicht ausprobiert. Ich habe aber mal nslookup auf verschiedenen Clients aufgerufen, die Resultate waren die gleichen wie bei nslookup auf dem Server (logisch, weil alle die gleiche resolv.conf haben).

Das Problem hat sich jetzt erst mal erledigt, siehe vorhergehendes Posting. Über die Ursache des Problems weiß ich aber leider noch nichts.

Gruß,
hjb

[hjb]

Grrrr,

kaum hatte ich das vorige geschrieben, ist das Problem wieder aufgetaucht. Dieses Mal habe ich gleich tcpdump auf den fli4l-Router gepackt und neu gebootet.

Mit tcpdump war sehr schön zu sehen, daß der Verbindungsaufbau über 30 Sekunden dauerte und in dieser Zeit alle DNS-Abfragen einen Timeout hatten. Danach schmollte der Nameserver irgendwie...

Als erstes habe ich Zeit des Verbindungsaufbaus auf ca 7 Sekunden reduziert, indem ich auf dem Router einen externen DNS-Server statt 127.0.0.1 eingetragen habe (auf dem Router läuft nämlich kein Nameserver). Ist eine so lange Verbindungs-Aufbauzeit normal? Bei ISDN war es unter 1 s.

Gruß,
hjb

[Rossi]

Ok. War mir nicht sicher, das "0.0.0.0" auch wirklich identisch mit "default" ist (auch wenn es sich quasi um eine Wildcard handelt), bzw. das "route add default ..." wirklich das Gleiche ist wie "route add -net 0.0.0.0 ...".

Folendes Hilft Dir zwar nicht weiter, aber mir. So hat der Thread trotzdem noch einen Sinn Kannst Du mir bitte den ersten Eintrag bitte einmal erklären ?

Pakete mit dem Zielnetz 172.30.2.0/24 haben 0.0.0.0 als Gateway ?

P.S.: Einwahl mit DSL dauert bei mir 4-5 sek und ist völlig unabhängig von der resolv.conf hatte bis vor kuzem noch die Nameserver von meinem Provider und und nun einen lokalen. Hat sich nicht verändert, die Einwahlzeit. Aber 1sek. für ISDN - da bist Du zu beneiden.)

Wenn Du Web Seiten mit IP statt Namen aufrufst, hast Du auch keine Probleme, oder ?

[hjb]

Hi,

> Pakete mit dem Zielnetz 172.30.2.0/24 haben 0.0.0.0 als Gateway ?

0.0.0.0 bedeutet: kein Gateway. Der Rechner ist in diesem Subnetz (eine der Netzwerkkarten hat die Adresse 172.30.2.1).

> Wenn Du Web Seiten mit IP statt Namen aufrufst, hast Du auch keine Probleme, oder ?

Nein, dann geht es einwandfrei.

Aktueller Stand: keine Probleme mehr. Jetzt, wo die Flatrate aktiv ist, habe ich den Hangup-Timeout auf 10 Minuten hochgesetzt, das heißt, es finden nur noch wenige Einwahlen statt.

Gruß,
hjb

[Rossi]

"0.0.0.0" als Gateway ist also das gleiche wie "*". Zwar weißt Du die Ursache immer noch nicht, aber für mich war es Lehrreich. Mehr von solchen Fragen

Danke