DNS und NAT auf Vigor 2900vgi mit Linux

NAT, Open Ports, Port Redirect, Address Mapping, Port Trigger, Instant Messenger, Netmeeting, Serveranwendungen wie FTP und Gameserver, Peer2Peer, eDonkey, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

DNS und NAT auf Vigor 2900vgi mit Linux

Beitragvon gklug » Mi 17.08.2005 - 15:56

Hallo zusammen,

ich habe gerade meinen neuen Vigor installiert. Ein echt schönes Teil! Habe nur leider ein Problem mit meinen Linux Stations dahinter. Die DNS Lookup Time ist zu hoch. Ich habe das Problem ein wenig analysiert.
- Der Linux Rechner schickt seine DNS Anfragen ganz normal an den Vigor
- Der beantwortet sie auch korrekt, wenn er es eine positive Antwort gibt. (Standard query response)
- gibt es aber eine negative Response (wie No such Name), so kommt die Antwort direkt vom primären DNS Server durch.
- Die Linux Maschine meldet dann ein ICMP Port Unreachable an diesen DNS server zurück und reagiert natürlich nicht auf diese Antwort. Deswegen muss dann erst ein Timeout von 5 sekunden ablaufen bevor es weiter geht.

Diese Aktionen sind ziemlich lästig, da beim Abruf von Web-Seiten mehrere DNS Abrufe stattfinden, und der Linux Rechner auch verschiedenen Dinge mit der Wesite austestet (Anhängen von .local usw.)

Meine Firmware Version ist 2.5.5 vom 18 Februar diesen Jahres, sollte also das Neueste sein.

Weiss jemand hier eine Lösung?

Bei Windows ist das Problem normalerweise nicht vorhanden, weil Windows standardmäßig die Quell-Adresse bei einkommenden DNS-Paketen ignoriert. Aus Sicherheitsgründen läßt sich diese Verhalten allerding auch abschalten und dann hat man mit den Windows Rechnern das gleiche Problem.

Georg
gklug
Grünschnabel
 
Beiträge: 4
Registriert: Di 16.08.2005 - 08:08

Beitragvon cne51 » Do 18.08.2005 - 08:16

Hi,

trage mal in den Netzwerkeigenschaften feste externe DNS Server ein.
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

leider nicht genützt

Beitragvon gklug » Do 18.08.2005 - 23:19

Hi cne51,

danke mal für deinen Hinweis. Leider hat es nichts genützt. Ich habe folgendes versuch1:

1. Zunächst hatte ich beide DNS Server vom Online Status in die manuelle Konfiguration unter Ethernet eingetragen. Diesmal hat er bei Antworten des sekundary DNS servers durchgelassen. Dies waren nur negative Antworten. Leider weiss ich nicht, welche Anfragen an den primary und welche an den secundary DNS server weitergeleitet wurden.

2. Dann habe ich versucht nur einen DNS server (den primary) manuell einzutragen. Trozdem kamen vom secundary DNS Antworten durch; also auch keine Lösung

3. Zum Schluss habe ich noch versucht, den im Onlistatus bekannten secundary DNS als primary manuell zu konfigurieren. Diesmal kamen Antworten von dem anderen Server durch. Da hat sich zumindest mal etwas verändert, was zeigt, dass die manuelle Konfiguration tatsächlich eine Wirkung erzielt.
gklug
Grünschnabel
 
Beiträge: 4
Registriert: Di 16.08.2005 - 08:08

Beitragvon cne51 » Fr 19.08.2005 - 07:21

Welche DNS Server hast du denn verwendet?

Die Server 145.253.2.11 (Frankfurt) und 145.253.2.171 (München) von ARCOR sind momentan recht schnell.

Der 145.253.2.74 (Berlin) ist etwas langsamer :D
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

Beitragvon gklug » Fr 19.08.2005 - 09:17

Nun, ich habe natürlich zunächst die DNS Server von Versatel verwendet. Diese sind : 62.72.64.237 und 62.72.64.241. Ich gflaube auch nicht, dass andere unbedingt funktionieren müssten. Dennoch habe ich sie ausprobiert. Leider der gleiche Fehler. Hinzu kommt, dass immer noch - auch nach manuellem Setzen der DNS Server auf die Acors - die DNS Server von Versatel verwendet werden.

Die Antwortzeit des DNS Servers ist auch nicht das Problem. Sie liegt bei ca. 50ms mit Ethereal gemessen.

Meines Erachtens gibt es zwei Problem in der Firmware:
- Bei verwendetem NAT müssen alle DNS Fragen und Antworten korrekt umgesetzt werden. D.h eine Antwort eines prim DNS Servers darf nie direkt durchkommen, sondern muss als QuellAdresse die IP Adresse der lokalen Seite des Routers haben. Nur die ist schliesslich als DNS Server im lokalen Netzwerk bekannt!
- die Anfragen an die domain ".local" dürften eigentlich nicht nach "draussen" geforwarded werden, sondern müssen lokal behandelt werden. Das weiss ich leider nicht 100%-ig werde es aber in den RFCs nachlesen.
gklug
Grünschnabel
 
Beiträge: 4
Registriert: Di 16.08.2005 - 08:08

Beitragvon gklug » Fr 19.08.2005 - 22:59

Ich bin ein bischen weiter gekommen, und habe die ganue Anfrage heraus bekommen, die nicht korrekt funktioniert. Hier ist der Linux Befehl dazu:

dig AAAA ibm.com.local
;; reply from unexpected source: 62.72.64.241#53, expected 10.0.0.1#53
;; reply from unexpected source: 62.72.64.241#53, expected 10.0.0.1#53

; <<>> DiG 9.2.4 <<>> AAAA ibm.com.local
;; global options: printcmd
;; connection timed out; no servers could be reached


Der Vigor hat die IP 10.0.0.1. Aber der externe DNS Server hat die 62.72.64.241.
gklug
Grünschnabel
 
Beiträge: 4
Registriert: Di 16.08.2005 - 08:08

Beitragvon cne51 » Sa 20.08.2005 - 12:22

auch nach manuellem Setzen der DNS Server auf die Acors - die DNS Server von Versatel verwendet werden.
Wo hast du die Server eingetragen? Im Computer oder im Router?
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

Beitragvon mweiss000 » Mo 22.08.2005 - 13:22

Schalte mal die IPv6 unterstützung aus die verursacht bei den meisten Routern Probleme bei der DNS Auflösung, da die Router IPv6 nicht unterstützen. Und stell das interne Netz auf 192.168.x.x um. Meines Wissens nach haben die Router Probleme mit anderen Netzen als Class C.
mit Freundlichen Grüßen

Michael Weiß
mweiss000
Ambitionierter User
 
Beiträge: 31
Registriert: Fr 01.04.2005 - 13:56
Wohnort: Oberhausen


Zurück zu Anwendungen und Server

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron