Автор |
Сообщение |
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Что-то я недопонимаю. По моим представлениям у ВСЕХ клиентов сети 192.168.0.* должен быть доступ к DNS-серверу роутера. Но в реальности клиент 192.168.0.12 имеет доступ > e1.ru ╤хЁтхЁ: [192.168.0.1] Address: 192.168.0.1 Не заслуживающий доверия ответ: ╚ь : e1.ru Addresses: 212.193.163.7 212.193.163.6 клиент 192.168.0.120 НЕ имеет доступа (это тот же самый компьютер, только с измененным IP, с сетью и интернетом все нормально) > e1.ru ╤хЁтхЁ: [192.168.0.1] Address: 192.168.0.1 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Превышено время ожидания запроса [192.168.0.1] Чего я не понимаю? Код: cisco.k259#sh run Current configuration : 7930 bytes ! version 15.4 no service pad service tcp-keepalives-in service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname cisco.k259 ! boot-start-marker boot-end-marker ! ! logging discriminator FAN-FAIL severity drops 3 facility drops FAN mnemonics drops FAN_FAILED logging buffered discriminator FAN-FAIL no logging console logging monitor discriminator FAN-FAIL enable secret 5 $1$WSti$mDMsh6sXY2iguEI/Mchiy1 enable password xxxxxxxx ! no aaa new-model memory-size iomem 15 clock timezone GMT 5 0 ! crypto pki trustpoint TP-self-signed-3690135629 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3690135629 revocation-check none rsakeypair TP-self-signed-3690135629 ! ! crypto pki certificate chain TP-self-signed-3690135629 certificate self-signed 01 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 quit ! ! no ip gratuitous-arps ! ! ip dhcp excluded-address 192.168.0.1 192.168.0.7 ! ip dhcp pool k259 import all network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 domain-name k259 dns-server 192.168.0.12 8.8.8.8 lease 0 2 ! ! ! ip domain name k259 ip name-server 192.168.0.12 ip name-server 8.8.8.8 ip inspect WAAS flush-timeout 10 no ip cef no ipv6 cef ! ! vpdn enable ! vpdn-group PPTP_CLIENT description Rostelecom ISP request-dialin protocol pptp pool-member 1 initiate-to ip 10.0.0.1 ! cts logging verbose license udi pid CISCO881W-GN-E-K9 sn FCZ164190LZ ! ! username atest privilege 15 secret 4 6in4Lru2ZZ8N8cUij4q7JvPlkL..hsURCkjm.d4NOR2 ! ! ! ! no cdp run ! ip tcp path-mtu-discovery ! ! ! ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ip address 10.0.47.132 255.255.255.0 no ip proxy-arp ip flow ingress ip dns view-group no_dns_list ip route-cache same-interface ip route-cache policy duplex auto speed auto ! interface wlan-ap0 description Service module interface to manage the embedded AP ip address 10.10.11.1 255.255.255.0 arp timeout 0 ! interface Wlan-GigabitEthernet0 description Internal switch interface connecting to the embedded AP no ip address ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 192.168.0.5 255.255.255.0 secondary ip address 192.168.0.1 255.255.255.0 ip flow ingress ip nat inside ip virtual-reassembly in ip route-cache policy ip tcp adjust-mss 1410 hold-queue 200 in hold-queue 100 out ! interface Dialer0 description $ETH-WAN$ mtu 1450 ip address negotiated no ip proxy-arp ip flow ingress ip nat outside ip virtual-reassembly in max-fragments 64 max-reassemblies 32 timeout 5 encapsulation ppp ip route-cache policy ip tcp adjust-mss 1410 dialer pool 1 dialer idle-timeout 0 dialer string 123 dialer persistent dialer vpdn ppp authentication ms-chap-v2 callin ppp chap hostname 90.157.26.245 ppp chap password 0 xxxxxxxxxx ppp ipcp dns request ppp ipcp route default no cdp enable ! ip forward-protocol nd ip http server ip http access-class 23 no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip http path flash: ! no ip ftp passive ip dns view no_dns_view no domain lookup no dns forwarding ip dns view-list no_dns_list view no_dns_view 1 ip dns server ip nat translation max-entries all-host 3000 ip nat inside source list 101 interface Dialer0 overload ip route profile ip route 10.0.0.1 255.255.255.255 10.0.47.1 ! dialer-list 1 protocol ip permit ! snmp-server community k259 RO access-list 1 remark internet access-list 1 remark CCP_ACL Category=2 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 23 remark CCP_ACL Category=17 access-list 23 permit 10.10.10.0 0.0.0.7 access-list 23 permit 192.168.0.0 0.0.0.15 access-list 101 remark internet2 access-list 101 remark CCP_ACL Category=2 access-list 101 remark test 2 access-list 101 permit ip 192.168.0.0 0.0.0.255 any access-list 150 remark WAN rule access-list 150 remark CCP_ACL Category=1 access-list 150 remark WAN rule entry access-list 150 permit ip any any ! vstack banner exec ^C % Password expiration warning. ----------------------------------------------------------------------- ^C banner login ^C ----------------------------------------------------------------------- ^C ! line con 0 login local no modem enable line aux 0 line 2 no activation-character no exec transport preferred none transport input all line vty 0 4 access-class 23 in exec-timeout 100 0 privilege level 15 password xxxxxxxxxxx login local transport input telnet ssh ! ntp master ntp update-calendar ntp server ntp2.stratum2.ru ! end
|
20 апр 2019, 20:42 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
А для чего у вас два IP-адреса из одной подсети на SVI для VLAN1 настроено?
|
20 апр 2019, 22:56 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Чтобы был. Это что-то меняет?
ЗЫ. Вот меняю я основной - криво меняю - остается запасной - подключиться можно.
|
21 апр 2019, 11:56 |
|
|
tr33ks
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 191
|
aleks2 писал(а): клиент 192.168.0.12 имеет доступ
> e1.ru ╤хЁтхЁ: [192.168.0.1] Address: 192.168.0.1 Не заслуживающий доверия ответ: ╚ь : e1.ru Addresses: 212.193.163.7 212.193.163.6
И при этом aleks2 писал(а): ip dhcp pool k259 import all network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 domain-name k259 dns-server 192.168.0.12 8.8.8.8 lease 0 2
! ip domain name k259 ip name-server 192.168.0.12 ip name-server 8.8.8.8
В чем прикол?)
|
22 апр 2019, 15:39 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
В том, что .12 - AD сервер DNS. Замени 12 на 10 - будет то же.
ЗЫ. Я гляжу, знатоков тут не густо...
|
27 апр 2019, 05:21 |
|
|
tr33ks
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 191
|
1) Специалисты молчат, ибо не готовы вступать в многодневную переписку и тянуть информацию клещами чтобы помочь человеку решить его же проблему. 2) С конфигом циски всё ок 3) Если мне не изменяет память, то ответ nslookup DNS request timed out. говорит о недоступности IP-адреса сервера, а не об отсутствии ответа. 4) "клиент 192.168.0.12 имеет доступ" + "клиент 192.168.0.120 НЕ имеет доступа (это тот же самый компьютер, только с измененным IP, с сетью и интернетом все нормально)" + ".12 - AD сервер DNS" + "ip name-server 192.168.0.12" - такое ощущение, что вы специально всё больше запутываете 5) После вашего постскриптума ждать ответ уже бессмысленно.
|
27 апр 2019, 10:52 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
то есть вы отключили DNS сервер и хотите, чтобы cisco ответила вам не получив сама ответа? По-моему то что там прописано 2 dns сервера так роли не играет, не ломится он на второй.
|
28 апр 2019, 08:44 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
1. У цицки есть еще ссылка на 8.8.8.8. ip name-server 8.8.8.8
2. Цицка отвечает на запросы DNS компу с 192.168.0.11. 3. Цицка НЕ отвечает на запросы DNS компу с 192.168.0.102. 4. Оба компа успешно выходят в интернет через цыцку.
Какие еще сведения надо предоставить?
|
28 апр 2019, 12:37 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Ну, снимите дамп со всех интерфейсов Циски, давайте, посмотрим. Или хотя бы включите логирование во всех DNS view. Тогда, возможно, будет хоть что-то понятно. Какое-то странное ощущение, что Циска и AD смотрят друг на друга и от этого пакет, возможно дропается, если с АД возвращается DNS request обратно на Циску. Если уж накопипастили конфиг с DNS-view, то сделайте хотя бы, чтобы только определённые зоны форвардились на АД, а не весь DNS-трафик. Что уже сам топик стартер сделал, чтобы потраблшутить?..
|
28 апр 2019, 23:32 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Я не настолько знатный цыцковод, шоб так сразу логгирование включить... Для меня это долго.
Посмотрю, конечно. Меня смущает, что доступ к DNS есть у компов, подпадающих под
access-list 23 remark CCP_ACL Category=17 access-list 23 permit 192.168.0.0 0.0.0.15
и нету - у всех остальных.
|
29 апр 2019, 15:24 |
|
|