Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:09



Ответить на тему  [ Сообщений: 10 ] 
Доступ к DNS-серверу на роутере 881-W 
Автор Сообщение

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Что-то я недопонимаю.
По моим представлениям у ВСЕХ клиентов сети 192.168.0.* должен быть доступ к DNS-серверу роутера.

Но в реальности

клиент 192.168.0.12 имеет доступ

> e1.ru
╤хЁтхЁ: [192.168.0.1]
Address: 192.168.0.1
Не заслуживающий доверия ответ:
╚ь : e1.ru
Addresses: 212.193.163.7
212.193.163.6

клиент 192.168.0.120 НЕ имеет доступа (это тот же самый компьютер, только с измененным IP, с сетью и интернетом все нормально)

> e1.ru
╤хЁтхЁ: [192.168.0.1]
Address: 192.168.0.1
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса [192.168.0.1]

Чего я не понимаю?
Код:
cisco.k259#sh run
Current configuration : 7930 bytes
!
version 15.4
no service pad
service tcp-keepalives-in
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname cisco.k259
!
boot-start-marker
boot-end-marker
!
!
logging discriminator FAN-FAIL severity drops 3 facility drops FAN mnemonics drops FAN_FAILED
logging buffered discriminator FAN-FAIL
no logging console
logging monitor discriminator FAN-FAIL
enable secret 5 $1$WSti$mDMsh6sXY2iguEI/Mchiy1
enable password xxxxxxxx
!
no aaa new-model
memory-size iomem 15
clock timezone GMT 5 0
!
crypto pki trustpoint TP-self-signed-3690135629
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3690135629
 revocation-check none
 rsakeypair TP-self-signed-3690135629
!
!
crypto pki certificate chain TP-self-signed-3690135629
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
        quit
!
!
no ip gratuitous-arps
!
!
ip dhcp excluded-address 192.168.0.1 192.168.0.7
!
ip dhcp pool k259
 import all
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 domain-name k259
 dns-server 192.168.0.12 8.8.8.8
 lease 0 2
!
!
!
ip domain name k259
ip name-server 192.168.0.12
ip name-server 8.8.8.8
ip inspect WAAS flush-timeout 10
no ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group PPTP_CLIENT
 description Rostelecom ISP
 request-dialin
  protocol pptp
  pool-member 1
 initiate-to ip 10.0.0.1
!
cts logging verbose
license udi pid CISCO881W-GN-E-K9 sn FCZ164190LZ
!
!
username atest privilege 15 secret 4 6in4Lru2ZZ8N8cUij4q7JvPlkL..hsURCkjm.d4NOR2
!
!
!
!
no cdp run
!
ip tcp path-mtu-discovery
!
!
!
!
!
!
!
!
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 ip address 10.0.47.132 255.255.255.0
 no ip proxy-arp
 ip flow ingress
 ip dns view-group no_dns_list
 ip route-cache same-interface
 ip route-cache policy
 duplex auto
 speed auto
!
interface wlan-ap0
 description Service module interface to manage the embedded AP
 ip address 10.10.11.1 255.255.255.0
 arp timeout 0
!
interface Wlan-GigabitEthernet0
 description Internal switch interface connecting to the embedded AP
 no ip address
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.0.5 255.255.255.0 secondary
 ip address 192.168.0.1 255.255.255.0
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 ip route-cache policy
 ip tcp adjust-mss 1410
 hold-queue 200 in
 hold-queue 100 out
!
interface Dialer0
 description $ETH-WAN$
 mtu 1450
 ip address negotiated
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in max-fragments 64 max-reassemblies 32 timeout 5
 encapsulation ppp
 ip route-cache policy
 ip tcp adjust-mss 1410
 dialer pool 1
 dialer idle-timeout 0
 dialer string 123
 dialer persistent
 dialer vpdn
 ppp authentication ms-chap-v2 callin
 ppp chap hostname 90.157.26.245
 ppp chap password 0 xxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:
!
no ip ftp passive
ip dns view no_dns_view
 no domain lookup
 no dns forwarding
ip dns view-list no_dns_list
 view no_dns_view 1
ip dns server
ip nat translation max-entries all-host 3000
ip nat inside source list 101 interface Dialer0 overload
ip route profile
ip route 10.0.0.1 255.255.255.255 10.0.47.1
!
dialer-list 1 protocol ip permit
!
snmp-server community k259 RO
access-list 1 remark internet
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 23 remark CCP_ACL Category=17
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.15
access-list 101 remark internet2
access-list 101 remark CCP_ACL Category=2
access-list 101 remark test 2
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 remark WAN rule
access-list 150 remark CCP_ACL Category=1
access-list 150 remark WAN rule entry
access-list 150 permit ip any any
!
 vstack
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
^C
!
line con 0
 login local
 no modem enable
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
line vty 0 4
 access-class 23 in
 exec-timeout 100 0
 privilege level 15
 password xxxxxxxxxxx
 login local
 transport input telnet ssh
!
ntp master
ntp update-calendar
ntp server ntp2.stratum2.ru
!
end


20 апр 2019, 20:42
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
А для чего у вас два IP-адреса из одной подсети на SVI для VLAN1 настроено?


20 апр 2019, 22:56
Профиль WWW

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Чтобы был.
Это что-то меняет?

ЗЫ. Вот меняю я основной - криво меняю - остается запасной - подключиться можно.


21 апр 2019, 11:56
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 191
aleks2 писал(а):
клиент 192.168.0.12 имеет доступ

> e1.ru
╤хЁтхЁ: [192.168.0.1]
Address: 192.168.0.1
Не заслуживающий доверия ответ:
╚ь : e1.ru
Addresses: 212.193.163.7
212.193.163.6


И при этом
aleks2 писал(а):
ip dhcp pool k259
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
domain-name k259
dns-server 192.168.0.12 8.8.8.8
lease 0 2

!
ip domain name k259
ip name-server 192.168.0.12
ip name-server 8.8.8.8

В чем прикол?)


22 апр 2019, 15:39
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
В том, что .12 - AD сервер DNS.
Замени 12 на 10 - будет то же.

ЗЫ. Я гляжу, знатоков тут не густо...


27 апр 2019, 05:21
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 191
1) Специалисты молчат, ибо не готовы вступать в многодневную переписку и тянуть информацию клещами чтобы помочь человеку решить его же проблему.
2) С конфигом циски всё ок
3) Если мне не изменяет память, то ответ nslookup DNS request timed out. говорит о недоступности IP-адреса сервера, а не об отсутствии ответа.
4) "клиент 192.168.0.12 имеет доступ" + "клиент 192.168.0.120 НЕ имеет доступа (это тот же самый компьютер, только с измененным IP, с сетью и интернетом все нормально)" + ".12 - AD сервер DNS" + "ip name-server 192.168.0.12" - такое ощущение, что вы специально всё больше запутываете
5) После вашего постскриптума ждать ответ уже бессмысленно.


27 апр 2019, 10:52
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
то есть вы отключили DNS сервер и хотите, чтобы cisco ответила вам не получив сама ответа? По-моему то что там прописано 2 dns сервера так роли не играет, не ломится он на второй.


28 апр 2019, 08:44
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
1. У цицки есть еще ссылка на 8.8.8.8.
ip name-server 8.8.8.8

2. Цицка отвечает на запросы DNS компу с 192.168.0.11.
3. Цицка НЕ отвечает на запросы DNS компу с 192.168.0.102.
4. Оба компа успешно выходят в интернет через цыцку.

Какие еще сведения надо предоставить?


28 апр 2019, 12:37
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Ну, снимите дамп со всех интерфейсов Циски, давайте, посмотрим. Или хотя бы включите логирование во всех DNS view. Тогда, возможно, будет хоть что-то понятно. Какое-то странное ощущение, что Циска и AD смотрят друг на друга и от этого пакет, возможно дропается, если с АД возвращается DNS request обратно на Циску.
Если уж накопипастили конфиг с DNS-view, то сделайте хотя бы, чтобы только определённые зоны форвардились на АД, а не весь DNS-трафик.
Что уже сам топик стартер сделал, чтобы потраблшутить?..


28 апр 2019, 23:32
Профиль WWW

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Я не настолько знатный цыцковод, шоб так сразу логгирование включить...
Для меня это долго.

Посмотрю, конечно. Меня смущает, что доступ к DNS есть у компов, подпадающих под

access-list 23 remark CCP_ACL Category=17
access-list 23 permit 192.168.0.0 0.0.0.15

и нету - у всех остальных.


29 апр 2019, 15:24
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 56


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB