BGP: DNS-Problem über Ausfallleitung

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
JeWe
Beiträge: 108
Registriert: Di 11.10.2011, 10:58

BGP: DNS-Problem über Ausfallleitung

Beitrag von JeWe »

Moin,

wir haben BGP im Einsatz, die bird.conf ist entsprechend konfiguriert und die Umschaltung auf der Firewall fürs Routing funktioniert auch, was ein Blick auf "ip r" verrät. Das Problem: Viele Internetseiten lassen sich nicht aufrufen, bei einigen klappt es, allerdings auch recht langsam (Hauptleitung ist 100Mbit, Ausfallleitung 20Mbit).

Wie haben AD-intern zwei DNS-Server im Einsatz. Im DNS ist die (externe) IP unserer Unternehmenswebsite hinterlegt, der Zugriff auf diese Seite klappt also immer. Andere Zugriffe nur sehr langsam bis gar nicht. Hat spontan jemand eine Idee, wo es haken könnte? An für sich ändert sich doch netzwerkintern nichts?

Gruß

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Netzwerkintern vielleicht nicht. Aber sie sollten sicherstellen, dass bspw. die DNS-Server auch über die andere Route erreichbar sind.
Wie so oft hilft tcpdump weiter:

Code: Alles auswählen

# tcpdump -i <interface> -nnp port 53
Sehen Sie auf der "alten" Leitung Pakete rausgehen, ist da vielleicht ein Source- oder Rule-Routing konfiguriert, welches den BIRD "überstimmt".
Sind hingegen auf der "neuen" Leitung zwar DNS-Queries, aber keine Antworten zu sehen, ist der verwendete DNS-Server nicht erreichbar.

JeWe
Beiträge: 108
Registriert: Di 11.10.2011, 10:58

Beitrag von JeWe »

Moin,

ziehe ich zur Probe das Kabel der Hauptleitung, kommen auf der Hauptleitung keine DNS-Pakete mehr, nichts rein und nichts raus. So weit, so OK. Auf der Ausfallleitung hingegen kommen DNS-Pakete, scheinen Anfragen auf unser Netz zu sein:

root@fw:~# tcpdump -i eth3 -nnp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth3, link-type EN10MB (Ethernet), capture size 65535 bytes
10:29:30.206849 IP 66.197.180.74.53 > x.x.x.x.54884: 31354 zoneRef FormErr- [0q] 0/0/0 (12)
10:29:34.516835 IP 115.230.124.13.53 > x.x.x.x.13383: 22790| [0q] 0/0/0 (12)
10:30:05.254381 IP 115.230.124.13.53 > x.x.x.x.32522: 22790| [0q] 0/0/0 (12)
10:30:59.373790 IP 218.27.207.249.18743 > x.x.x.x.53: 10081+ [1au] ANY? ripe.net. (49)
10:33:12.803139 IP 218.27.207.249.29436 > x.x.x.x.53: 48228+ [1au] ANY? ripe.net. (49)
10:33:29.760590 IP 66.197.180.74.53 > x.x.x.x.53224: 31354 zoneRef FormErr- [0q] 0/0/0 (12)

Anfragen sehe ich keine. Habe auch noch mal unser Regelwerk geprüft, sehe da aber auch nichts Auffälliges. Was nicht unbedingt etwas heißen muss...

Gruß

JeWe
Beiträge: 108
Registriert: Di 11.10.2011, 10:58

Beitrag von JeWe »

Komisch... Lausche ich bei funktionierendem Betrieb einfach mit
tcpdump -i eth0 bzw. tcpdump -i eth3
sehe ich auch eth0 den normalen Verkehr von Firewall zur Außenwelt und andersrum. Auf eth3 fliegen netzwerkinterne Pakete hin und her, es wirkt als wäre DNS nur "für den internen Gebrauch" eingerichtet. Sprich, alles, was im lokalen DNS-Server bekannt ist, wird über eth3 kundgetan.
Noch jemand eine Idee?

JeWe
Beiträge: 108
Registriert: Di 11.10.2011, 10:58

Beitrag von JeWe »

Das Regelwerk war fehlerhaft, dank des Supports funktioniert es jetzt. Danke!

Antworten