forum.opennet.ru - "Не проходит AXFR DNS зоны через IOS NAT" (16)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не проходит AXFR DNS зоны через IOS NAT"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не проходит AXFR DNS зоны через IOS NAT"	+/–
Сообщение от oggi (??) on 26-Июл-12, 18:52
Всем привет. Трансфер DNS зоны из-за NAT отваливается по тамауту. Экспериментально выяснил что если зона совсем маленькая (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), но куда конкретно копать что-то не соображу. Трансфер делаю так dig @server axfr zone.test.com
Ответить \| Правка \| Cообщить модератору

Оглавление

Не проходит AXFR DNS зоны через IOS NAT, oggi, 18:53 , 26-Июл-12, (1)
Не проходит AXFR DNS зоны через IOS NAT, VolanD, 06:03 , 27-Июл-12, (2)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 11:14 , 27-Июл-12, (3)

Не проходит AXFR DNS зоны через IOS NAT, Merridius, 11:23 , 27-Июл-12, (4)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 11:51 , 27-Июл-12, (5)

Не проходит AXFR DNS зоны через IOS NAT, Merridius, 15:16 , 27-Июл-12, (6)

Не проходит AXFR DNS зоны через IOS NAT, Merridius, 15:19 , 27-Июл-12, (7)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 17:25 , 27-Июл-12, (11)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 17:17 , 27-Июл-12, (9)

Не проходит AXFR DNS зоны через IOS NAT, karen durinyan, 16:23 , 27-Июл-12, (8)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 17:22 , 27-Июл-12, (10)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 17:27 , 27-Июл-12, (12)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 17:30 , 27-Июл-12, (13)

Не проходит AXFR DNS зоны через IOS NAT, karen durinyan, 17:42 , 27-Июл-12, (14)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 18:05 , 27-Июл-12, (15)

Не проходит AXFR DNS зоны через IOS NAT, oggi, 13:05 , 31-Июл-12, (16)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 26-Июл-12, 18:53

> Всем привет.
> Трансфер DNS зоны из-за NAT отваливается по тамауту.
> Экспериментально выяснил что если зона совсем маленькая
> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
> но куда конкретно копать что-то не соображу.
> Трансфер делаю так
> dig @server axfr zone.test.com
ЗЫ C881 IOS 15.0M(6)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от VolanD (ok) on 27-Июл-12, 06:03

> Всем привет.
> Трансфер DNS зоны из-за NAT отваливается по тамауту.
> Экспериментально выяснил что если зона совсем маленькая
> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
> но куда конкретно копать что-то не соображу.
> Трансфер делаю так
> dig @server axfr zone.test.com
Чета с МТУ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 11:14

>> Всем привет.
>> Трансфер DNS зоны из-за NAT отваливается по тамауту.
>> Экспериментально выяснил что если зона совсем маленькая
>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>> но куда конкретно копать что-то не соображу.
>> Трансфер делаю так
>> dig @server axfr zone.test.com
> Чета с МТУ?
По всему пути MTU 1500

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от Merridius (ok) on 27-Июл-12, 11:23

>[оверквотинг удален]
>>> Трансфер DNS зоны из-за NAT отваливается по тамауту.
>>> Экспериментально выяснил что если зона совсем маленькая
>>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>> но куда конкретно копать что-то не соображу.
>>> Трансфер делаю так
>>> dig @server axfr zone.test.com
>> Чета с МТУ?
> По всему пути MTU 1500
Dns inspect попробуйте выключить для начала.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 11:51

>[оверквотинг удален]
>>>> Экспериментально выяснил что если зона совсем маленькая
>>>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>>>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>>> но куда конкретно копать что-то не соображу.
>>>> Трансфер делаю так
>>>> dig @server axfr zone.test.com
>>> Чета с МТУ?
>> По всему пути MTU 1500
> Dns inspect попробуйте выключить для начала.
Пробовал без inspect. Есть 2ой аналогичный маршрутизатор, на нем inspect выключен, ситуация такая же. Только что выключил inspect на обсуждаемом маршрутизаторе, трансфер по прежнему обламывается. Мимо NAT "пролетает со свистом".

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от Merridius (ok) on 27-Июл-12, 15:16

>[оверквотинг удален]
>>>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>>>> но куда конкретно копать что-то не соображу.
>>>>> Трансфер делаю так
>>>>> dig @server axfr zone.test.com
>>>> Чета с МТУ?
>>> По всему пути MTU 1500
>> Dns inspect попробуйте выключить для начала.
> Пробовал без inspect. Есть 2ой аналогичный маршрутизатор, на нем inspect выключен, ситуация
> такая же. Только что выключил inspect на обсуждаемом маршрутизаторе, трансфер по
> прежнему обламывается. Мимо NAT "пролетает со свистом".
Выдержка из Routing tcp/ip vol.2
Because a zone transfer is a file transfer, a NAT cannot parse the address information out of the file. Even if it could, zone files are often very large, which would put a significant performance burden on the NAT device. Therefore, a primary and secondary DNS server for the same zone cannot be located on opposite sides of a NAT, because the information in zone files will not be translated during a zone transfer.
Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
Нужно Primary и Secondary сервера размещать с одной стороны.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от Merridius (ok) on 27-Июл-12, 15:19

>[оверквотинг удален]
> Выдержка из Routing tcp/ip vol.2
> Because a zone transfer is a file transfer, a NAT cannot parse
> the address information out of the file. Even if it could,
> zone files are often very large, which would put a significant
> performance burden on the NAT device. Therefore, a primary and secondary
> DNS server for the same zone cannot be located on opposite
> sides of a NAT, because the information in zone files will
> not be translated during a zone transfer.
> Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
> Нужно Primary и Secondary сервера размещать с одной стороны.
Вот еще что нарыл, возможно вам поможет
http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-wor...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 17:25

>[оверквотинг удален]
>> the address information out of the file. Even if it could,
>> zone files are often very large, which would put a significant
>> performance burden on the NAT device. Therefore, a primary and secondary
>> DNS server for the same zone cannot be located on opposite
>> sides of a NAT, because the information in zone files will
>> not be translated during a zone transfer.
>> Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
>> Нужно Primary и Secondary сервера размещать с одной стороны.
> Вот еще что нарыл, возможно вам поможет
> http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-wor...
Ага. Это нагуглил вчера. Только не стал думать как подогнать мою топологию по описанное решение, оставил на потом, решил сначало зарегать SR в cisco TAC.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 17:17

>[оверквотинг удален]
> Выдержка из Routing tcp/ip vol.2
> Because a zone transfer is a file transfer, a NAT cannot parse
> the address information out of the file. Even if it could,
> zone files are often very large, which would put a significant
> performance burden on the NAT device. Therefore, a primary and secondary
> DNS server for the same zone cannot be located on opposite
> sides of a NAT, because the information in zone files will
> not be translated during a zone transfer.
> Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer.
> Нужно Primary и Secondary сервера размещать с одной стороны.
Да, видел этот текст. Только ИМХО речь идет о том что IOS NAT не транслирует адреса внутри DNS запросов (ну например чтобы не делать split horizon (в терминах BIND отдельные view для клиентов из LAN и Интернет), стоит NS внутри LAN(inside) держит зону zone.example.com, в которой RR это внутренние/серые адреса, client из outside спрашивает у NS например A, сервер отвечает серым адресом, а IOS NAT заботится о том чтобы клиенту пришел ответ IN A белый адрес, т.е. трансляция на application level). А мне это и не нужно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от karen durinyan (ok) on 27-Июл-12, 16:23

> Всем привет.
> Трансфер DNS зоны из-за NAT отваливается по тамауту.
> Экспериментально выяснил что если зона совсем маленькая
> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
> но куда конкретно копать что-то не соображу.
> Трансфер делаю так
> dig @server axfr zone.test.com
no ip nat service alg tcp dns
no ip nat service alg udp dns

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 17:22

>[оверквотинг удален]
>> Трансфер DNS зоны из-за NAT отваливается по тамауту.
>> Экспериментально выяснил что если зона совсем маленькая
>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542))
>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>> но куда конкретно копать что-то не соображу.
>> Трансфер делаю так
>> dig @server axfr zone.test.com
>  no ip nat service alg tcp dns
>  no ip nat service alg udp dns
Большое спасибо. После
no ip nat service alg tcp dns
трансфер работает.
Всем спасибо за участие.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 17:27

>[оверквотинг удален]
>>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит.
>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect),
>>> но куда конкретно копать что-то не соображу.
>>> Трансфер делаю так
>>> dig @server axfr zone.test.com
>>  no ip nat service alg tcp dns
>>  no ip nat service alg udp dns
> Большое спасибо. После
> no ip nat service alg tcp dns
> трансфер работает.
Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
> Всем спасибо за участие.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 17:30

>[оверквотинг удален]
>>>> но куда конкретно копать что-то не соображу.
>>>> Трансфер делаю так
>>>> dig @server axfr zone.test.com
>>>  no ip nat service alg tcp dns
>>>  no ip nat service alg udp dns
>> Большое спасибо. После
>> no ip nat service alg tcp dns
>> трансфер работает.
> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая
> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
Мда... Непонятно.... Во время трансфера sh proc cpu  не показывает никакой загружености проца.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от karen durinyan (ok) on 27-Июл-12, 17:42

>[оверквотинг удален]
>>>>> dig @server axfr zone.test.com
>>>>  no ip nat service alg tcp dns
>>>>  no ip nat service alg udp dns
>>> Большое спасибо. После
>>> no ip nat service alg tcp dns
>>> трансфер работает.
>> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая
>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
> Мда... Непонятно.... Во время трансфера sh proc cpu  не показывает никакой
> загружености проца.
на здоровье.
честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на 9053 в nat и bind для трансфера (не знал про alg но догадался что это из за application level ) потом где то почитал о alg и дальше не копал.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 27-Июл-12, 18:05

>[оверквотинг удален]
>>>> трансфер работает.
>>> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая
>>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
>> Мда... Непонятно.... Во время трансфера sh proc cpu  не показывает никакой
>> загружености проца.
> на здоровье.
> честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на
> 9053 в nat и bind для трансфера (не знал про alg
> но догадался что это из за application level ) потом где
> то почитал о alg и дальше не копал.
Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат. Отпишу, если будет че-нить интересное.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Не проходит AXFR DNS зоны через IOS NAT" +/–

Сообщение от oggi (??) on 31-Июл-12, 13:05

>[оверквотинг удален]
>>>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить.
>>> Мда... Непонятно.... Во время трансфера sh proc cpu  не показывает никакой
>>> загружености проца.
>> на здоровье.
>> честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на
>> 9053 в nat и bind для трансфера (не знал про alg
>> но догадался что это из за application level ) потом где
>> то почитал о alg и дальше не копал.
> Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат.
> Отпишу, если будет че-нить интересное.
Проблема известная (bug CSCta55540). Решение - то, что предложил  karen durinyaт "ip nat service alg tcp dns" или "no-payload" для статических правил трансляции. Замечу, что в доке написано что NAT не транслирует адреса при трансфере (адреса в файле зоны), на практике, судя из объяснений инженера TAC, NAT таки транслирует (пытается по крайней мере) - нужно править документацию.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
Сообщение от oggi (??) on 26-Июл-12, 18:53
> Всем привет. > Трансфер DNS зоны из-за NAT отваливается по тамауту. > Экспериментально выяснил что если зона совсем маленькая > (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) > то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. > Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), > но куда конкретно копать что-то не соображу. > Трансфер делаю так > dig @server axfr zone.test.com ЗЫ C881 IOS 15.0M(6)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
Сообщение от VolanD (ok) on 27-Июл-12, 06:03
> Всем привет. > Трансфер DNS зоны из-за NAT отваливается по тамауту. > Экспериментально выяснил что если зона совсем маленькая > (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) > то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. > Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), > но куда конкретно копать что-то не соображу. > Трансфер делаю так > dig @server axfr zone.test.com Чета с МТУ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 11:14
	>> Всем привет. >> Трансфер DNS зоны из-за NAT отваливается по тамауту. >> Экспериментально выяснил что если зона совсем маленькая >> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) >> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. >> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), >> но куда конкретно копать что-то не соображу. >> Трансфер делаю так >> dig @server axfr zone.test.com > Чета с МТУ? По всему пути MTU 1500
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от Merridius (ok) on 27-Июл-12, 11:23
	>[оверквотинг удален] >>> Трансфер DNS зоны из-за NAT отваливается по тамауту. >>> Экспериментально выяснил что если зона совсем маленькая >>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) >>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. >>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), >>> но куда конкретно копать что-то не соображу. >>> Трансфер делаю так >>> dig @server axfr zone.test.com >> Чета с МТУ? > По всему пути MTU 1500 Dns inspect попробуйте выключить для начала.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 11:51
	>[оверквотинг удален] >>>> Экспериментально выяснил что если зона совсем маленькая >>>> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) >>>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. >>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), >>>> но куда конкретно копать что-то не соображу. >>>> Трансфер делаю так >>>> dig @server axfr zone.test.com >>> Чета с МТУ? >> По всему пути MTU 1500 > Dns inspect попробуйте выключить для начала. Пробовал без inspect. Есть 2ой аналогичный маршрутизатор, на нем inspect выключен, ситуация такая же. Только что выключил inspect на обсуждаемом маршрутизаторе, трансфер по прежнему обламывается. Мимо NAT "пролетает со свистом".
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от Merridius (ok) on 27-Июл-12, 15:16
	>[оверквотинг удален] >>>>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), >>>>> но куда конкретно копать что-то не соображу. >>>>> Трансфер делаю так >>>>> dig @server axfr zone.test.com >>>> Чета с МТУ? >>> По всему пути MTU 1500 >> Dns inspect попробуйте выключить для начала. > Пробовал без inspect. Есть 2ой аналогичный маршрутизатор, на нем inspect выключен, ситуация > такая же. Только что выключил inspect на обсуждаемом маршрутизаторе, трансфер по > прежнему обламывается. Мимо NAT "пролетает со свистом". Выдержка из Routing tcp/ip vol.2 Because a zone transfer is a file transfer, a NAT cannot parse the address information out of the file. Even if it could, zone files are often very large, which would put a significant performance burden on the NAT device. Therefore, a primary and secondary DNS server for the same zone cannot be located on opposite sides of a NAT, because the information in zone files will not be translated during a zone transfer. Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer. Нужно Primary и Secondary сервера размещать с одной стороны.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от Merridius (ok) on 27-Июл-12, 15:19
	>[оверквотинг удален] > Выдержка из Routing tcp/ip vol.2 > Because a zone transfer is a file transfer, a NAT cannot parse > the address information out of the file. Even if it could, > zone files are often very large, which would put a significant > performance burden on the NAT device. Therefore, a primary and secondary > DNS server for the same zone cannot be located on opposite > sides of a NAT, because the information in zone files will > not be translated during a zone transfer. > Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer. > Нужно Primary и Secondary сервера размещать с одной стороны. Вот еще что нарыл, возможно вам поможет http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-wor...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	11. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 17:25
	>[оверквотинг удален] >> the address information out of the file. Even if it could, >> zone files are often very large, which would put a significant >> performance burden on the NAT device. Therefore, a primary and secondary >> DNS server for the same zone cannot be located on opposite >> sides of a NAT, because the information in zone files will >> not be translated during a zone transfer. >> Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer. >> Нужно Primary и Secondary сервера размещать с одной стороны. > Вот еще что нарыл, возможно вам поможет > http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-wor... Ага. Это нагуглил вчера. Только не стал думать как подогнать мою топологию по описанное решение, оставил на потом, решил сначало зарегать SR в cisco TAC.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 17:17
	>[оверквотинг удален] > Выдержка из Routing tcp/ip vol.2 > Because a zone transfer is a file transfer, a NAT cannot parse > the address information out of the file. Even if it could, > zone files are often very large, which would put a significant > performance burden on the NAT device. Therefore, a primary and secondary > DNS server for the same zone cannot be located on opposite > sides of a NAT, because the information in zone files will > not be translated during a zone transfer. > Короче я так понимаю Cisco IOS NAT не поддерживает zone transfer. > Нужно Primary и Secondary сервера размещать с одной стороны. Да, видел этот текст. Только ИМХО речь идет о том что IOS NAT не транслирует адреса внутри DNS запросов (ну например чтобы не делать split horizon (в терминах BIND отдельные view для клиентов из LAN и Интернет), стоит NS внутри LAN(inside) держит зону zone.example.com, в которой RR это внутренние/серые адреса, client из outside спрашивает у NS например A, сервер отвечает серым адресом, а IOS NAT заботится о том чтобы клиенту пришел ответ IN A белый адрес, т.е. трансляция на application level). А мне это и не нужно.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

8. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
Сообщение от karen durinyan (ok) on 27-Июл-12, 16:23
> Всем привет. > Трансфер DNS зоны из-за NAT отваливается по тамауту. > Экспериментально выяснил что если зона совсем маленькая > (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) > то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. > Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), > но куда конкретно копать что-то не соображу. > Трансфер делаю так > dig @server axfr zone.test.com no ip nat service alg tcp dns no ip nat service alg udp dns
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 17:22
	>[оверквотинг удален] >> Трансфер DNS зоны из-за NAT отваливается по тамауту. >> Экспериментально выяснил что если зона совсем маленькая >> (из вывода dig ;; XFR size: 23 records (messages 1, bytes 542)) >> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. >> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), >> но куда конкретно копать что-то не соображу. >> Трансфер делаю так >> dig @server axfr zone.test.com > no ip nat service alg tcp dns > no ip nat service alg udp dns Большое спасибо. После no ip nat service alg tcp dns трансфер работает. Всем спасибо за участие.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 17:27
	>[оверквотинг удален] >>> то трансфер проходит. Если "bytes > приблизительно 2500", то не проходит. >>> Пока подозрение именно на NAT (на inside интерфейсе есть еще inspect), >>> но куда конкретно копать что-то не соображу. >>> Трансфер делаю так >>> dig @server axfr zone.test.com >> no ip nat service alg tcp dns >> no ip nat service alg udp dns > Большое спасибо. После > no ip nat service alg tcp dns > трансфер работает. Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить. > Всем спасибо за участие.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 17:30
	>[оверквотинг удален] >>>> но куда конкретно копать что-то не соображу. >>>> Трансфер делаю так >>>> dig @server axfr zone.test.com >>> no ip nat service alg tcp dns >>> no ip nat service alg udp dns >> Большое спасибо. После >> no ip nat service alg tcp dns >> трансфер работает. > Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая > зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить. Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой загружености проца.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от karen durinyan (ok) on 27-Июл-12, 17:42
	>[оверквотинг удален] >>>>> dig @server axfr zone.test.com >>>> no ip nat service alg tcp dns >>>> no ip nat service alg udp dns >>> Большое спасибо. После >>> no ip nat service alg tcp dns >>> трансфер работает. >> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая >> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить. > Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой > загружености проца. на здоровье. честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на 9053 в nat и bind для трансфера (не знал про alg но догадался что это из за application level ) потом где то почитал о alg и дальше не копал.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 27-Июл-12, 18:05
	>[оверквотинг удален] >>>> трансфер работает. >>> Единственное не пойму почему на результат влияет размер трансфера. Может конечно большая >>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить. >> Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой >> загружености проца. > на здоровье. > честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на > 9053 в nat и bind для трансфера (не знал про alg > но догадался что это из за application level ) потом где > то почитал о alg и дальше не копал. Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат. Отпишу, если будет че-нить интересное.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Не проходит AXFR DNS зоны через IOS NAT"	+/–
	Сообщение от oggi (??) on 31-Июл-12, 13:05
	>[оверквотинг удален] >>>> зона "укладывает" с881 и dig не дожидается ответа. Сейчас попытаюсь проверить. >>> Мда... Непонятно.... Во время трансфера sh proc cpu не показывает никакой >>> загружености проца. >> на здоровье. >> честно говоря тоже непонятно... тогда я решил проблему поменяв порт 53 на >> 9053 в nat и bind для трансфера (не знал про alg >> но догадался что это из за application level ) потом где >> то почитал о alg и дальше не копал. > Ну в TAC SR оформил, разбираются, на следующей неделе обещали сообщить результат. > Отпишу, если будет че-нить интересное. Проблема известная (bug CSCta55540). Решение - то, что предложил karen durinyaт "ip nat service alg tcp dns" или "no-payload" для статических правил трансляции. Замечу, что в доке написано что NAT не транслирует адреса при трансфере (адреса в файле зоны), на практике, судя из объяснений инженера TAC, NAT таки транслирует (пытается по крайней мере) - нужно править документацию.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору