С недавнего времени странно стал работать DNS Relay на 210м.
Суть такова - DNS-сервером в сети является контроллер домена на W2K3 (192.168.3.100), который пересылает нелокальные имена к DFL-210, который, в свою очередь, делаей релей на сервер DNS провайдера (212.17.1.65). Правила привожу на рисунке ниже.



И вместе с тем в логах вижу вот такое (средняя запись):


Странички грузятся со 2-3 раза.
В чем может быть причина? Или дело не в 210м, а просто DNS сам пытается делать запросы, а не пересылать их к серверу провайдера?

средний запрос - зарезанное обращение к внешнему DNS серверу.

Это делает сервер, это не связано с DFL. DFL режет его в соответствии с правилами.

1. Либо разрешите все DNS обращения для сервера на DFL,

2. либо заставьте сервер слать все dns запросы через релей.

3. Либо настройте PBR, чтобы все DNS запросы посылались куда и как вам надо.

PBR - маршрутизация на основе политик.
Хотя я тут подумал. Это делается не PBR, а чисто IP-правилами.

SAT lan lannet wan all-nets dns-all (АДРЕС НАЗНАЧЕНИЯ НА СЕРВЕР ПРОВАЙДЕРА.)
NAT lan lannet wan all-nets dns-all

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. Не вариант.
2. Так вроде настроено (192.168.3.1 - это DFL-210), почему может не работать (а раньше работало)?


3. Policу Based Rounting?

2. значит какой-то софт, почти 100% не виндозовский, формирует эти DNS запросы. Может и вирус/троян.

3. да. маршрутизация на основе политик.

Хотя я тут подумал. Это делается не PBR а чисто IP-правилами.

SAT lan lannet wan all-nets dns-all (АДРЕС НАЗНАЧЕНИЯ НА СЕРВЕР ПРОВАЙДЕРА.)
NAT lan lannet wan all-nets dns-all

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Очень вряд ли.
Во-первых, эти ip в логах (которые контроллер домена пытается разрешать самостоятельно) соответствуют именам, которые, например, я ввожу в строке браузера. То есть я там находил гугловский ip, когда пытался открыть гугл и так далее.
Во-вторых, есть антивирусная защита.



Не вполне понимаю. Это разве не почти тот же DNS релей?

Почти. Только DNS релей переадресует все DNS запросы адресованные ему.
А этим правилом вы переадресуете все DNS запросы наружу.

В принципе, под DNS запросом под видом обращения на порт 53 может скрываться любое другое соединение, которое хочет установить какая-либо программа.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не хотелось бы переадресовывать все наружу в обход релея на роутере.
Странно это все. Ошибка проявляется хаотически, безо всякой закономерности в течение дня.
Вот сейчас все работает идеально (см. рисунок), а каких-то пару часов назад я не мог выйти даже на этот форум.