Доброго времени суток.

Столкнулся с такой проблемой - DFL соединяет локальную сеть поднятую на интерфейсе DMZ с адресами 172.18.27.х и удаленную сеть 10.0.11.х посредстом IPSEC тунеля.

Тунель поднимается успешно, без ошибок, трафик в нем идет(к примеру по IP адресам идет успешный пинг, работает RDP по IP на машины из удаленной сети), IP адрес DNS из той сети тоже успешно пингуется.

НО сам сервис DNS почему то не работает, хотя в правилах разрешены любые сервисы(alltcpudpicmp). Т.е. имена не разрешаются в IP при пинге, телнет на 53 порт ДНС сервера не работает, nslookup пишет таймаут: DNS request timed out. timeout was 2 seconds.
Интересно, что nslookup mail.ru выдает ту же самую ошибку, хотя если сделать пинг мэилру то он успешно пройдет.

При сборе логов на ДНС сервере видно что запрос к нему приходит, он отвечает. Но например смотря через wireshark на клиенте я ответа не вижу - только запросы от себя.

В какую сторону посоветуете копать?

Вообще, правильно будет поднять локальный DNS-сервер в каждой подсети и настроить общение между ними в домене. Тоггда будет вам счастье.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Эти сети находятся в разных доменах и принадлежат разным организациям. И если честно не совсем понял как настроить общение между DNS серверами если собственно DNS у меня и не работает. Или они между собой могут по другому порту общаться?

NSlookup <host>
кто отвечает ?
IPconfig ?
в стукдию под споллер

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Под спойлером скриншоты.

nslookup делался до адреса в той сети. Если делать lookup до адреса mail.ru к примеру, то картина будет такая же. Но при этом пинг до мэил ру пройдет и сам мэил из браузера откроется.

а полное имя ?
с суфиксом ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

ну там грубо говоря будет portal.orgname.ru

Машина с которой идет nslookup принадлежит домену otherorg.ru, пробовал с недоменной машины - та же ситуация.

у вас проблема с DNS . он не отвечает .
Именно сам DNS.
смотрите в дампе ... или дописывайте суфиксы в винде , или соответсвенно настраивайте DHCP

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Под спойлером дамп с ДНС сервера.

Получил от клиента запрос, спросил у вышестоящего ДНС, ответил клиенту.

в логах есть что то ?!
Дропы или еще что то ?!
попробйуте разрешающее правило для DNS , на туннель IPSEC выше всех .
да... и покажите ка правила на IPsec c двух сторон !!!!!!!1

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

в логах чисто абсолютно, только единственное странно что вижу только запрос от себя, ответ не наблюдается.(т.е. вбиваю в логе адрес назначения вижу запрос от себя со своего клиента, затем вбиваю адрес назначения в поле "источник", чтобы отследить обратный ответ - там пусто). но например при пинге мэил ру ситуация такая же, хотя все проходит успешно.

правила под спойлером - стандартно все. и есть еще одно NAT правило на WAN1 порт - для выхода из сети на порту DMZ в интернет.

попробуйте во всех правилах сменить Allow на NAT
просто ради интереса . реально в правилах , или что то еще ....
а то может и маршрутизация

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

сделал такое правило, из моей сети разрешить ДНС в удаленную. в логах вижу теперь запросы на ДНС от меня. ответов по прежнему не вижу. Мне обратное правило не надо делать? Т.е. разрешить DNS сервис из удаленной сети в свою.





сменил - без эффекта.

правилос NAT ? . его просто можно было сделать одно . и поставить выше .

ну тут бы посмотреть - от туда - с удаленной сети что то летит ? с самого DNS сервера ?
на самом DNS нет ни каких запретов ? фаерволов ? прочего ?!
DNS часом не BIND

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

спасибо за помощь. сегодня попробовал выстроить тунель с аналогичными параметрами в место где могу управлять настройками с двух сторон, все работает.
По всей видимости в этой ситуации на второй стороне какая то оплошность в настройке.