DNS vagy fw probléma?

 ( end | 2015. december 22., kedd - 9:37 )

A jelenség: Az alhálózaton egyes "www"-címek nem érhetők el, mások igen. "Csodák-csodája", nem érhető el pl. "google.hu", az index.hu, a "filehippo.com". Bejön pl. "klubradio.hu", hup.hu, és más honlapok is. Azaz.., annyiban, hogy az "index.hu" részleges, félperces kínlódás után "bevánszorog" valahogyan. (keretek, szöveg, de képek pl. nem.) A névfeloldást próbáltam, - már egy ideje.., - megoldani, de minden általam próbált "portforward" és egyéb telepítési beállítás kifog rajtam. Úgy tűnik, a tudásom kevés a feladat megoldásához, és a "google sem a barátom", (annál is inkább, mert innen nem érem el... :-) ) Miközben, egy "mezei" router, ugyanide beiktatva, ebbe az akadályba nem fut bele, gond nélkül megoldja a névfeloldást.

A dologhoz hozzátartozik, ping-elni névszervereket, mint WAN oldalról mint a LAN oldalról, (azaz Windows parancssorból is) tudok, 8.8.8.8-at is. IP-t is és domaint is. A szoftver pfSense v2.2.5, - ilyenből több is fut nálam más szolgáltatókkal kifogástalanul, - szinte alaptelepítés mellett is, - korrekten. A szolgáltató mikrohullámú, fix-IP-vel, adja a hozzáférést.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hmm biztos a névfeloldás rossz? Ha fixen belövöd az egyik gépen NS-nek a 8.8.8.8-at minden bejön.
A fentihez hasonlót én még csak ADSL-en láttam (ott a routeren beállított MTU érték okozta :))

Hát, csak típ.., valóban nem biztos. Próbaként fixen beállítottam elsőnek a 8.8.8.8-at is, hozzárendeltem az UpGW-hez is. De a helyzet nem változott.

Azt nem értem, hogyan lehet az, hogy egy mezei router simán átviszi. - Egyébként, van egy menedzselhető Cisco-switch a rendszerben, (ami elfoglalja a 100-as IP-t) az alhálón. Annak esetleg valamilyen dhcp szerű megoldása? (most jut eszembe, kipróbáltam másik switch-el is, /csak 2 eszközzel,/ de a helyzet változatlan) Vagy, mivel a hálózatban Fix IP-ket osztok mappinggel, annak megoldása nem "ok" a névfeloldáshoz. Vagy a konfigurálásban használt Dell laptop viselkedik időnként furcsán, megjelenik azonos MAC-címmel, de eggyel feljebb IP-vel egy hálózati eszköz Dell-inc néven. Ami a normális hálózati eszközök között nem szerepel. Csak hálózati monitor program mutatja ki. - Persze lehet az is hibás detektálás. Szóval van más nem ismert tényező még pár, ami okozhatja a zavart. De ezek miért nem okoznak a "soho"-nál problémát?

Nem ADSL, 10/10-es net. Kipróbálom a 8-asokat, ahogy mondtad.

Igy helyesebb a kérdés:
Nem PPPOE?
Gabi

Nem. Fix IP beállításokkal megy. Állítólag semmilyen(!) szűrés nincs. (Kaptam az IP-t, gw-IP-t, DNS IP-ket, és ennyi.

A fix DNS után is maradt? Akkor én megnézném, hogy maga a pfsense doboz is hasonlóan lát-e kifele mint ami mögötte van.

Igen, írtam a WAN oldalról (Sense shell-jéből) is eléri a DNS-szervereket a ping. A 8.8.8.8-at is, az "open"-t is.

Arra gondoltam, hogy már az is vacakol a lapok be/letöltésével vajon?

Mégegyszer, csak az index.hu-n tapasztaltam ezt, a többi amit eddig indítottam be se jön. Mások meg jönnek mint a rakéta. Pregnánsan pl. klubradio.hu

Igazából, próbáltam már másik hálóval, sőt másik gépen telepítettel is, ugyanaz. Kérdésem, ha valami ismeretlen DHCP fogja az 53-ast, lehetséges hasonló eredmény?

Első olvasatra, a tünetek alapján nekem ez MTU problémának tűnik.
ip tcp adjust-mss vagy mssclamp van a tűzfalon?

A "soho" routernél, - amit ha a helyére teszek, - nincs a defaulttól eltérő MTU-beállítás...

... viszont defaultból mssclampol...

Ok. Ez eddig elkerülte a figyelmem. (Nem is tudtam, hogy ez is bekavarhat. A számomra a"google" a legrejtélyesebb, mert az mindenütt azonnal ott van. (Egyszer régebben még egy full "offline"-hálóba kötött gépen is megjelent...) :) Később kiderült Egy Cisco-switch és egy Cisco-AP közös tevékenysége okozta. (Az AP-n volt a DHCP)

"ip tcp adjust-mss" vagy "mssclamp"... ezekkel a menükkel még nem találkoztam... de keresni fogom.

Az Interface->WAN menüben közvetlen az MTU alatt :)

Idézet:
MSS

If you enter a value in this field, then MSS clamping for TCP connections to the value entered above minus 40 (TCP/IP header size) will be in effect.

Azért én a valós MTU-ra is kiváncsi lennék, ki tudja, hogy a szolgáltatója esetleg tunnelez-e félúton valahol.

Linuxon:
ping -s 1472 -M do klubradio.hu

Windowson:
ping -l 1472 -f klubradio.hu

Ezzel elvileg mindkettő 1500 bájtos csomagot generál (1472+8+20) - ha nem jön vissza a válasz, csökkenteni kell az MTU-t.

8 ms-el jön ezerrel a Win parancssorából a win-nes. De ugyanígy jön az index.hu is.

Hmm, ha átmegy az 1500 bájtos csomag, akkor elvileg nem kell mssclamp. Ami azért fura, mert a tünetek nekem arra utalnak.

Akkor ez a "látatlanban: passz" kategória lesz.

Azért nyugtass meg, hogy a "-l 1473" opciót használva már azt mondja, hogy fragmentation needed...

Kipróbáltam a max. clamp-et, de az "index" ui. szenved.

"A csomagokat darabolni kell, de a DF be van állítva"
DF az mi?

a "don't fragment" opció.

Hümm... Köszönöm. :) (Tanulok!)

Egy másik Sense (itt van mellettem egy másik net, ott simán alaptelepítéssel, hozza a net-et, (Az alap "resolver" beállítás mellett. Igaz ott PPPOE-s autentikáció és DHCP-s IP osztás van. Az is mikro-s) Mi van akkor, ha a szolgáltató is fix IP-t a WAN-ra DHCP-vel oszt? (Nem kavarhat be az 53-asnak?

PPPoE felett nem DHCP-vel, hanem PPP/IPCP-vel kapod az IP címet. Ez a funkcionalitás szempontjából egyébként teljesen mindegy.

Ha van megfelelő IP címed, és a tűzfal nem szűri ki, akkor a DNS-nek mennie kell, függetlenül attól, hogy milyen úton jutottál az IP címedhez.

De mi utal neked DNS problémára? Mert az, hogy valami lassan töltődik be, az nekem nem feltétlenül DNS problémára utal, sőt. Akkor már a pingnél is lassú lenne a névfeloldás.

Hát igaz, a pingelésekből következik a névfeloldás léte. Amit mondassz, igaz valójában nem tudom hol akadnak el "index-ék" és miben különböznek mondjuk egy klubradio.hu -tól? Direkt kikapcsoltam az IP-szűrést a privát-ra, és bogon-ra, de nem változott. Egyébként az index-nél is az "adverticum" szervernél ragad le. De a böngészőben nincs aktív "blokkolás" beállítva. (Meg IE-vel is ui.)

Kíváncsi vagyok mi lesz a bibi, lehet a pfsense doboz is "úgy látja a netet".

Vajon mi történik, ha próbaként a tesztgépen nyitsz egy putty/kitty-t a tunnels alatt felveszel egy dynamic port forwardot majd sshzol a pfsense dobozra, és az így továbbított portot beállítod valamelyik böngészőn SOCKS proxynak?