VPN 250 duzende DNS Packets -> Router larmt

Dieses Thema im Forum "Bintec" wurde erstellt von Dusistrike, 14. Oktober 2010.

  1. Dusistrike

    Dusistrike Gelegenheits-User

    Registriert seit:
    22. Oktober 2006
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Moin moin ihr da Draußen

    folgendes Problem:
    Ich bekomme 18 DNS Packets pro 1/2 Sekunde in meinen VPN 250 rein.
    Wie bekomme ich raus wer diese schickt und wie könnte ich das unterbinden?
    Es muss ja von irgendwo intern kommen.
    Die Anzahl der ankommenden Packets steigt je länger der Router an ist.
    Wenn ich einen Reboot mache, fängt er bei ~1 DNS Packet pro Sekunde an.

    Es werden keine Server Failures angezeigt

    Code:
    Received DNS Packets                 2878830
    Invalid DNS Packets                  0
    
    DNS Requests                         2878806
    Cache Hits                           11
    Forwarded Requests                   2878795
    
    Cache Hitrate (%)                    0
    
    Successfully Answered Queries        2878806
    Server Failures                      0
    Und ich habe die starke Vermutung, dass dieses Problem dazu führt, dass der Router langsam reagiert und öfter dier Verbindung zu unseren Außenstellen abbricht.

    Vielen Dank schonmal und Beste Grüße
     
  2. grimmy

    grimmy Experte

    Registriert seit:
    7. November 2005
    Beiträge:
    258
    Punkte für Erfolge:
    16
    Hallo,

    vielleicht hilft schon ein "debug all | grep -i dns" auf der Telnetkonsole. Dann bekommst du alle Meldungen die "dns" enthalten.

    Ansonsten könntest du noch einen Wireshark Mitschnitt erstellen. Dort würdest du dann alle Packet sehen die der Router schickt / empfängt.
    http://www.funkwerk-ec.com/portal/d...e/r7503/HOWTO-Ethereal-Wireshark-trace_en.pdf
     
  3. Dusistrike

    Dusistrike Gelegenheits-User

    Registriert seit:
    22. Oktober 2006
    Beiträge:
    19
    Punkte für Erfolge:
    1
    moin moin,

    ich habe extrem viele (und sehr schnell aufeinanderfolgende messages dieser art:

    172.21.48.33 10/14/10 13:05:45 INET.Debug INET: NAT: delete session on ifc 200 prot 17 85.1x2.xxx.xxx:47564/85.182.xxx.xxx:63830 <-> 213.191.74.18:53

    172.21.48.33 10/14/10 13:05:46 INET.Debug INET: NAT: delete session on ifc 200 prot 17 85.1x2.xxx.xxx:59943/85.182.xxx.xxx:64537 <-> 213.191.74.18:53

    172.21.48.33 10/14/10 13:05:46 INET.Debug INET: NAT: delete session on ifc 200 prot 17 85.1x2.xxx.xxx:44446/85.182.xxx.xxx:40010 <-> 213.191.74.18:53

    172.21.48.33 10/14/10 13:05:46 INET.Debug INET: NAT: delete session on ifc 200 prot 17 85.1x2.xxx.xxx:51495/85.182.xxx.xxx:61867 <-> 213.191.92.86:53

    die hinterste ip adresse ist auf jedenfall unser dns server nach draußen (Hansenet).
    Ist es normal das man pro Sekunde ~10 solcher einträge bekommt? (sind ca. 30 Mitarbeiter hier, aber die gehen eigentlich über einen anderen Router ins Internet)
     
  4. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    6
    Hallo Dusistrike,

    in dem Fall ist es nicht entscheidend wie die User ins Internet gehen, sondern wie der (von den Hosts) angefragte DNS-Server ins Internet geht. Und der scheint das über den VPN250 zu tun (oder der VPN250 ist selber als DNS-Server bei den Hosts angegeben). Ungefähr 10/s kann normal sein, da evtl. nicht nur der Browser anfragt, sondern auch andere Anwendungen wie z.B. der Virenscanner (Updateserver, Anfragen in die Cloud, usw. usf.). All das sollte aber keinen Performanceeinbruch beim VPN250 bewirken.
    BTW: Welche Firmware hast Du denn im Einsatz?

    MvmmgdA
     
  5. Dusistrike

    Dusistrike Gelegenheits-User

    Registriert seit:
    22. Oktober 2006
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Hallo,

    edit:
    softwarestand ist nun auf V.7.9 Rev. 3 (Patch 1).
    Ich werd den Router weiterhin unter beobachtung haben und gucken ob die Performance sich verbessert.

    Gruß