Syslog: connection refused vom DNS-Server

[X-Strom]

Hallo,

ich sehe im Syslog eines 1781EW+ an Company-Connect 10MBit Cu im Schnitt einmal pro Minute folgende Ereignisse:

Zunächst hatte ich als DNS-Server 8.8.8.8 / 8.8.4.4 (Google DNS Server):
2016-05-29 11:41:05;19;1;Dst: 80.150.228.XXX:11952 {x.intern}, Src: 8.8.4.4:53 (UDP): connection refused;
2016-05-29 11:39:34;19;1;Dst: 80.150.228.XXX:14517 {x.intern}, Src: 8.8.4.4:53 (UDP): connection refused;
2016-05-29 11:38:26;19;1;Dst: 80.150.228.XXX:14328 {x.intern}, Src: 8.8.4.4:53 (UDP): connection refused;
2016-05-29 11:36:57;19;1;Dst: 80.150.228.XXX:9568 {x.intern}, Src: 8.8.4.4:53 (UDP): connection refused;
2016-05-29 11:35:50;19;1;Dst: 80.150.228.XXX:14162 {x.intern}, Src: 8.8.4.4:53 (UDP): connection refused;
2016-05-29 11:34:41;19;1;Dst: 80.150.228.XXX:10872 {x.intern}, Src: 8.8.4.4:53 (UDP): connection refused;
2016-05-29 11:33:37;19;1;Dst: 80.150.228.XXX:13438 {x.intern}, Src: 8.8.8.8:53 (UDP): connection refused;
2016-05-29 11:32:00;19;1;Dst: 80.150.228.XXX:13368 {x.intern}, Src: 8.8.8.8:53 (UDP): connection refused;
2016-05-29 11:30:41;19;1;Dst: 80.150.228.XXX:10180 {x.intern}, Src: 8.8.4.4:53 (UDP): connection refused;

Seitdem ich im IP Parameter die Telekom DNS Server drin habe, kommen nun diese Meldungen:


016-05-30 19:51:22;19;1;Dst: 80.150.228.xxx:16020 {x.intern}, Src: 194.25.0.68:53 (UDP): connection refused;
2016-05-30 19:48:07;19;1;Dst: 80.150.228.xxx:11910 {x.intern}, Src: 194.25.0.68:53 (UDP): connection refused;
2016-05-30 19:32:25;19;1;Dst: 80.150.228.xxx:8438 {x.intern}, Src: 194.25.0.68:53 (UDP): connection refused;

(194.25.0.68 ist der primäre DNS, Telekom Frankfurt.)

Was läuft da verkehrt, was habe ich falsch gemacht?
Der Router / Anschluss läuft ansonsten völlig unauffällig.
OK, natürlich trudeln ab und zu mal irgendwelche Pakete ein, die verworfen werden.

[X-Strom]

Hallo,

ich glaube mittlerweile, dass diese Pakete einfach zu spät beantwortete DNS Anfragen sind.
Ich habe das UDP Aging zur Probe auf 30s hochgesetzt, die Anzahl dieser Alarme hat sich spürbar reduziert.

Ich denke nicht, dass man noch höher gehen sollte?

[GrandDixence]

Grundsätzlich sollte der vom LANCOM-Router zu verwendende DNS-Server mit dem Parameter:

Code: Alles auswählen

/Setup/DNS/DNS-Weiterleitungen

konfiguriert werden. Siehe auch:

https://www2.lancom.de/kb.nsf/1275/CE9F ... E6002EF531

Entweder wird der Netzwerkverkehr des LANCOM-Router interne DNS-Forwarder über die interne LANCOM-Firewall abgewickelt (Sonderkonfiguration). Oder dies sind die üblichen Logeinträge, wenn der andere DNS-Server schneller eine Antwort geliefert hat und der LANCOM-Router als Reaktion dem langsameren DNS-Server ein ICMP-Paket sendet.

Eine klare Antwort auf die Fragestellung liefert erst die Wireshark-Analyse des aufgezeichneten Netzwerkverkehrs (Paket-Capturing).

Generell erachte ich die "(UDP) connection refused"-Einträge als ein Zeichen für eine zu hohe Paketverlustrate auf dem Internetanschluss. Ich empfehle die Messung der Paketverlustrate mit IPerf3. Die gemessene Paketverlustrate sollte < 1 % sein:

Code: Alles auswählen

# iperf3 -u -t 30 -O 2 -c debit.k-net.fr -b 64k -l 160
# iperf3 -u -R -t 30 -O 2 -c debit.k-net.fr -b 64k -l 160

Siehe auch:
https://support.microsoft.com/en-us/kb/2834226