DNS request timed out

Ik heb momenteel een probleem met een cisco 5505 ASA .
Er is een dynamic NAT configuratie ingesteld.

Gebruik ik nslookup om het domein tweakers.net te resolven krijg ik keurig het IP adres terug.

Type ik daarna in de tool nslookup nogmaals tweakers.net (of een ander domein) timed deze request out.
Sluit ik de nslookup tool , open deze opnieuw en resolve een willekeurig domein gaat dit wel weer goed.

Weet iemand de oorzaak dat ik slechts 1 DNS lookup kan doen ?
De ASDM Syslog laat wel de built van de dynamic UDP en outbound UDP connecties zien.
Dit ziet er echter allemaal goed uit.

Vanuit het IOS kan ik wel een ping doen naar een domein naam, deze wordt netjes geresolved.
Type ik in de prompt : nslookup tweakers.net krijg ik ook antwoord.
Doe ik dit 10x kort achter elkaar gaat dit ook goed.

Google levert mij ook geen antwoord evenals het GoT forum.

[ Voor 13% gewijzigd door Verwijderd op 24-06-2009 15:24 ]

In de policy-map global_policy is een class inspection_default aanwezig waar de inspect dns preset_dns_map actief was. Deze heb ik met no inspect dns eruit gehaald.

Echter, zelfde probleem blijft bestaan.

Wireshark maar losgelaten.
Bij de eerste request is er een Src port : 57517, Dst Port is domain (53).
Tweede request direct uitgevoerd in nslookup heeft een src port: 57518, Dst Port is domain (53).

De daarom volgende requests (na de time out) heeft eveneens een oplopend src port nummer.

Ik heb de dynamische NAT rule verwijderd en een statische NAT rule gemaakt.
Ook dit mocht niet baten.

Voor de volledigheid, hierbij de config:

ASA Version 7.2(4)
!
hostname asa5505
domain-name default.domain.invalid
enable password ditisweggehaald encrypted
passwd ditisweggehaald encrypted
names
!
interface Vlan1
description LAN
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
ospf cost 10
!
interface Vlan2
description WAN
nameif outside
security-level 0
ip address 83.144.118.65 255.255.255.224
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
name-server 85.17.150.123
name-server 62.212.64.122
name-server 62.212.65.123
name-server 85.17.96.69
name-server 83.149.80.123
domain-name default.domain.invalid
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list vpn_splitTunnelAcl standard permit any
access-list inside_nat0_outbound extended permit ip any 192.168.2.128 255.255.255.192
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool VPNpool 192.168.2.150-192.168.2.169 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (inside) 1 83.144.118.67 netmask 255.255.255.255
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
static (inside,outside) 83.144.118.67 192.168.2.10 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 83.144.144.94 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs group1
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
dhcpd dns 85.17.150.123 62.212.64.122
!
dhcpd address 192.168.2.170-192.168.2.200 inside
dhcpd dns 85.17.150.123 62.212.64.122 interface inside
dhcpd enable inside
!
group-policy myGroupPolicy internal
group-policy myGroupPolicy attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn_splitTunnelAcl
username myusername password ditisweggehaald encrypted privilege 0
tunnel-group myGroupPolicy type ipsec-ra
tunnel-group myGroupPolicy general-attributes
address-pool VPNpool
authorization-server-group LOCAL
authorization-server-group (outside) LOCAL
default-group-policy myGroupPolicy
authorization-required
authorization-dn-attributes use-entire-name
tunnel-group myGroupPolicy ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
class-map outside-class
match any
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map vpnPolicy
description Group Policty for VPN
class outside-class
inspect netbios
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
service-policy vpnPolicy interface outside
prompt hostname context
Cryptochecksum:8ef135536bc84b455e06d88abe027fba

[ Voor 78% gewijzigd door Verwijderd op 24-06-2009 16:17 ]

Ik heb de router naar factory defaults uit productie gehaald.
Opnieuw begonnen met configureren en e.a. draait nu als een zonnetje.
Oude config nog wel bewaard, ga deze dit weekend eens naast elkaar leggen....