simbea
Goto Top

DNS über SRV bei Opnsense

Bei meiner Asterisk basierten Telefonanlage (Ansitel) kommt es zu wiederkehrenden Ausfällen der ausgehenden Telefonie über die Telekom (Magenta Tarif) .
In den Logs beginnt es immer mit einem Fehler der DNS Auflösung von tel.t-online.de, das Resultat ist, daß der Endpunkt (also die Rufnummer) nicht registriert werden kann. Diese Ausfälle halten nur wenige Minuten an, kommen aber fast täglich vor.

Ein nslookup von tel.t-online.de liefert keine Antwort.

Hintergrund scheint zu sein, daß die Telekon die DNS Auflösung nicht mehr nach DNS-A sondern nur noch nach DNS-SRV unterstützt.

siehe: Telekom SRV

Die Preisfrage ist also folgende:

Wie bringe ich die Opnsense (bitte kommt mir nicht mit "in diesem Forum bevorzugen wir aber die pfsense" und "hättest Du die pfsense genommen")
dazu, DNS Anfragen an tel.t-online.de von der Opnsense selbst UND von Client x oder y im Lan ausschließlich über DNS-SRV anzufragen?

Falls benötigt, mein Setting: Wan=> Draytec Vigor-=> Opnsense=> Switch=> Lan. Alle Geräte im LAN haben feste IP Adressen.

Gruß
simbea

Content-Key: 1740925576

Url: https://administrator.de/contentid/1740925576

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: mbehrens
mbehrens 19.01.2022 um 20:10:02 Uhr
Goto Top
Zitat von @simbea:

Hintergrund scheint zu sein, daß die Telekon die DNS Auflösung nicht mehr nach DNS-A sondern nur noch nach DNS-SRV unterstützt.

Wie bringe ich die Opnsense (bitte kommt mir nicht mit "in diesem Forum bevorzugen wir aber die pfsense" und "hättest Du die pfsense genommen")
dazu, DNS Anfragen an tel.t-online.de von der Opnsense selbst UND von Client x oder y im Lan ausschließlich über DNS-SRV anzufragen?

Das ist dann doch eher eine Sache der Anlage und ihrer beteiligten Komponenten. Diese sollten für die Abfrage passend konfiguriert sein.
Mitglied: Looser27
Looser27 19.01.2022 um 20:26:28 Uhr
Goto Top
Hast Du mal von einem Client aus getestet on die SRV Records korrekt aufgelöst werden?
Mitglied: LordGurke
LordGurke 19.01.2022 aktualisiert um 20:31:59 Uhr
Goto Top
Deine Ansitel wird sicherlich SRV-Auflösungen machen - denn sonst könntest du dich überhaupt nicht mehr registrieren.
Die Auflösung eines SRV-Records ist zudem genau wie die Frage nach A, AAAA, MX, TXT u.s.w. - es wird einfach ein bestimmter Record-Typ verlangt. Das ist also kein spezielles DNS-Zeug.

Bei SRV-Records bekommst du im Gegensatz zur Abfrage nach "A" nicht einfach nur eine IP-Adresse übermittelt sondern direkt eine Liste von Servern mit Gewichtungen, Ports u.s.w. zurück.

Dafür muss aber immer der Dienst und das Protokoll vorangestellt werden.
Wenn du dich auf den Dienst "SIP" über UDP auf den Host "tel.t-online.de" verbinden willst, muss die Frage lauten:
_sip._udp.tel.t-online.de, Typ SRV

~: dig _sip._udp.tel.t-online.de. SRV

;; QUESTION SECTION:
;_sip._udp.tel.t-online.de.     IN      SRV

;; ANSWER SECTION:
_sip._udp.tel.t-online.de. 2419 IN      SRV     10 0 5060 s-epp-100.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 2419 IN      SRV     20 0 5060 d-epp-100.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 2419 IN      SRV     30 0 5060 h2-epp-100.edns.t-ipnet.de.

;; Query time: 1 msec
;; SERVER: fe80::1#53(fe80::1)
;; WHEN: Wed Jan 19 20:25:28 2022
;; MSG SIZE  rcvd: 179

Die erste Zahl gibt die Priorität eines Eintrags an, die zweite Zahl die Gewichtung, die dritte Zahl den Port, dann kommt der Name des Servers. Dieser Name wird dann entsprechend über den A- oder AAAA-Eintrag aufgelöst.

Eine mögliche Ursache für das Problem könnte sein, dass deine Telefonanlage zwar SRV-Records anfragt und verwendet, aber z.B. die Priorisierung (die erste Zahl in der Antwort) ignoriert. Dann könnte es passieren, dass einfach irgendein Server aus dieser Liste verwendet wird, der dann aber unerreichbar wird und die Telefonanlage sehr lange braucht, bis sie auf einen anderen Server wechselt.
Mitglied: simbea
simbea 22.01.2022 um 10:18:52 Uhr
Goto Top
Das macht absolut Sinn und reflektiert das Verhalten der Anlage, die immer nur kurz ausgehend ausfällt.
Ich habe aber noch eine andere Idee:

Die Opnsense hat eine deny all Regel.
Freigeschaltet ist folgendes:
img_3607
Mitglied: simbea
simbea 22.01.2022 um 10:21:55 Uhr
Goto Top
Ist es möglich, daß ein Anfrage der Ansitel mit dem Dienst sip über udp an tel.t-online dennoch in der Firewall hängen bleibt.
Immerhin liefert eine normale DNS Anfrage an tel.t-online KEINE Ergebnisse!

Gruß Simbea
Mitglied: LordGurke
LordGurke 22.01.2022 um 11:22:45 Uhr
Goto Top
An DNS liegt es vermutlich nicht — wie lautet denn die Fehlermeldung der Anlage?
Und was verbirgt sich hinter dem Ziel "Telekom" in der Firewall?
Mitglied: simbea
simbea 22.01.2022 um 11:31:38 Uhr
Goto Top
Die Fehlermeldung der Ansitel Anlage lautet: ERROR[722] netsock2.c: getaddrinfo("tel.t-online.de", "(null)", ...): No address associated with hostname.
Auf der Opnsense selbst bekomme ich keinen Eintrag.

Damit fängt das Drama immer an.

Der DNS Resolver auf der Ansitel wurde vom Support zur Fehlerbehebung jetzt auf 9.9.9.10 umgestellt, so daß die Opnsense mit der DNS Auflösung nichts mehr zu tun hat. Weshalb ausgerechnet Quad 9 weiß allein der Ansitel Support...

Telekom ist ein Alias auf 217.0.0.0/16.
Den letzen Eintrag im Screenshot könnt ihr vergessen, das ist die Faxfunktion und der Abruf auf yahfc.