7
DNS über SRV bei Opnsense
Bei meiner Asterisk basierten Telefonanlage (Ansitel) kommt es zu wiederkehrenden Ausfällen der ausgehenden Telefonie über die Telekom (Magenta Tarif) .
In den Logs beginnt es immer mit einem Fehler der DNS Auflösung von tel.t-online.de, das Resultat ist, daß der Endpunkt (also die Rufnummer) nicht registriert werden kann. Diese Ausfälle halten nur wenige Minuten an, kommen aber fast täglich vor.
Ein nslookup von tel.t-online.de liefert keine Antwort.
Hintergrund scheint zu sein, daß die Telekon die DNS Auflösung nicht mehr nach DNS-A sondern nur noch nach DNS-SRV unterstützt.
siehe: Telekom SRV
Die Preisfrage ist also folgende:
Wie bringe ich die Opnsense (bitte kommt mir nicht mit "in diesem Forum bevorzugen wir aber die pfsense" und "hättest Du die pfsense genommen")
dazu, DNS Anfragen an tel.t-online.de von der Opnsense selbst UND von Client x oder y im Lan ausschließlich über DNS-SRV anzufragen?
Falls benötigt, mein Setting: Wan=> Draytec Vigor-=> Opnsense=> Switch=> Lan. Alle Geräte im LAN haben feste IP Adressen.
Gruß
simbea
In den Logs beginnt es immer mit einem Fehler der DNS Auflösung von tel.t-online.de, das Resultat ist, daß der Endpunkt (also die Rufnummer) nicht registriert werden kann. Diese Ausfälle halten nur wenige Minuten an, kommen aber fast täglich vor.
Ein nslookup von tel.t-online.de liefert keine Antwort.
Hintergrund scheint zu sein, daß die Telekon die DNS Auflösung nicht mehr nach DNS-A sondern nur noch nach DNS-SRV unterstützt.
siehe: Telekom SRV
Die Preisfrage ist also folgende:
Wie bringe ich die Opnsense (bitte kommt mir nicht mit "in diesem Forum bevorzugen wir aber die pfsense" und "hättest Du die pfsense genommen")
dazu, DNS Anfragen an tel.t-online.de von der Opnsense selbst UND von Client x oder y im Lan ausschließlich über DNS-SRV anzufragen?
Falls benötigt, mein Setting: Wan=> Draytec Vigor-=> Opnsense=> Switch=> Lan. Alle Geräte im LAN haben feste IP Adressen.
Gruß
simbea
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1740925576
Url: https://administrator.de/contentid/1740925576
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @simbea:
Hintergrund scheint zu sein, daß die Telekon die DNS Auflösung nicht mehr nach DNS-A sondern nur noch nach DNS-SRV unterstützt.
Wie bringe ich die Opnsense (bitte kommt mir nicht mit "in diesem Forum bevorzugen wir aber die pfsense" und "hättest Du die pfsense genommen")
dazu, DNS Anfragen an tel.t-online.de von der Opnsense selbst UND von Client x oder y im Lan ausschließlich über DNS-SRV anzufragen?
dazu, DNS Anfragen an tel.t-online.de von der Opnsense selbst UND von Client x oder y im Lan ausschließlich über DNS-SRV anzufragen?
Das ist dann doch eher eine Sache der Anlage und ihrer beteiligten Komponenten. Diese sollten für die Abfrage passend konfiguriert sein.
Hast Du mal von einem Client aus getestet on die SRV Records korrekt aufgelöst werden?
Deine Ansitel wird sicherlich SRV-Auflösungen machen - denn sonst könntest du dich überhaupt nicht mehr registrieren.
Die Auflösung eines SRV-Records ist zudem genau wie die Frage nach A, AAAA, MX, TXT u.s.w. - es wird einfach ein bestimmter Record-Typ verlangt. Das ist also kein spezielles DNS-Zeug.
Bei SRV-Records bekommst du im Gegensatz zur Abfrage nach "A" nicht einfach nur eine IP-Adresse übermittelt sondern direkt eine Liste von Servern mit Gewichtungen, Ports u.s.w. zurück.
Dafür muss aber immer der Dienst und das Protokoll vorangestellt werden.
Wenn du dich auf den Dienst "SIP" über UDP auf den Host "tel.t-online.de" verbinden willst, muss die Frage lauten:
_sip._udp.tel.t-online.de, Typ SRV
Die erste Zahl gibt die Priorität eines Eintrags an, die zweite Zahl die Gewichtung, die dritte Zahl den Port, dann kommt der Name des Servers. Dieser Name wird dann entsprechend über den A- oder AAAA-Eintrag aufgelöst.
Eine mögliche Ursache für das Problem könnte sein, dass deine Telefonanlage zwar SRV-Records anfragt und verwendet, aber z.B. die Priorisierung (die erste Zahl in der Antwort) ignoriert. Dann könnte es passieren, dass einfach irgendein Server aus dieser Liste verwendet wird, der dann aber unerreichbar wird und die Telefonanlage sehr lange braucht, bis sie auf einen anderen Server wechselt.
Die Auflösung eines SRV-Records ist zudem genau wie die Frage nach A, AAAA, MX, TXT u.s.w. - es wird einfach ein bestimmter Record-Typ verlangt. Das ist also kein spezielles DNS-Zeug.
Bei SRV-Records bekommst du im Gegensatz zur Abfrage nach "A" nicht einfach nur eine IP-Adresse übermittelt sondern direkt eine Liste von Servern mit Gewichtungen, Ports u.s.w. zurück.
Dafür muss aber immer der Dienst und das Protokoll vorangestellt werden.
Wenn du dich auf den Dienst "SIP" über UDP auf den Host "tel.t-online.de" verbinden willst, muss die Frage lauten:
_sip._udp.tel.t-online.de, Typ SRV
~: dig _sip._udp.tel.t-online.de. SRV
;; QUESTION SECTION:
;_sip._udp.tel.t-online.de. IN SRV
;; ANSWER SECTION:
_sip._udp.tel.t-online.de. 2419 IN SRV 10 0 5060 s-epp-100.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 2419 IN SRV 20 0 5060 d-epp-100.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 2419 IN SRV 30 0 5060 h2-epp-100.edns.t-ipnet.de.
;; Query time: 1 msec
;; SERVER: fe80::1#53(fe80::1)
;; WHEN: Wed Jan 19 20:25:28 2022
;; MSG SIZE rcvd: 179Die erste Zahl gibt die Priorität eines Eintrags an, die zweite Zahl die Gewichtung, die dritte Zahl den Port, dann kommt der Name des Servers. Dieser Name wird dann entsprechend über den A- oder AAAA-Eintrag aufgelöst.
Eine mögliche Ursache für das Problem könnte sein, dass deine Telefonanlage zwar SRV-Records anfragt und verwendet, aber z.B. die Priorisierung (die erste Zahl in der Antwort) ignoriert. Dann könnte es passieren, dass einfach irgendein Server aus dieser Liste verwendet wird, der dann aber unerreichbar wird und die Telefonanlage sehr lange braucht, bis sie auf einen anderen Server wechselt.
2
Das macht absolut Sinn und reflektiert das Verhalten der Anlage, die immer nur kurz ausgehend ausfällt.
Ich habe aber noch eine andere Idee:
Die Opnsense hat eine deny all Regel.
Freigeschaltet ist folgendes:
Ich habe aber noch eine andere Idee:
Die Opnsense hat eine deny all Regel.
Freigeschaltet ist folgendes:
Ist es möglich, daß ein Anfrage der Ansitel mit dem Dienst sip über udp an tel.t-online dennoch in der Firewall hängen bleibt.
Immerhin liefert eine normale DNS Anfrage an tel.t-online KEINE Ergebnisse!
Gruß Simbea
Immerhin liefert eine normale DNS Anfrage an tel.t-online KEINE Ergebnisse!
Gruß Simbea
An DNS liegt es vermutlich nicht — wie lautet denn die Fehlermeldung der Anlage?
Und was verbirgt sich hinter dem Ziel "Telekom" in der Firewall?
Und was verbirgt sich hinter dem Ziel "Telekom" in der Firewall?
1
Die Fehlermeldung der Ansitel Anlage lautet: ERROR[722] netsock2.c: getaddrinfo("tel.t-online.de", "(null)", ...): No address associated with hostname.
Auf der Opnsense selbst bekomme ich keinen Eintrag.
Damit fängt das Drama immer an.
Der DNS Resolver auf der Ansitel wurde vom Support zur Fehlerbehebung jetzt auf 9.9.9.10 umgestellt, so daß die Opnsense mit der DNS Auflösung nichts mehr zu tun hat. Weshalb ausgerechnet Quad 9 weiß allein der Ansitel Support...
Telekom ist ein Alias auf 217.0.0.0/16.
Den letzen Eintrag im Screenshot könnt ihr vergessen, das ist die Faxfunktion und der Abruf auf yahfc.
Auf der Opnsense selbst bekomme ich keinen Eintrag.
Damit fängt das Drama immer an.
Der DNS Resolver auf der Ansitel wurde vom Support zur Fehlerbehebung jetzt auf 9.9.9.10 umgestellt, so daß die Opnsense mit der DNS Auflösung nichts mehr zu tun hat. Weshalb ausgerechnet Quad 9 weiß allein der Ansitel Support...
Telekom ist ein Alias auf 217.0.0.0/16.
Den letzen Eintrag im Screenshot könnt ihr vergessen, das ist die Faxfunktion und der Abruf auf yahfc.
