22
OPNsense DNS "halb tot" - Keine Auflösung nach längerer Zeit
Ich habe ein merkwürdiges Problem, ich bilde mir ein, dass es erst mit dem Update auf Version 25.1 von OPNsense so richtig schlimm wurde, kann mich aber auch irren...
Nach einem Reboot der OPNsense läuft alles super, schneller Seitenaufbau, alle Seiten werden geladen.
Es laufen Unbound und AdGuard.
Nach längerer Zeit, beispielsweise über Nacht geht fast nichts mehr. Ich komme mit viel Geduld auf die ein oder andere Website, aber dann auf einmal auch nicht mehr. Ich wollte beispielsweise hier schreiben, dann was googlen (ging auch) aber die Treffer von Google laden alle nicht mehr, wenn man sie dann öffnen will.
Selbst wenn ich dann Unbound und AdGuard deaktviere und manuell z.B. 8.8.8.8 eintrage geht trotzdem nichts.
Ping auf die 8.8.8.8 läuft aber noch.
Wie gehe ich denn hier systematisch vor, wenn das Problem wieder auftritt, was soll ich sammeln?
Kann ich irgendwelche Logs anschalten?
Nach einem Reboot der OPNsense läuft alles super, schneller Seitenaufbau, alle Seiten werden geladen.
Es laufen Unbound und AdGuard.
Nach längerer Zeit, beispielsweise über Nacht geht fast nichts mehr. Ich komme mit viel Geduld auf die ein oder andere Website, aber dann auf einmal auch nicht mehr. Ich wollte beispielsweise hier schreiben, dann was googlen (ging auch) aber die Treffer von Google laden alle nicht mehr, wenn man sie dann öffnen will.
Selbst wenn ich dann Unbound und AdGuard deaktviere und manuell z.B. 8.8.8.8 eintrage geht trotzdem nichts.
Ping auf die 8.8.8.8 läuft aber noch.
Wie gehe ich denn hier systematisch vor, wenn das Problem wieder auftritt, was soll ich sammeln?
Kann ich irgendwelche Logs anschalten?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671234
Url: https://administrator.de/forum/opnsense-dns-halb-tot-keine-aufloesung-nach-laengerer-zeit-671234.html
Ausgedruckt am: 10.02.2025 um 14:02 Uhr
22 Kommentare
Neuester Kommentar
Moin,
mach DNS Abfragen und schau, welcher Server welche Antworten liefert, um einzugrenzen, ob es an DNS liegt.
Gruß
DivideByZero
mach DNS Abfragen und schau, welcher Server welche Antworten liefert, um einzugrenzen, ob es an DNS liegt.
Gruß
DivideByZero
Moin,
was sagen die Logs der einzelnen Geschichten?
Hast du schon getestet den AppGuard zu deaktivieren und danach einen Neustart durchzuführen? Ggf. hängt dort etwas schief.
Gibt es im Forum ähnliche Berichte? Ich habe mich noch nicht ans Upgrade getraut.
Gruß
Spirit
was sagen die Logs der einzelnen Geschichten?
Hast du schon getestet den AppGuard zu deaktivieren und danach einen Neustart durchzuführen? Ggf. hängt dort etwas schief.
Gibt es im Forum ähnliche Berichte? Ich habe mich noch nicht ans Upgrade getraut.
Gruß
Spirit
Zitat von @DivideByZero:
mach DNS Abfragen und schau, welcher Server welche Antworten liefert, um einzugrenzen, ob es an DNS liegt.
mach DNS Abfragen und schau, welcher Server welche Antworten liefert, um einzugrenzen, ob es an DNS liegt.
Also einfach ein paar nslookups wenn das Problem wieder auftaucht und hier posten?
Zitat von @Spirit-of-Eli:
was sagen die Logs der einzelnen Geschichten?
Hast du schon getestet den AppGuard zu deaktivieren und danach einen Neustart durchzuführen? Ggf. hängt dort etwas schief.
Gibt es im Forum ähnliche Berichte? Ich habe mich noch nicht ans Upgrade getraut.
Welche logs meinst du?was sagen die Logs der einzelnen Geschichten?
Hast du schon getestet den AppGuard zu deaktivieren und danach einen Neustart durchzuführen? Ggf. hängt dort etwas schief.
Gibt es im Forum ähnliche Berichte? Ich habe mich noch nicht ans Upgrade getraut.
Welche Logs meinst du genau? Irgendwas, das ich speziell aktivieren müsste?
Firewall Traffic Logs, Logs des Unbound, Logs von deinem AppGuard.
Wenn du keinen Syslog Server verwendest, dann solltest du hier just in time drauf schauen.
Wenn du keinen Syslog Server verwendest, dann solltest du hier just in time drauf schauen.
Zitat von @gruenhorn:
Also einfach ein paar nslookups wenn das Problem wieder auftaucht und hier posten?
Grundsätzlich ja, aber eigentlich brauchst Du das hier nicht zu posten, es soll Dir zeigen, wo beim Ausfall welcher Nameserver antwortet oder eben auch nicht. Also nachverfolgen, ob DNS läuft (ggf. ist da eben ein anderer Dienst, der quer schießt, was Du anhand der rückübermittelten IP-Adressen (wenn denn welche kommen) sehen solltest).Zitat von @DivideByZero:
mach DNS Abfragen und schau, welcher Server welche Antworten liefert, um einzugrenzen, ob es an DNS liegt.
mach DNS Abfragen und schau, welcher Server welche Antworten liefert, um einzugrenzen, ob es an DNS liegt.
Also einfach ein paar nslookups wenn das Problem wieder auftaucht und hier posten?
Was ist das eigentlich für ein AppGuard, den Du da mit im Spiel hast?
Sorry, irgendein Autocorrect hat aus AdGuard AppGuard gemacht 
Ich korrigier das mal oben, sonst verwirrt das nur noch mehr
Ich korrigier das mal oben, sonst verwirrt das nur noch mehr
1
Was helfen würde wären zielgerichtete Informationen (Screenshots etc.) WIE deine DNS Konfig auf der Firewall (Resolver, Forwarder etc.) überhaupt aussieht um nicht wirr im Trüben stochern und raten zu müssen. 
1
Da gehts ja schon los, was ist denn da alles relevant?
System Settings General
Unbound Settings:
Was aus AdGuard hilft?
System Settings General
Unbound Settings:
Was aus AdGuard hilft?
Crazy, wieso läuft dein Unbound auf Port 53053?
Wie hast du das deinen Clients mitgeteilt? Ich hätte gesagt, die greifen hier im Fallback auf die ISP DNS Server zurück welche per DHCP an der Firewall landen.
Wie hast du das deinen Clients mitgeteilt? Ich hätte gesagt, die greifen hier im Fallback auf die ISP DNS Server zurück welche per DHCP an der Firewall landen.
1
Moin,
kurz am Rande.
Ich hatte das neulich bei einem vServer von mir, dass 8.8.8.8 keiner seiner DNS-Anfragen beantwortet hatte.
Probiert mal ein nslookup administrator.de 8.8.8.8 ob da überhaupt was zurückkommt.
Stefan
kurz am Rande.
Ich hatte das neulich bei einem vServer von mir, dass 8.8.8.8 keiner seiner DNS-Anfragen beantwortet hatte.
Probiert mal ein nslookup administrator.de 8.8.8.8 ob da überhaupt was zurückkommt.
Stefan
Zitat von @Spirit-of-Eli:
Crazy, wieso läuft dein Unbound auf Port 53053?
Wie hast du das deinen Clients mitgeteilt? Ich hätte gesagt, die greifen hier im Fallback auf die ISP DNS Server zurück welche per DHCP an der Firewall landen.
Crazy, wieso läuft dein Unbound auf Port 53053?
Wie hast du das deinen Clients mitgeteilt? Ich hätte gesagt, die greifen hier im Fallback auf die ISP DNS Server zurück welche per DHCP an der Firewall landen.
AdGuard braucht 53 und man soll daher Unbound auf irgendwas anderes legen, so die Anleitungen im Netz.
Standardmäßig wird 5353 erwähnt, aber das kann mit mDNS kollidieren (?)
Zitat von @StefanKittel:
Moin,
kurz am Rande.
Ich hatte das neulich bei einem vServer von mir, dass 8.8.8.8 keiner seiner DNS-Anfragen beantwortet hatte.
Probiert mal ein nslookup administrator.de 8.8.8.8 ob da überhaupt was zurückkommt.
Teste ich wenns das nächste mal zicktMoin,
kurz am Rande.
Ich hatte das neulich bei einem vServer von mir, dass 8.8.8.8 keiner seiner DNS-Anfragen beantwortet hatte.
Probiert mal ein nslookup administrator.de 8.8.8.8 ob da überhaupt was zurückkommt.
gruenhorn 09.02.2025 aktualisiert um 12:46:26 Uhr
Zitat von @Spirit-of-Eli:
Crazy, wieso läuft dein Unbound auf Port 53053?
Wie hast du das deinen Clients mitgeteilt? Ich hätte gesagt, die greifen hier im Fallback auf die ISP DNS Server zurück welche per DHCP an der Firewall landen.
AdGuard braucht 53 und man soll daher Unbound auf irgendwas anderes legen, so die Anleitungen im Netz.
Standardmäßig wird 5353 erwähnt, aber das kann mit mDNS kollidieren (?)
Zitat von @Spirit-of-Eli:
Crazy, wieso läuft dein Unbound auf Port 53053?
Wie hast du das deinen Clients mitgeteilt? Ich hätte gesagt, die greifen hier im Fallback auf die ISP DNS Server zurück welche per DHCP an der Firewall landen.
AdGuard braucht 53 und man soll daher Unbound auf irgendwas anderes legen, so die Anleitungen im Netz.
Standardmäßig wird 5353 erwähnt, aber das kann mit mDNS kollidieren (?)
Achsoo okay, das ergibt Sinn. Was passiert wenn du DNS Anfragen direkt an den Unbound stellst?
Ich finde gerade allerdings keine Option beim nslookup einen Port mitzugeben.
Ok, mutmasslich ist der AdGuard dann für Dein Netz der zentrale Nameserver, der über DHCP verteilt wird? wenn ja, dann würden die Anfragen an AdGuard und von da an den Upstream Server gehen. Wo genau ist denn dann Unbound eingebunden?
Du solltest ggf. erst einmal diese Konfigurationen prüfen und - wenn dort, vermutlich, Fehler zu finden sind, anhand eines Tutorials etc. von Grund auf neu einrichten.
Du solltest ggf. erst einmal diese Konfigurationen prüfen und - wenn dort, vermutlich, Fehler zu finden sind, anhand eines Tutorials etc. von Grund auf neu einrichten.
1
Kann ich Dir gleich sagen ob das auch auf der 25.1er läuft. Mache gerade das Upgrade ;)
Ok, mutmasslich ist der AdGuard dann für Dein Netz der zentrale Nameserver, der über DHCP verteilt wird?
Zeigt eigentlich wie unstrukturiert und wirr der TO vorgeht. Keiner weiss ob der Adguard in das Firewall OS reingefrickelt wurde oder als separater Server rennt. Bei Letzterem ist ein unsinniges "Verbiegen" der DNS Standardports völlig überflüssig und auch kontraproduktiv!
So oder so ist die gesamte Vorgehensweise laienhaft und unstrukturiert.
Intelligent würde man vorgehen indem man zuallererst eine saubere Firewall VLAN Infrastruktur aufsetzt an einem Dual Stack Provider ohne alle diese Frickelei Sonderlocken.
Dann testet man alles auf Herz und Nieren und weiss das man eine sauberes, nach allen Regeln funktionierendes Setup hat. Erst dann "verschlimmbessert" man schrittweise mit Frickelei das was man möchte.
So hat man dann immer Gewissheit das die Frickelei die Ursache ist und nicht die Infrastruktur selber.
Ein klassisches Firewall VLAN Setup mit der FW als Caching DNS ist in max. 1 Stunde aufgesetzt. Man benötigt keinerlei Regel oder NAT Frickeleien für VoIP oder DNS denn alles rennt "out of the box" bei der OPNsense mit den Standard Settings.
Der TO zäumt das Pferd (Firewall) von hinten auf. Verfrickelt DNS, NAT und Regelwerk und sucht dann 3 Tage mit Forenhilfe nach dem Fehler.
1
Also ganz grundsätzlich läuft Adguard auch mit 25.1. Ich habe sowohl meine Anfragen darüber laufen, als auch die Blocks laufen problemlos nach dem Update.
Mh okay sorry sorry, unbound läuft gar nicht...
Ich dachte ich hätte Unbound als Upstream Server eben dann über den 53053 Port definiert, aber die Einstellung hab ich scheinbar nie gespeichert in AdGuard...
Jetzt steht in AdGuard https://dns10.quad9.net/dns-query als Upstream Server.
Also, Unbound wird aktuell nicht verwendet!
Aber: Ich deaktiviere AdGuard wenn ich Probleme habe und trage dann entweder keinen oder halt irgendeinen anderen, meinetwegen 8.8.8.8, händisch in System Settings General ein.
Was ist daran jetzt Gefrickel? Das Troubleshooting findet ja quasi auf einer Serieneinstellung statt.
Ich dachte ich hätte Unbound als Upstream Server eben dann über den 53053 Port definiert, aber die Einstellung hab ich scheinbar nie gespeichert in AdGuard...
Jetzt steht in AdGuard https://dns10.quad9.net/dns-query als Upstream Server.
Also, Unbound wird aktuell nicht verwendet!
Aber: Ich deaktiviere AdGuard wenn ich Probleme habe und trage dann entweder keinen oder halt irgendeinen anderen, meinetwegen 8.8.8.8, händisch in System Settings General ein.
Was ist daran jetzt Gefrickel? Das Troubleshooting findet ja quasi auf einer Serieneinstellung statt.
Gefrickel muss da sein, das zeigen die vielen Symptome aus Deinen verschiedenen Threads.
Die ehrliche Empfehlung für Dich lautet also: keep it simple!
Lass alles weg, wovon Du offensichtlich nicht ausreichend Ahnung hast. Also kein Adguard, kein Unbound, kein eigener Upstream-Server. Einfach nur die vom Provider übermittelten DNS nutzen (automatisch, nichts eintragen), und dann erst einmal schauen, dass alles so läuft und stabil läuft, wie Du es wünschst.
Erst dann, wenn das der Fall ist, beginne mit den weiteren Steps, wie z.b. den Adguard dazwischen zu hängen. Und auch den mit Standard-Einstellungen. Dann wieder testen, dass alles so läuft und stabil läuft, wie Du es wünschst.
Erst danach individuelle Anpassungen.
Denn das hier macht keinen Sinn: uns halb gare Informationen liefern, mit denen wir rumraten und nicht sinnvoll helfen können und wo erst Stück für Stück heraus kommt, dass die Grundlage eine ganz andere ist, als anhand Deiner Informationen gedacht.
Die ehrliche Empfehlung für Dich lautet also: keep it simple!
Lass alles weg, wovon Du offensichtlich nicht ausreichend Ahnung hast. Also kein Adguard, kein Unbound, kein eigener Upstream-Server. Einfach nur die vom Provider übermittelten DNS nutzen (automatisch, nichts eintragen), und dann erst einmal schauen, dass alles so läuft und stabil läuft, wie Du es wünschst.
Erst dann, wenn das der Fall ist, beginne mit den weiteren Steps, wie z.b. den Adguard dazwischen zu hängen. Und auch den mit Standard-Einstellungen. Dann wieder testen, dass alles so läuft und stabil läuft, wie Du es wünschst.
Erst danach individuelle Anpassungen.
Denn das hier macht keinen Sinn: uns halb gare Informationen liefern, mit denen wir rumraten und nicht sinnvoll helfen können und wo erst Stück für Stück heraus kommt, dass die Grundlage eine ganz andere ist, als anhand Deiner Informationen gedacht.
Ja, Message ist angekommen.
Dennoch meine ich, dass ich doch gar nichts an den DNS Einstellungen großartig "verkacke"
Unbound ist nicht auf Port 53, also läuft da nichts drüber.
Im System trage ich entweder keinen DNS ein oder eben Google.
Und AdGaurd deaktiviere ich, dann gehts da auch nicht mehr über den eingestellten Upstream Server (der übrigens auch Standard Einstellung von AdGuard ist, der sollte ja prinzipiell funktionieren, oder?)
Sonst habe ich gar nichts gemacht. ist die Serieneinstellung nicht sogar mit Unbound aktiviert?
Der ganze Firewall Regel-Kram: Ich hab da zwar viel drin stehen, aber ich deaktiviere das alles wieder wenn es nichts bringt. Ich erinner mich damit nur gerne daran, was ich bisher ausporbiert habe...
Dennoch meine ich, dass ich doch gar nichts an den DNS Einstellungen großartig "verkacke"
Unbound ist nicht auf Port 53, also läuft da nichts drüber.
Im System trage ich entweder keinen DNS ein oder eben Google.
Und AdGaurd deaktiviere ich, dann gehts da auch nicht mehr über den eingestellten Upstream Server (der übrigens auch Standard Einstellung von AdGuard ist, der sollte ja prinzipiell funktionieren, oder?)
Sonst habe ich gar nichts gemacht. ist die Serieneinstellung nicht sogar mit Unbound aktiviert?
Der ganze Firewall Regel-Kram: Ich hab da zwar viel drin stehen, aber ich deaktiviere das alles wieder wenn es nichts bringt. Ich erinner mich damit nur gerne daran, was ich bisher ausporbiert habe...
Sonst habe ich gar nichts gemacht.
Hmm, siehe auch Internet auf Interfaces (+ VLAN) sauber durchschleifen.Daher der Rat, es so simpel wie möglich zu machen. Steck Deine "alte" Fritz!Box ab, nimm die Voip-Fritz!Box raus (wenn ich bei Deinem Aufbau noch richtig durchblicke), stöpsel jedes Gerät ab, was irgendwie noch Serverdienste laufen lassen könnte (Unraid, Synology), und konzentriere Dich dann auf Deine Firewall ohne Unbound und Adguard. Wenn dann das ganze stabil läuft, Stück für Stück wieder dazu nehmen.
Und nicht anders. Denn es sieht so aus - sieh mir die offenen Worte nach -, als wenn Du ohne große Ahnung immer dann gleich an ganz vielen Schrauben drehst und nur neue Folgeprobleme schaffst. So wird das nichts.
Du solltest wohl auch testen, ob die Internetprobleme in allen VLANs auftreten, oder nur in einem bestimmten.
Na, wenn Du adguard deaktivierst und der unbound das managed, müsstest Du doch beim unbound mind. auch wieder die 53 reinpacken?! Außerdem nutzt man nicht Google als DNS, sondern quad9 oder quad1 als DNS-Uplink. Die behaupten wenigstens, dass sie Dich nicht tracken – Google dagegen wirbt damit, Profile anzulegen und zu verkaufen.
Daher der Rat, es so simpel wie möglich zu machen. Steck Deine "alte" Fritz!Box ab, nimm die Voip-Fritz!Box raus (wenn ich bei Deinem Aufbau noch richtig durchblicke), stöpsel jedes Gerät ab, was irgendwie noch Serverdienste laufen lassen könnte (Unraid, Synology), und konzentriere Dich dann auf Deine Firewall ohne Unbound und Adguard. Wenn dann das ganze stabil läuft, Stück für Stück wieder dazu nehmen.
Die alte Fritz ist schon ab, es steckt nichts anderes dran, nur noch der AP und zwei Clients(einer davon Gast)
Unraid und Synology hatte ich beide noch nicht an seit ich die OPNsense dran gebaut hab. Adguard lass ich jetzt weg, passt, Unbound ist dann ja eh übergangen und kann deaktiviert werden.
Das nervigste ist nur, dass es halt mal ins Stocken kommt und nach nem Neustart ist das meiste erledigt...
Ich beobachte das jetzt mal, kann ja nicht sein...
Zitat von @Visucius:
Na, wenn Du adguard deaktivierst und der unbound das managed, müsstest Du doch beim unbound mind. auch wieder die 53 reinpacken?! Außerdem nutzt man nicht Google als DNS, sondern quad9 oder quad1 als DNS-Uplink. Die behaupten wenigstens, dass sie Dich nicht tracken – Google dagegen wirbt damit, Profile anzulegen und zu verkaufen.
Ja, wie oben erwähnt, ich dachte ja, dass ich den Unbound Port wieder beim Upstream Server reingeschrieben hatte, aber danach hab ich wohl nie auf speichern geklickt und es dann auch nie wieder angeschaut. Dann bin ich mit AdGuard auf Quad9 gelandet, ist ja prinzipiell nicht schlecht. Ich lass der Einfachheit halter aber dann den Systemeintrag leer, vorher hat es mit o2 ja funktioniert, ist vielleicht auch leichter für meine VoIP Einrichtung...Na, wenn Du adguard deaktivierst und der unbound das managed, müsstest Du doch beim unbound mind. auch wieder die 53 reinpacken?! Außerdem nutzt man nicht Google als DNS, sondern quad9 oder quad1 als DNS-Uplink. Die behaupten wenigstens, dass sie Dich nicht tracken – Google dagegen wirbt damit, Profile anzulegen und zu verkaufen.
