6
PFSense DNS-Probleme
Hallo,
ich hatte die Tage mit einem Problem zu kämpfen, was ich zwar beheben konnte, aber die Ursache noch nicht wirklich verstehe. Vielleicht kann mir da jemand behilflich sein.
Folgende Konstellation:
An einer PFSense sind Zahlreiche Interfaces angelegt, alle haben ein eigenes VLAN und Ip-Adressbereich. Die PFSense hat 1 WAN-Interface, das endet in einem Medienkonverter vom ISP und bekommt per DHCP eine IP-Adresse. Diese Verbindung ist auch als Standardgateway auf der PFSense eingerichet. Alles funktioniert bis dahin super. Alle LAN-Netzwerke werden von der PFSense mit DHCP versorgt. In der PFSense ist "DNS-Resolver" aktiv.
Jetzt wurden 2 weitere Interfaces angelegt (kein VLAN, sondern physisch am Server verbunden): LTE und DSL. Beide Verbindungen haben jeweils einen eigenen Router und bede Interfaces bekommen per DHCP ihre Verbindungsdaten (ob statisch oder DHCP macht bei dem Problem keinen Unterschied, deshalb nehmen wir der Einfachheit halber DHCP).
Folgende Probleme traten auf:
1. Wird das LTE-Gateway als Standardgateway ausgewählt, kommen keine DNS-Anfragen mehr nach draußen. NSLookup bringt einen Timeout. Diagnose -> DNS Lookup über die PFSense lädt sich tot und bringt kein Ergebnis. Bis auf fehlende DNS-Auflösung funktioniert aber alles prima
2. Wird das DSL-Gateway als Standardgateway ausgewählt, funktioniert anfangs alles. Nach ein paar Sekunden bzw. Minuten (je nach Last im Netzwerk) geht dann der Ping zwischen PFSense und DSL-Router nach oben bis zu 50% PacketLoss. Im Endeffekt ist die Leitung dann komplett tot. Nach Umstellung auf das ursprüngliche WAN fängt sich der Ping sofort wieder.
Auffälligkeiten:
- Paketmitschnitte hatten die Auffälligkeit, dass 90% der Pakete an Port 53 (DNS) gerichtet waren
- Im Firewall-Log waren auf dem jeweiligen Interface des Gateways geblockte DNS-Requests von IP Adressen der anderen WAN-Netzwerke, die der PFSense zugeordnet wurden
Lösung: im DNS-Resolver "Enable Forwarding Mode" anhaken und unter System -> General Setup "8.8.8.8" als DNS-Server hinterlegen.
Kann mir jemand passieren, was hier passiert ist?
Vielen Dank
Fabian
ich hatte die Tage mit einem Problem zu kämpfen, was ich zwar beheben konnte, aber die Ursache noch nicht wirklich verstehe. Vielleicht kann mir da jemand behilflich sein.
Folgende Konstellation:
An einer PFSense sind Zahlreiche Interfaces angelegt, alle haben ein eigenes VLAN und Ip-Adressbereich. Die PFSense hat 1 WAN-Interface, das endet in einem Medienkonverter vom ISP und bekommt per DHCP eine IP-Adresse. Diese Verbindung ist auch als Standardgateway auf der PFSense eingerichet. Alles funktioniert bis dahin super. Alle LAN-Netzwerke werden von der PFSense mit DHCP versorgt. In der PFSense ist "DNS-Resolver" aktiv.
Jetzt wurden 2 weitere Interfaces angelegt (kein VLAN, sondern physisch am Server verbunden): LTE und DSL. Beide Verbindungen haben jeweils einen eigenen Router und bede Interfaces bekommen per DHCP ihre Verbindungsdaten (ob statisch oder DHCP macht bei dem Problem keinen Unterschied, deshalb nehmen wir der Einfachheit halber DHCP).
Folgende Probleme traten auf:
1. Wird das LTE-Gateway als Standardgateway ausgewählt, kommen keine DNS-Anfragen mehr nach draußen. NSLookup bringt einen Timeout. Diagnose -> DNS Lookup über die PFSense lädt sich tot und bringt kein Ergebnis. Bis auf fehlende DNS-Auflösung funktioniert aber alles prima
2. Wird das DSL-Gateway als Standardgateway ausgewählt, funktioniert anfangs alles. Nach ein paar Sekunden bzw. Minuten (je nach Last im Netzwerk) geht dann der Ping zwischen PFSense und DSL-Router nach oben bis zu 50% PacketLoss. Im Endeffekt ist die Leitung dann komplett tot. Nach Umstellung auf das ursprüngliche WAN fängt sich der Ping sofort wieder.
Auffälligkeiten:
- Paketmitschnitte hatten die Auffälligkeit, dass 90% der Pakete an Port 53 (DNS) gerichtet waren
- Im Firewall-Log waren auf dem jeweiligen Interface des Gateways geblockte DNS-Requests von IP Adressen der anderen WAN-Netzwerke, die der PFSense zugeordnet wurden
Lösung: im DNS-Resolver "Enable Forwarding Mode" anhaken und unter System -> General Setup "8.8.8.8" als DNS-Server hinterlegen.
Kann mir jemand passieren, was hier passiert ist?
Vielen Dank
Fabian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2702466421
Url: https://administrator.de/contentid/2702466421
Printed on: April 26, 2024 at 15:04 o'clock
6 Comments
Latest comment
Servus Fabian, willkommen auf Administrator.de!
Für solche Fälle gibt es die Option DNS Server Override unter General Setup. Dann überschreiben evt. per DHCP zugewiesene DNS-Server des aktiven GWs manuell eingerichtete DNS-Server.
Des weiteren: Bei einer manuellen Umstellung des Default-GW waren wohlmöglich noch die NAT-States ( Diagnostics > States> States) der vorhandenen Verbindungen aktiv, da aber die Verbindungen nun über eine andere externe Adresse eines anderen Providers laufen kann das hier zu kurzzeitigen Problemen und Verbindungsabbrüchen kommen da die Verbindung neu aufgebaut werden muss. Bei einem automatisch eingerichteten Failover wird dagegen in der Regel die NAT-State Table gleert (Diagnostics > States >Reset States), so dass sich die Verbindungen schneller wieder neu aufbauen.
Grüße Uwe
Kann mir jemand passieren, was hier passiert ist?
Wenn auf der einen Leitung ein DNS-Server konfiguriert ist (bspw. per DHCP zugewiesen wurde) der über die andere Leitung nicht erreichbar ist (das ist in der Regel bei den DNS-Servern der Provider der Fall die nur aus deren eigenen Netzen erreichbar sind), dann ist dieser bei der Umstellung des Default GW natürlich nicht mehr erreichbar und die DNS-Auflösung der pfSense funktioniert nicht mehr.Für solche Fälle gibt es die Option DNS Server Override unter General Setup. Dann überschreiben evt. per DHCP zugewiesene DNS-Server des aktiven GWs manuell eingerichtete DNS-Server.
Lösung: im DNS-Resolver "Enable Forwarding Mode" anhaken und unter System -> General Setup "8.8.8.8" als DNS-Server hinterlegen.
8.8.8.8 ist öffentlich über jeden Provider erreichbar, deswegen funktioniert es bei dieser Umstellung dann auch bei Providerwechsel.Des weiteren: Bei einer manuellen Umstellung des Default-GW waren wohlmöglich noch die NAT-States ( Diagnostics > States> States) der vorhandenen Verbindungen aktiv, da aber die Verbindungen nun über eine andere externe Adresse eines anderen Providers laufen kann das hier zu kurzzeitigen Problemen und Verbindungsabbrüchen kommen da die Verbindung neu aufgebaut werden muss. Bei einem automatisch eingerichteten Failover wird dagegen in der Regel die NAT-State Table gleert (Diagnostics > States >Reset States), so dass sich die Verbindungen schneller wieder neu aufbauen.
Grüße Uwe
Auch lesenswert dazu:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Kann mir jemand passieren, was hier passiert ist?
Wie geht passieren ?? 🤔
Wie geht passieren ??
Mit der flotten Lotte mach ich das üblicher Weise.Geht aber auch ein Sieb
Und ich sag das nur, weil heute Freitag ist
Zum Topic:
Könnte das Passierte vielleicht auch mit einer DNS-Restriction zusammen hängen?
https://docs.netgate.com/pfsense/en/latest/recipes/dns-redirect.html
Viele Grüße, commodity
1
🤣👍 Was wären wir ohne Freitage!!! Ich kenne die "Lotte" übrigens noch von Oma.
Wenn es das denn nun war bitte dann auch deinen Thread hier als erledigt schliessen!