DNS Problem mit Squid und/hinter (Open)VPN-Gateway
-
Moin. Ich habe hier ein seltsames Problem mit dem Squid auf der pfSense und der Namensauflösung.
Kurze Erläuterung der Konfiguration: Ich habe eine OpenVPN Client Konfiguration auf der Sense für den Zugang zum Internet bei einem VPN-Provider eingerichtet. Das Default-Gateway läuft über diesen Zugang, der über OpenVPN vom Provider gemeldete DNS Server steht mit vorne in der DNS-Serverliste. Das Squid-Outgoing Interface / Gateway ist auch dieser VPN-Zugang. Die "Rangfolge" der DNS Server ist- 127.0.0.1
- 10.x.x.x (DNS-Provider-Server von OpenVPN gemeldet)
- 192.168.x.x (Lokaler Router/Fritzbox)
- 2-3 öffentliche DNS-Server
So, nun die Schilderung des Problems: Ich kann über den Proxy eine ganze Zeit lang problemlos surfen. Das Log ist clean. Alles ok. Urplötzlich findet der Squid keine einzige Seite mehr, Im log sieht es nach einem Namensauflösungsproblem aus. Hinter jeder URL die versucht wird zu kontaktieren steht keine IP-Adresse mehr. Zu der Zeit hat sich weder das DSL, noch die OpenVPN Verbindung frisch aufgebaut oder wurde unterbrochen. Allein ein Neustart vom Squid reicht aus, dass dieser wieder wie gewohnt funktioniert. D.h. Der Rest bleibt alles beim Alten!
Wie lässt sich das jetzt am besten troubleshooten, damit der Squid durchgängig das macht was er soll? Die DNS Liste am Squid fest hinterlegen ist vermutlich keine Lösung, da der vom OpenVPN zurückgemeldete DNS durchaus unterschiedlich sein kann. Die pfSense ist eine CE 2.6.0. Das Problem hatte ich aber auch schon zuvor auf der 2.5.2.
Any Hints?
-
Neue Erkenntnis:
Wenn ich die 127.0.0.1 entferne in den Options, also immer den/die externen DNS nehme, funktioniert das ohne squid neu laden... zumindest schon über einen Tag hinaus. Vorher war nach max. einer Stunde Feierabend. -
@exordium, im Zweifel liegt es an Unbound, siehe: https://forum.netgate.com/topic/170235/unbound-massively-broken-pfsense-2-5-2
-
OK, wenn es am Unbound liegt, dürfte dann NUR der Reload vom Squid greifen? Ich werde bein nächsten Vorfall dann nur mal den Unbound restarten und schauen ob das Problem ebenfalls verschwindet.
Das Ändern auf die Externen Resolver hat viel gebracht, aber wenigstens 1 x hat es in der Zeit nicht funktioniert. Bin weiter am Recherchieren und Testen... -
Es ist wirklich zum Haare raufen. Ich clicke mich auf einer Website durch verschiedene Links (ohne dabei den Server zu wechseln, z.B. eine Nachrichtensite) und wie aus dem Nichts kommt dann irgendwann die Meldung im Browser "Serveradresse nicht auffindbar..." ) Unbound... Der Name ist Programm...
-
@exordium said in DNS Problem mit Squid und/hinter (Open)VPN-Gateway:
Unbound... Der Name ist Programm...
Neustarten von Unbound löst das Problem also temporär?
-
@exordium Wie hast Du denn Unbound konfiguriert? Und immer alles über ein VPN Gateway zu schicken ist vielleicht nicht das Optimum für die Fehleranalyse. Hier funktioniert es jedenfalls wie ne eins.
-
@thiasaef said in DNS Problem mit Squid und/hinter (Open)VPN-Gateway:
@exordium said in DNS Problem mit Squid und/hinter (Open)VPN-Gateway:
Unbound... Der Name ist Programm...
Neustarten von Unbound löst das Problem also temporär?
Ja, es ist in dem Fall tatsächlich egal, ob ich den squid ODER den Resolver frisch starte. Beide Male funktioniert die DNS-Auflösung danach wieder.
-
@bob-dig said in DNS Problem mit Squid und/hinter (Open)VPN-Gateway:
@exordium Wie hast Du denn Unbound konfiguriert? Und immer alles über ein VPN Gateway zu schicken ist vielleicht nicht das Optimum für die Fehleranalyse. Hier funktioniert es jedenfalls wie ne eins.
Tatsächlich ist es so, dass der VPN-Provider-DNS Server vorne steht in der Liste und danach paar freie, bzw. die vom DSL Provider zugewiesenen. Es geht auch nicht ALLES durch den VPN Tunnel, sondern nur der Traffic, der nicht jeden zu interessieren hat, bzw. wenn ich mal temp. meinen Aufenthaltsort wechseln muss... Prinzipiell habe ich also 3 Regeln:
Expliziter Traffic durchs VPN Gate
Expliziter Traffic übers normale DSL Provider Gateway
und ist egal welches (Default)Gateway.Ich hatte auch schon wechselseitig VPN und DSL Gateway als Standardgateway gesetzt und die Regeln angepasst. Das greift aber alles nur für ne Weile.
Da ich die Sense schon seit V2.3.irgendwas upgrade, habe ich mir jetzt mal die Konfig gesichert und die Kiste komplett mit 2.6 frisch installiert und auch konfiguriert. Ich habe jetzt nur mal die ganzen Grundeinstellungen für einen ordentlichen Betrieb vollzogen und werde dann immer ein Häppchen dazugeben... bIn gespannt ob und wo sich das Fehlverhalten wieder bemrkbar macht.
-
@exordium said in DNS Problem mit Squid und/hinter (Open)VPN-Gateway:
komplett mit 2.6 frisch installiert und auch konfiguriert. Ich habe jetzt nur mal die ganzen Grundeinstellungen für einen ordentlichen Betrieb vollzogen und werde dann immer ein Häppchen dazugeben...
Musste ich schon öfters machen und was soll ich sagen das funzt dann auch.
-
@bob-dig said in DNS Problem mit Squid und/hinter (Open)VPN-Gateway:
und was soll ich sagen das funzt dann auch.
Wenn alle von dem Bug betroffen wären, wäre er längst behoben ...
@exordium said in DNS Problem mit Squid und/hinter (Open)VPN-Gateway:
Ja, es ist in dem Fall tatsächlich egal, ob ich den squid ODER den Resolver frisch starte. Beide Male funktioniert die DNS-Auflösung danach wieder.
Dann passen die Symptome exakt zu dem bereits verlinkten Bug: https://forum.netgate.com/topic/170235/unbound-massively-broken-pfsense-2-5-2
-
Ja, der zickt scheinbar nur bei gewissen Settings herum. Immer war das Problem noch nicht vorhanden. Ist schwierig zu erkennen. Ich lasse das VPN-Gate mal völlig raus aus der Gleichung jetzt. Es laufen jetzt der pfBlockerNG Devel mit schmaler Standard Konfig und der Squid als Proxy auch ohne besonders anspruchsvolle Konfiguration - so wie es zuvor eigentlich auch schon immer (und in der Firma an einem Dutzend weiterer Sensen) lief.
-
So. Hatte die Sense wie zuvor erwähnt ganz frisch mit einer 2.6.0 vom Stick beglückt und gleich die SSD mit zfs behandelt. Alles frisch installiert und konfiguriert. Was soll ich sagen, bisher läuft das ohne zu Murren und ohne DNS Schluckauf. Auch das VPN-Gate ist wieder aktiv inzwischen.