Internet Unterbrechnungen DNS resolver
-
@sebden, siehe: https://forum.netgate.com/topic/170235/unbound-massively-broken-pfsense-2-5-2/
ich will gar nicht wissen, wie viele Mannstunden mit dem Bug schon vernichtet wurden ... es ist einfach nur traurig.
-
Besten Dank @thiasaef
Ich habe den besagten Patch zur Probe mal aktiviert. Ein Leeren des Caches wäre mir im Vergleich zum bestehenden Problem wirklich egal.
Ich melde mich hier nochmal zurück, falls es Neuigkeiten gibt.
-
Leider war der Patch keine Lösung. Das Problem besteht weiterhin, nur scheint es (gefühlt) seltener aufzutreten.
Aktuelle Krücke: Per Cron erfolgt 5min nach dem pfBlocker-Job ein Neustart vom Unbound. Seit einigen Wochen herrscht somit erstmal Ruhe.
-
Warum genau nutzt du den Resolver im Forwarding Mode?
Welche Version vom pfBlocker?
Wie ist die maximale Tabellengröße eingestellt?
Ram Disk aktiv, wenn ja ist die groß genug für das pfBlocker Update oder läuft die dabei über?Und die GUI auf deutsch zu stellen ist wirklich grausam, kann ich nur von abraten, denn so findest du nix dazu im Handbuch.
-
Zu 1: Ich bevorzuge die Server von 1.1.1.1 oder auch 9.9.9.9. Zumindest offiziell loggen Sie nicht und sind performant mit Unterstützung von DoT.
Zu 2: pfBlockerNG-devel 3.1.0_1, wobei es mittlerweile ein kleines Update gibt.
Zu 3: Wenn du Maximale Firewall Table Einträge meinst, dann 400000.
Zu 4: Nicht dass ich wüsste. Ich habe SWAP 0% von 4096MiB in Nutzung, sowie / 3% von 111GB ufs und tmpfs 3% von 4.0 MiB.
Ich mag die deutsche GUI
Klar wäre die englische jetzt auch kein Problem. -
Die Funktionsweise von Unbound ist hier gut erklärt:
DNS Resolver Root Server Question -
Ich werde mal testhalber auf meiner privaten Büchse das rooten testen. Aus Sicht der Privatsphäre, ist das dann weniger Anonym? Nur unter der Annahme 1.1.1.1 oder 9.9.9.9 würden tatsächlich nicht loggen - sonst wäre die Frage natürlich sinnfrei.
Konntest du anhand der Angaben im Post vorher eine Fehlkonfiguration entnehmen, die das Problem mit Unbound erklären könnten? Er läuft ja, dient aber keinem Klienten mehr am LAN Port. Ein Lookup aus dem Diagnose-Bereich klappt bei der betroffenen Kiste immer. Ohne Patches und ohne Cron-Job zeigt sich das Problem fast jeden Tag nach einigen Stunden Betrieb.
@thiasaef Hat, genau in dem von dir genannten Thread, ein noch bestehendes Problem mit Unbound angesprochen. So richtig bewegt sich bei dem Thema gefühlt nichts. Ob mich nun genau dieser Bug betrifft kann ich nicht sagen. Aber ein wenig traurig ist es schon
-
Hier gibt es auch im Forwarding Mode keinerlei Probleme.
-
Ich habe hier selber 2 Kisten und keine Probleme, Kollegen haben auch ein paar und auch die haben mit recht ähnlichen Settings keine Probleme.
Es sind halt im pfBlocker und im Unbound unzählige Einstellungen die man setzen kann, eine davon kann dann ggf. Probleme bereiten.
Gerade in den erweiterten Einstellungen bei Unbound sollte man aufpassen, hier kann man sich auch die komplette DNS Funktionalität untergraben.Das Undound aber nicht mehr startet hatte ich noch auf keiner Kiste.
Ein Kollege hat mit dem "pfb_dnsbl" Dienst zur Zeit ein Problem, hier will der Webserver nicht starten. Merkert scheinbar das der Port verwendet wird, wird er jedoch nicht. Weder laut Config noch laut Sockets Übersicht.
-
@nocling Unbound läuft. Aber niemand am LAN bekommt noch etwas aufgelöst. Nach einem Neustart dient Unbound dann auch wieder den Klienten.
Edit.: Das Problem habe ich auch nur an einer Box, andere mit identischem Setup laufen ebenso.
-
DNS Resolver Log sagt dann was?
Auf welchen Interfaces lauscht er?
Ein Mitschnitt auf LAN/WAN zeigt was? -
Da seit dem Cron-Job schon einige Wochen rum sind, reichen die Logs nicht weit genug zurück (es fehlen 3 Tage -.-). Für mein ungeschultes Auge stand dort lediglich periodisch die Aktion vom pfBlocker drin, gefolgt von 1-2 Einträgen die nicht aufzulösen sind (in der Regel tel.t-online.de und anydesk.com).
Gesetzt war als lauschendes Interface nur LAN. Hatte ich nebenher auf ALLE geändert.
Mitschnitt ist aktuell nicht möglich, da müsste ich schauen wann ich die Box sehenden Auges nochmal in das Problem laufen lassen kann.
-
@sebden said in Internet Unterbrechnungen DNS resolver:
Leider war der Patch keine Lösung. Das Problem besteht weiterhin, nur scheint es (gefühlt) seltener aufzutreten.
Der Patch hat nur dann einen Effekt, wenn bei dir gewollt oder ungewollt
rc.newwanipEvents stattfinden.@sebden said in Internet Unterbrechnungen DNS resolver:
da müsste ich schauen wann ich die Box sehenden Auges nochmal in das Problem laufen lassen kann.
Um auszuschließen, dass es an obigen Bug liegt, sollte es genügen, das LAN Kabel kurz abzuziehen und wieder einzustecken und zu schauen, ob DNS Anfragen aus dem LAN danach noch beantwortet werden.
@nocling said in Internet Unterbrechnungen DNS resolver:
Gerade in den erweiterten Einstellungen bei Unbound sollte man aufpassen, hier kann man sich auch die komplette DNS Funktionalität untergraben.
Der Witz ist doch, dass DNS-Abfragen unter
Diagnostics / DNS Lookupoffenbar trotzdem noch klappen, was fast alle klassischen Konfigurationsfehler ausschließen dürfte. -
Stimmt, dachte aber (da der Patch aktiv ist), dass es eher nicht dieser Bug ist.
Edit: Teste es dann trotzdem nach Möglichkeit nochmal!
-
This post is deleted!
