DNS konfigurieren
-
@viragomann vielleicht verstehe ich das ja auch falsch. Ich dachte, dass traceroute mir so etwas ausgibt wie:
- Anfrage bei pfsense
- Weiterleitung zum nächsten DNS usw. bis einer die IP zurück gibt
- Verbindung zur gewünschten IP
Möglich aber auch, dass diese Annahme falsch ist.
"Ansonsten gibt dir traceroute die Stationen bis zum Ziel an" Demnach ist mit dem Weg zum Ziel nicht der DNS- Kram gemeint?
-
@the-other Nein, so hatte ich es verstanden. Du verstehst richtig. Meine Annahme ist wohl falsch.
Hintergrund des Ganzen ist, dass ich auf eine bestimmte Web-Adresse, namentlich https://www.deutsche-apotheker-zeitung.de/, nicht zugreifen kann.
Wenn ich über mein MacBook gehe (Privat-Relay aktiv) dann funktioniert es wunderbar. Deaktiviere ich es, dann funktioniert es, genau wie bei den PCs, nicht.
-
@europc
Anbei ein Bild, dass der DNS- Lookup funktioniert. Nur weigern sich die Browser.
-
@europc
Moinsen,
das ist hier auch so: nslookup per Client oder pfs gehen sauber durch, Aufruf der Seite gelingt nicht...so salopp würde ich sagen, dass das Problem dieses Mal vielleicht eher bei den Seitenanbietern zu suchen wäre...
:) -
@the-other said in DNS konfigurieren:
das ist hier auch so: nslookup per Client oder pfs gehen sauber durch, Aufruf der Seite gelingt nicht.
Der Aufruf von https://www.deutsche-apotheker-zeitung.de?
Hier (Wien u. südl. Umland) klappt das problemlos. Könnte natürlich ein Routingproblem beim ISP vorliegen. Das kommt nicht so selten vor. Aber am Webseitenbetreiber liegt es wohl nicht.
@europc said in DNS konfigurieren:
Wenn ich über mein MacBook gehe (Privat-Relay aktiv) dann funktioniert es wunderbar.
"Privat-Relay" nennt Apple seinen Datensammeldienst? Klingt gut. :-)
Damit rufst du die Seiten über einen Apple-Proxy auf, und der kann sie wohl erreichen, wie ich auch.Ja, um dieses Problem zu untersuchen, ist traceroute schon das richtige Werkzeug, aber nicht für DNS-Probleme. Hierfür wäre dig oder nslookup besser geeignet. Die zeigen auch den antwortenden DNS-Server und ggf. auch weitere Parameter an.
Die Seite kann ich aufrufen, aber ein Traceroute von hier endet von jedem Standort bei eine anderen IP in Kassel bwz. Dublin.
-
@viragomann
""Privat-Relay" nennt Apple seinen Datensammeldienst? Klingt gut. :-)" Ja, die haben schon einen lustigen Humor. Ist ja auch privat ... für die Apfel- Familie ;-)Ich habe den Aufruf gerade mit meinem IPhone über LTE probiert. Das wiederum funktioniert.
Da ich als DNS Cloudflare gewählt habe, könnte es an denen liegen?
-
@europc
Ich weiß nicht, was Cloudflare so alles für dich macht. Wenn es ausschließlich DNS ist, ist das eher nicht das Problem. Dann muss es nur den Hostnamen in die IP auflösen.
Das kannst du ja schnell überprüfen. Ich bekomme für www.deutsche-apotheker-zeitung.de 18.193.184.106. -
@viragomann Cloudflare soll nur DNS spielen.
Wenn ich von der pfsense aus www.deutsche-apotheker-zeitung.de anpinge kommt folgendes:
PING www.deutsche-apotheker-zeitung.de (18.193.184.106): 56 data bytes--- www.deutsche-apotheker-zeitung.de ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet lossAlso klappt die Auflösung. Nur danach wird es geblockt, wie mir scheint.
Ich schmeiße Cloudflare mal probeweise raus und ersetze es mit 8.8.8.8, das müsste Google sein.
Resultat:
PING www.deutsche-apotheker-zeitung.de (52.57.54.44): 56 data bytes--- www.deutsche-apotheker-zeitung.de ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss -
@europc said in DNS konfigurieren:
Also klappt die Auflösung. Nur danach wird es geblockt, wie mir scheint.
"Geblockt" wäre ein aktiver Eingriff um den Zugriff zu verhindern. Das halte ich nicht für wahrscheinlich, außer durch einen Proxy oder pfBlockerNG.
Ich würde eher ein Miss-Routing im Internet vermuten. Wie weit kommt ein Traceroute? Könnte sein, dass das schon bei deinem ISP hängen bleibt.PING www.deutsche-apotheker-zeitung.de (18.193.184.106): 56 data bytes
Ich schmeiße Cloudflare mal probeweise raus und ersetze es mit 8.8.8.8, das müsste Google sein.
PING www.deutsche-apotheker-zeitung.de (52.57.54.44): 56 data bytesBeide IPs gehören Amanzon AWS. Daher halte ich es für keinen Fehler, dass ein anderes DNS eine andere IP liefert.
-
@viragomann Danke. Nein, einen Proxy oder so habe ich nicht.
Unter Windows:
C:\Windows\System32>tracert -4 www.deutsche-apotheker-zeitung.deRoutenverfolgung zu www.deutsche-apotheker-zeitung.de [52.57.54.44]
über maximal 30 Hops:1 2 ms 1 ms 1 ms 192.168.10.90
2 10 ms 8 ms 9 ms p3e9bf366.dip0.t-ipconnect.de [62.155.243.102]
3 16 ms 14 ms 15 ms f-ed11-i.F.DE.NET.DTAG.DE [62.154.1.29]
4 15 ms 15 ms 17 ms 62.157.251.154
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.von der pfSense aus; (IPV4)
1 p3e9bf366.dip0.t-ipconnect.de (62.155.243.102) 6.515 ms 6.415 ms 6.159 ms
2 f-ed11-i.F.DE.NET.DTAG.DE (62.154.1.29) 11.861 ms 12.548 ms 11.958 ms
3 62.157.251.154 (62.157.251.154) 12.649 ms 12.029 ms 12.119 ms
4 * * *
5 * * *
Da fehlt mir gerade die Phantasie... -
@europc
Da scheinst du nicht von deinem ISP hinauszukommen, wie vermutet. Die letzte IP gehört der Deutschen Telekom (https://meineipadresse.de/html/ip-checker.php).Du könntest damit aufhören, die Telekom für unfehlbar zu halten und das dem Support mitteilen.
-
@viragomann Die Telekom ist fehlbar, o graus.
Allerdings nutze ich fürs Handy ebenfalls die Telekomiker. Und da funktioniert es....
Danke, dass Du da drauf geschaut hast!
-
@europc
Mach ein Traceroute am Handy (bspw. HE Network Tools App) und schau dir die IPs an. Vermutlich bist du damit in einem völlig anderen Netzwerk. -
@viragomann stimmt wohl auch wieder.
-
Also mal mehrere Punkte:
-
tracerouteoder auchmtrmessen nichts mit DNS sollte sich das jemand durchlesen diesbezüglich, sondern zeigen nur den Weg (alle Hops bis zum Ziel) der bereits aufgelösten Adresse. In diesem Fall eine von 4 IPs und verfolgt die bis zum Ende. -
Ein Host muss nicht auf
pingantworten (odertracerouteetc.) um zu funktionieren. Oftmals ist da old-school Firewalling im Gange was einfach alles wegblockt was man als nicht notwendig erachtet - oft leider auch ICMP. -
Dass die Seite nicht geht, kann an mehreren Dingen liegen.
-
Deine DNS Lookup Ansicht irritiert mich, denn du hast laut Screenshot davor lediglich 1.1.1.2 und die IP6 davon in System General eingetragen. Trotzdem zeigt dein DNS Diag Screenshot plötzlich 2 andere DNS4 und DNS6 Einträge was nicht passt. Also wurde dazwischen was umgestellt.
-
Der Anbieter hatte die Idee, mehrere Adressen zu publishen - warum auch immer. Es könnte jetzt schlicht sein, dass eine davon nicht geht und du dich genau versuchst mit der zu verbinden. Lustigerweise sind das in deinem Screenshot andere Adressen in der Auflösung als ich bekomme, der Hoster nutzt also scheinbar ein Geolokalisiertes CDN davor oder hat Probleme mit seinen IPs und wechselt die ab und an. Oder es gab Probleme mit der 52er Adresse weshalb jetzt statt dessen eine 3er IP ausgerollt wurde. Auch die IP6 mit 1904 am Ende ist bei mir weg, statt dessen gibts jetzt eine e07b.
-
Der Anbieter hat DualStack. Da gab es leider auch schon häufiger mal Probleme, dass Hoster zwar IP4 und IP6 ausgerollt hatten, ihr Webserver aber nur auf IP4 geantwortet hat. Wenn ein Client mit IPv6 preferrence die Seite aufgerufen hatte gab es nen Timeout und nichts ging. Leider kommt das immer wieder vor, dass IPv6 da falsch/schlecht behandelt wird und deshalb dann solche Fehler passieren.
Gerade #5 und #6 sind die Knackpunkte die ich an der Stelle zuerst mal untersuchen würde:
a) geht es inzwischen und lag es an der einen IP des Anbieters?
b) liegt es ggf. an IPv6? Dazu könnte man unter den Advanced Settings die Option "prefer IPv4 answers" bei DNS auswählen, so dass der DNS Resolver präferiert IP4s an den Client ausliefert statt IP6. Oder am Client eben mal (bspw. Windows) das IP6 komplett ausmachen und nur IP4 versuchen.
c) Die DNS Server unter #4 prüfen, dass da welche sauber eingetragen sind. Der 5.9.xxx DNS im Screenshot war ja anscheinend nicht in der Lage die Hosts aufzulösen, hat also entweder ein Problem oder ein Problem mit genau dieser Adresse. Das ist auch schon mal sprechend.Cheers
-
-
Moin @jegr ,
ad 1+2 Danke, wieder was gelernt! :-)-
Stimmt. Ich muss mittendring schon die DNS geändert und vergessen haben, das Bild zu erneuern.
Aktuell ist Folgendes:
-
Prüfung des DNS bringt dann das Folgende
-
Dual Stack: Da ich durch das direkte Aufrufen der IPs nicht weiterkomme, der Name www.deutsche-apotheker-zeitung.de ercheint im Browser, aber sonst tut sich nichts, werde ich mal schauen, ob ich IPv4 oder IPv6 bevorzugen kann.
a. Nein ich kam aber auch nicht zum Weitertesten
b. Prefer IPv4 over IPv6 selektiert und zusätzlich http://18.193.184.106 aufgerufen kein Erfolg
mit http://3.65.88.188 wurde ich auf https umgeleitet. Es ist sehr langsam und unzuverlässig und ich bekomme keine "schön" formatierte html Site. Aber immerhin klappt es manchmal. Also stimmt die Richtung.Vielleicht sollte ich IPV6 in der pfSense einfach ausschalten. Schade. Auf der anderen Seite ist es ja nicht "lebensnotwendig" für mich. Ein Test IPV6 im Windows auszuschalten steht noch aus.
Gruß und und Dank soweit,
EuroPC -
-
@jegr
Das Abschalten von IPV6 in Windows hat funktioniert.Unlogisch finde ich, dass der Schalter in der PFSense "prefer ipv4" anscheinend nicht geholfen hat.
C:\Windows\System32>nslookup www.deutsche-apotheker-zeitung.de
Server: pfSense.home.arpa
Address: 192.168.xx.yyNicht autorisierende Antwort:
Name: www.deutsche-apotheker-zeitung.de
Addresses: 2a05:d014:63c:dd00:20e1:406b:cec7:dc9a
2a05:d014:63c:dd01:875d:3982:a593:e07b
18.193.184.106
3.65.88.188
Anscheinend lauscht nslookup dennoch über IPV6, auch wenn Windows meint, dass kein Internetzugriff möglich ist.Der Zugriff auf http://[2a05:d014:63c:dd01:875d:3982:a593:e07b] ist trotzdem erfolgreich
-
Letzter Versuch: Ich habe nun unter Interfaces --> WAN den Punkt IPv6 Configuration Type auf 6to4 geschaltet. Nun funktioniert alles, wie es soll :-)
Danke nochmal!
EuroPC
-
@europc said in DNS konfigurieren:
Unlogisch finde ich, dass der Schalter in der PFSense "prefer ipv4" anscheinend nicht geholfen hat.
das ist aber auch "nur" die DNS Antwort. Dein PC kann trotzdem IPv6 präferieren, da kann die pfSense nichts für. Zudem hattest du ja geschrieben, dass auch eine der IPv4s nicht wirklich antwortet.
@europc said in DNS konfigurieren:
Anscheinend lauscht nslookup dennoch über IPV6, auch wenn Windows meint, dass kein Internetzugriff möglich ist.
nslookup gibt dir nur DNS zurück wie nslookup/Windows das mag. außerdem cached dein Rechner noch, kann also nach Umstellung der Option in der Sense schlicht noch dein Cache auf Windows gewesen sein
@europc said in DNS konfigurieren:
Letzter Versuch: Ich habe nun unter Interfaces --> WAN den Punkt IPv6 Configuration Type auf 6to4 geschaltet. Nun funktioniert alles, wie es soll :-)
Das hat ja nur was mit deinem Internet Zugang zu tun, mit nichts sonst. Ich vermute mal eher, dass jetzt KEIN IPv6 mehr gescheit funktioniert und demzufolge logischerweise auch kein IPv6 extern mehr funktioniert. Du hättest also sehr wahrscheinlich auch schlicht "none" einstellen können mit gleichem Ergebnis.
Cheers
-
Kannst auch einen Alias mit der Seite anlegen, dann eine Regel mit reject IPv6 auf den Alias und dann wird direkt der Fallback auf IPv4 beim Aufruf der Seite erfolgen.
Da brauchst nicht gleich IPv6 im ganzen Netz killen wenn es ansonsten funktioniert.
Ich möchte auf IPv6 jedenfalls nicht mehr verzichten.
