DNS konfigurieren

EuroPC

@viragomann stimmt wohl auch wieder.

JeGr

@europc

Also mal mehrere Punkte:

1. traceroute oder auch mtr messen nichts mit DNS sollte sich das jemand durchlesen diesbezüglich, sondern zeigen nur den Weg (alle Hops bis zum Ziel) der bereits aufgelösten Adresse. In diesem Fall eine von 4 IPs und verfolgt die bis zum Ende.

2. Ein Host muss nicht auf ping antworten (oder traceroute etc.) um zu funktionieren. Oftmals ist da old-school Firewalling im Gange was einfach alles wegblockt was man als nicht notwendig erachtet - oft leider auch ICMP.

3. Dass die Seite nicht geht, kann an mehreren Dingen liegen.

4. Deine DNS Lookup Ansicht irritiert mich, denn du hast laut Screenshot davor lediglich 1.1.1.2 und die IP6 davon in System General eingetragen. Trotzdem zeigt dein DNS Diag Screenshot plötzlich 2 andere DNS4 und DNS6 Einträge was nicht passt. Also wurde dazwischen was umgestellt.

5. Der Anbieter hatte die Idee, mehrere Adressen zu publishen - warum auch immer. Es könnte jetzt schlicht sein, dass eine davon nicht geht und du dich genau versuchst mit der zu verbinden. Lustigerweise sind das in deinem Screenshot andere Adressen in der Auflösung als ich bekomme, der Hoster nutzt also scheinbar ein Geolokalisiertes CDN davor oder hat Probleme mit seinen IPs und wechselt die ab und an. Oder es gab Probleme mit der 52er Adresse weshalb jetzt statt dessen eine 3er IP ausgerollt wurde. Auch die IP6 mit 1904 am Ende ist bei mir weg, statt dessen gibts jetzt eine e07b.

6. Der Anbieter hat DualStack. Da gab es leider auch schon häufiger mal Probleme, dass Hoster zwar IP4 und IP6 ausgerollt hatten, ihr Webserver aber nur auf IP4 geantwortet hat. Wenn ein Client mit IPv6 preferrence die Seite aufgerufen hatte gab es nen Timeout und nichts ging. Leider kommt das immer wieder vor, dass IPv6 da falsch/schlecht behandelt wird und deshalb dann solche Fehler passieren.

Gerade #5 und #6 sind die Knackpunkte die ich an der Stelle zuerst mal untersuchen würde:

a) geht es inzwischen und lag es an der einen IP des Anbieters?
b) liegt es ggf. an IPv6? Dazu könnte man unter den Advanced Settings die Option "prefer IPv4 answers" bei DNS auswählen, so dass der DNS Resolver präferiert IP4s an den Client ausliefert statt IP6. Oder am Client eben mal (bspw. Windows) das IP6 komplett ausmachen und nur IP4 versuchen.
c) Die DNS Server unter #4 prüfen, dass da welche sauber eingetragen sind. Der 5.9.xxx DNS im Screenshot war ja anscheinend nicht in der Lage die Hosts aufzulösen, hat also entweder ein Problem oder ein Problem mit genau dieser Adresse. Das ist auch schon mal sprechend.

Cheers

EuroPC

Moin @jegr ,
ad 1+2 Danke, wieder was gelernt! :-)

4. Stimmt. Ich muss mittendring schon die DNS geändert und vergessen haben, das Bild zu erneuern.
   Aktuell ist Folgendes:

5. Prüfung des DNS bringt dann das Folgende
   

6. Dual Stack: Da ich durch das direkte Aufrufen der IPs nicht weiterkomme, der Name www.deutsche-apotheker-zeitung.de ercheint im Browser, aber sonst tut sich nichts, werde ich mal schauen, ob ich IPv4 oder IPv6 bevorzugen kann.

a. Nein ich kam aber auch nicht zum Weitertesten
b. Prefer IPv4 over IPv6 selektiert und zusätzlich http://18.193.184.106 aufgerufen kein Erfolg
mit http://3.65.88.188 wurde ich auf https umgeleitet. Es ist sehr langsam und unzuverlässig und ich bekomme keine "schön" formatierte html Site. Aber immerhin klappt es manchmal. Also stimmt die Richtung.

Vielleicht sollte ich IPV6 in der pfSense einfach ausschalten. Schade. Auf der anderen Seite ist es ja nicht "lebensnotwendig" für mich. Ein Test IPV6 im Windows auszuschalten steht noch aus.

Gruß und und Dank soweit,
EuroPC

EuroPC

@jegr
Das Abschalten von IPV6 in Windows hat funktioniert.

Unlogisch finde ich, dass der Schalter in der PFSense "prefer ipv4" anscheinend nicht geholfen hat.

C:\Windows\System32>nslookup www.deutsche-apotheker-zeitung.de
Server: pfSense.home.arpa
Address: 192.168.xx.yy

Nicht autorisierende Antwort:
Name: www.deutsche-apotheker-zeitung.de
Addresses: 2a05:d014:63c:dd00:20e1:406b:cec7:dc9a
2a05:d014:63c:dd01:875d:3982:a593:e07b
18.193.184.106
3.65.88.188
Anscheinend lauscht nslookup dennoch über IPV6, auch wenn Windows meint, dass kein Internetzugriff möglich ist.

Der Zugriff auf http://[2a05:d014:63c:dd01:875d:3982:a593:e07b] ist trotzdem erfolgreich

EuroPC

@jegr

Letzter Versuch: Ich habe nun unter Interfaces --> WAN den Punkt IPv6 Configuration Type auf 6to4 geschaltet. Nun funktioniert alles, wie es soll :-)

Danke nochmal!

EuroPC

JeGr

@europc said in DNS konfigurieren:

Unlogisch finde ich, dass der Schalter in der PFSense "prefer ipv4" anscheinend nicht geholfen hat.

das ist aber auch "nur" die DNS Antwort. Dein PC kann trotzdem IPv6 präferieren, da kann die pfSense nichts für. Zudem hattest du ja geschrieben, dass auch eine der IPv4s nicht wirklich antwortet.

@europc said in DNS konfigurieren:

Anscheinend lauscht nslookup dennoch über IPV6, auch wenn Windows meint, dass kein Internetzugriff möglich ist.

nslookup gibt dir nur DNS zurück wie nslookup/Windows das mag. außerdem cached dein Rechner noch, kann also nach Umstellung der Option in der Sense schlicht noch dein Cache auf Windows gewesen sein

@europc said in DNS konfigurieren:

Letzter Versuch: Ich habe nun unter Interfaces --> WAN den Punkt IPv6 Configuration Type auf 6to4 geschaltet. Nun funktioniert alles, wie es soll :-)

Das hat ja nur was mit deinem Internet Zugang zu tun, mit nichts sonst. Ich vermute mal eher, dass jetzt KEIN IPv6 mehr gescheit funktioniert und demzufolge logischerweise auch kein IPv6 extern mehr funktioniert. Du hättest also sehr wahrscheinlich auch schlicht "none" einstellen können mit gleichem Ergebnis.

Cheers

NOCling

Kannst auch einen Alias mit der Seite anlegen, dann eine Regel mit reject IPv6 auf den Alias und dann wird direkt der Fallback auf IPv4 beim Aufruf der Seite erfolgen.

Da brauchst nicht gleich IPv6 im ganzen Netz killen wenn es ansonsten funktioniert.
Ich möchte auf IPv6 jedenfalls nicht mehr verzichten.

EuroPC

@jegr
"Unlogisch finde ich, dass der Schalter in der PFSense "prefer ipv4" anscheinend nicht geholfen hat.

das ist aber auch "nur" die DNS Antwort. Dein PC kann trotzdem IPv6 präferieren, da kann die pfSense nichts für. Zudem hattest du ja geschrieben, dass auch eine der IPv4s nicht wirklich antwortet."
Danke. Stimmt.

"Anscheinend lauscht nslookup dennoch über IPV6, auch wenn Windows meint, dass kein Internetzugriff möglich ist.

nslookup gibt dir nur DNS zurück wie nslookup/Windows das mag. außerdem cached dein Rechner noch, kann also nach Umstellung der Option in der Sense schlicht noch dein Cache auf Windows gewesen sein"

Ok.
"Letzter Versuch: Ich habe nun unter Interfaces --> WAN den Punkt IPv6 Configuration Type auf 6to4 geschaltet. Nun funktioniert alles, wie es soll :-)

Das hat ja nur was mit deinem Internet Zugang zu tun, mit nichts sonst. Ich vermute mal eher, dass jetzt KEIN IPv6 mehr gescheit funktioniert und demzufolge logischerweise auch kein IPv6 extern mehr funktioniert. Du hättest also sehr wahrscheinlich auch schlicht "none" einstellen können mit gleichem Ergebnis."
Gerade mal nachgesehen. Ja, IPV6 ist nuin "tot".

Eine gute Lösung ist das hingegen nicht und ich werde mal weiter probieren, wie ich IPV6 zum Laufen bekomme.

EuroPC

@nocling Ja, das werde ich dann wohl mal machen.
Andererseits interessiert mich, was da falsch läuft.

Mein Wissensstand;

1. Die Site funktioniert bei euch.
2. Der Admin der Site sagt, dass IPv6 von deren Seite her in Ordnung ist
3. Die Namensauflösung funktioniert. Egal ob ich eine IPv4 oder IPv6 Adresse eingebe.
   3a. gebe ich eine IPv4 Adresse ein, dann kommt auch der unformatierte Test bei mir an. Bei der anderen IPv4 Adresse oder IPv6 passiert nichts weiter (timeout)
4. eine IPVv6 Adresse habe ich laut pfSense Dashoard und laut www.wieistmeineip.de

Das führt mich zu der Annahme, dass nach der DNS- Auflösung irgendetwas bei mir im Argen sein muss.
Nun habe ich gedacht, bei einer meiner Fritzboxen mal nachzusehen. Da ist aber nur "Natives IPv4" angegeben.
In der FB- Beschreibung heißt es, dass die FB je nach gelieferten Daten des ISP einen 6RD Tunnel, Dual Stack oder gar kein IPv6 verwendet. (https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/573_IPv6-in-FRITZ-Box-einrichten/)

In der pfSense muss ich aber bei 6RD Daten eingeben, die ich nicht kenne, die die Fritte aber wohl von der Telekom bekommt.

Natürlich kann ich die pfSense auch reinmal resetten, neu einrichten und hoffen, dass dann alles gut ist.

Könnt ihr mal hier schauen ob das so passt?
Danke EuroPC

NOCling

Versuche mal folgende Einstellungen für das WAN:

Im LAN dann Track Int mit ID und das RA musst du auch auf Assisted einstellen.

EuroPC

@nocling Danke, jetzt haben wir es!

Für diejenigen, die vielleicht ein ähnliches Problem haben;

Danach in LAN:
IPv6 Configuration Type Track interface
IPv6 Prefix ID 56 ; Default ist 0 heißt anscheinend nicht, dass irgendwelche Werte von irgendwo übernommen werden.

Unter ServicesDHCPv6 Server & RALANDHCPv6 Server ist der Server nicht eingeschaltet
aber

Nun heißt es wohl, sich etwas mehr mit IPv6 zu befassen :-)

Tausend Dank @NOCling und @JeGr

Gruß. EuroPC

Bob.Dig

@europc said in DNS konfigurieren:

IPv6 Configuration Type Track interface
IPv6 Prefix ID 56 ; Default ist 0 heißt anscheinend nicht, dass irgendwelche Werte von irgendwo übernommen werden.

0 ist vollkommen in Ordnung, steht ja auch darunter, 0 bis ff kannst Du hier eintragen.

EuroPC

@bob-dig said in DNS konfigurieren:

@europc said in DNS konfigurieren:

IPv6 Configuration Type Track interface
IPv6 Prefix ID 56 ; Default ist 0 heißt anscheinend nicht, dass irgendwelche Werte von irgendwo übernommen werden.

0 ist vollkommen in Ordnung, steht ja auch darunter, 0 bis ff kannst Du hier eintragen.

Ok, und wofür ist der Wert dann da? Bei mir funktionierte es erst nach Änderung auf 56.

Bob.Dig

@europc Mit einem /56-Prefix hast Du 256 /64-Prefixe. Das in hex ist 0-FF. Du darfst auf deine Interface aber keines doppelt vergeben.

nonick

@europc Ich habe mir den ganzen Thread nicht durchgelesen, vielleicht kann ich aber trotzdem die Frage beantworten. Du bekommst ein /56 Netz vom Provider, z.B. 2001:0db8:85a3:08

Damit kannst du für dich verschiedene /64 Netze aufbauen, z.B.
Netz 1 2001:0db8:85a3:0801
Netz 2 2001:0db8:85a3:0802
usw.

/56
2001:0db8:85a3:08
/64
2001:0db8:85a3:0801
2001:0db8:85a3:0802

Die 01 / 02 wäre dann die von dir vergebene Prefix ID der jeweiligen Schnittstelle und ergeben dann zusammen jeweils das /64 Netzwerk.

Der Rest der IPv6 Adresse wäre dann die Interface ID.

EuroPC

@nonick Danke.

Allerdings: Entgegen dem vorhin Geschriebenen ist der Zugriff instabil. Habe die besagten "56" wieder auf Null gesetzt.

nonick

@europc Mit der Präfix ID hat das ganze nichts zu tun.
Trage mal unter dem WAN Interface MTU und MSS ein. Wenn Telekom dann MTU 1492, MSS 1452.

Wurde gerade hier abgehandelt.
https://forum.netgate.com/topic/172774/hilfegesuch-bei-telekom-vdsl-anschluss-mit-vigor167-und-pfsense/12