Client DNS-Auflösung funktioniert nicht.
-
Hallo,
wir haben eine Netgate 6100 Firewall erworben und möchten sie gerne in einer Testumgebung einrichten.
Die Firewall bekommt eine Private IPv4 Adresse am WAN-Interface und "Block private networks and loopback addresses" sowie "Block bogon networks" ist auch deaktiviert.
Als fallback DNS-Server ist Cloudflare DNS eingetragen und "Override DNS" ist abgewählt.
Die Firewall selber kann über "DNS-Lookup" unter "Diagnostics" auch anfragen auflösen. Nur Clients im LAN nicht.
Die Response von Windows mit "nslookup - 192.168.1.1" ist nur "*** pfSense.home.arpa can't find google.com: Server failed"Bis auf die oben genannten Änderungen ist alles Default.
Grüße
Edit:
Nach dem Upgrade von 23.01 auf 23.05.1 und schlussendlich 23.09.1 wurde sie auf Werkseinstellungen zurückgesetzt. Ob DNS-Resolution bei Clients vor den Upgrades funktioniert hat, weiß ich leider nicht da ich nur die Firewall auf den neusten Stand gebracht hatte. -
@tmsproshop
Moinsen,
mal doof nachgefragt:
an der pfsense (als DNS forwarder nehme ich an, wenn du mit Cloudflare arbeitest) scheint es ja zu funktionieren...nur: warum fragen deine Clients dann google-DNS und nicht Cloudflare?
Am client ggf noch nicht den passenden Eintrag gemacht?
Bekommen die clients ihre IPs (und sonstigen Infos, etwa auch zu DNS) per dhcp oder hast du da in der Vergangenheit alles manuell eingetragen (und jetzt nicht angepasst da cloudflare ja ungleich google).Ganz davon ab: willst du extra den forwarder nutzen? Warum nicht den resolver (unbound)? < nur neugierig... :)
-
@the-other said in Client DNS-Auflösung funktioniert nicht.:
die clients ihre IPs (und sonstigen Infos, etwa auch zu DNS) per dhcp oder hast du da in der Vergangenheit alles manuell eingetragen
Moin,
die Config der pfSense ist alles default.
Von daher ist der Resolver auch aktiv und der soll auch genutzt werden.
Cloudflare DNS ist bei der pfSense als "fall back to remote DNS Server" eingetragen.
Die Clients bekommen via DHCP alle Informationen zugewiesen also Gateway und DNS 192.168.1.1 und halt eine IP aus dem 192.168.1.0/24 Subnetz.Hier einmal der gesamte Output:
nslookup - 192.168.1.1 Default Server: pfSense.home.arpa Address: 192.168.1.1 > google.com Server: pfSense.home.arpa Address: 192.168.1.1 *** pfSense.home.arpa can't find google.com: Server failed > -
@tmsproshop
Moinsen,
ich habe hier gar nix eingetragen als DNS Server (weder unter den System settings noch unter forwarder). AUch hier habe ich "fall back to remote..." gesetzt, habe aber trotzdem keine Einträge unter den General Settings.
Damit läuft es hier zumindest gut seit Jahren. -
@tmsproshop
Ist im DNS Resolver DNSSEC aktiviert?Ist der Forwarding Modus aktiviert?
Wenn ja, it SSL/TLS aktiviert?
-
DNSSEC ist aktiviert.
"DNS Query Forwarding" ist deaktiviert sowie auch "Enable SSL/TLS Service" -
@tmsproshop said in Client DNS-Auflösung funktioniert nicht.:
DNSSEC ist aktiviert.
Hast du das auch mal deaktiviert?
Bei den "Network Interfaces" ist das jeweilige ausgewählt?
Du kannst auch versuchen, dein lokales Subnetz in den Access Lists hinzuzufügen.
Das sollte normalerweise zwar nicht nötig sein und automatisch erlaubt werden, dennoch führte das schon öfter zum Erfolg. -
@viragomann Ich schätze mal ich habe das Problem gefunden.
Wir betreiben unsere FRITZBoxen im bridge mode an einem o2 DSL-Anschluss.
Die Boxen filtern wohl in diesem Modus Root-Server DNS.Sobald wir neue reine DSL-Modems mit offiziellem bridge mode haben werde ich es erneut testen.
Bis dahin verwende ich erstmal den forwarder. -
@tmsproshop Du kannst auch den Forwarding Modus im Resolver aktiv schalten. Deine Sense schickt dann die DNS Anfragen an die unter "System -> General Setup" eingetragenen DNS Server anstatt die Root DNS Server. So ist z.B. auch möglich, intern unverschlüsseltes und im Internet DNS-over-TLS zu haben.
-
Prüfe das doch mal, du kannst auf der Fritz selber ja einen Mitschnitt erzeugen und prüfen ob das wirklich so ist.
http://fritz.box/html/capture.html
Vorsicht mit den Namen, bitte die IP verwenden, denn .box ist eine TDL und den FQDN hat sich jemand externes gesichert.
-
Problem ist behoben.
Mit den DrayTek Modems funktioniert DNS-Auflösung nun einwandfrei.
