DNS Auflösung funktioniert nicht richtig bei großen Downloads

viragomann

Sieht ja echt übel aus?

Abgesehen von Überlast, was wohl nicht zutrifft, fällt mir aber dazu auch nichts Konkretes ein.

Was ist denn bei Fullspeed? 1 GB/s?
Tritt das Problem auch an einem anderen Rechner auf, als auf dem, der die Netzwerklast produziert?
Interessant wäre auch ein anderes pfSense Interface, wenn du mehrere nutzt.
Hast du mehrere DNS Server auf der pfSense konfiguriert? Wenn nicht, versuch das mal.

Der DNS Forwarder leitet einfach die Anfragen wie ein Proxy auf den externen DNS Server weiter. Er kann ebenso für die Auflösung verwendet werden, aber wenn muss der Resolver deaktiviert werden. Der Resolver ist eben heute Standard, allerdings kann man in dessen Konfiguration viel mehr falsch machen.

Grüße

mike69

@PFsense-User2019
Was hast Du nochmal für eine Anbindung? Dein neues Board sollte einiges wuppen können.
Ist zwar nur rumgestochere, eventuell hilft hier was weiter.

Edit:
Sehe gerade, die Frage hier kam vor der Entscheidung zur neuen Hardware. Ist das neue Board schon da?

PFsense User2019

Guten Morgen zusammen

Das Problem betrifft alle Geräte, die im Netzwerk sind. Lädt ein Gerät etwas mit Fullspeed herunter, dann kann kein Gerät im Netzwerk, was die Firewall als DNS nimmt, richtig surfen. Nur die Internen DNS Einträge können weiterhin fehlerfrei aufgelöst werden.

DNS Server: Ich habe 2 Stück in der Firewqall definiert.
1 DNS: 1.1.1.1
2 DNS: 1.0.0.1

Die Clients bekommen alle nur die Firewall als Eintrag.

Ich nutze aktuell eine 200/20 MBit/s Leitung.

Mein neues Mainboard, das A2SDi-4C-HLN4F, ist vorgestern angekommen und wurde von mir auch schon verbaut.

Was ich jetzt mal getestet habe ist, das ich anstatt des Resolvers mal den Forwarder genommen habe.
Ich habe den gleichen test gemacht und siehe da, das Problem tritt nicht mehr auf.

Die Antwortzeiten sind zwar auch hoch, jedoch kann ich wunderbar jede DNS Adresse auflösen wie ich möchte.
Das große Problem an dieser Lösung ist nun aber, das mein pfBlockerNG nicht mehr funktioniert und diesen will ich unbedingt haben.

Kann man am Resolver noch irgend etwas einstellen, das dieses Problem beseitigt? Oder kann man pfBlockerNG so einstellen, das er mit dem Forwarder funktioniert?

Grüße

Pfsense User2019

PFsense User2019

Guten Abend,

nach einiger Zeit rumprobieren habe ich glaube ich die Lösung gefunden

Ich habe nun folgende Einstellungen geändert:

Unter System --> Allgemeine Einstellungen habe ich nun folgenden Punkt aktiviert:

DNS-Server Überschreibung:
Erlauben, dass die DNS-Serverliste durch die via DHCP/PPP vom WAN vorgegebenen DNS-Server ersetzt wird.
Ist diese Option gesetzt, wird pfSense für sich selbst (einschliesslich DNS-Forwarder/DNS-Resolver) die DNS-Server benutzen, die via DHCP/PPP vom WAN vorgegeben werden. Diese werden jedoch nicht an DHCP-Clients vergeben.

Im Reiter Dienste --> DNS Auflösung habe ich dann noch folgendes aktiviert.

DNS Abfrage Weiterleitung
Weiterleitungsmodus aktivieren
Wenn diese Option angewählt ist werden alle DNS Anfragen zu den Upstream DNS Server geschickt, die unter System > General Setup konfiguriert oder die über DHCP/PPP auf WAN erhalten wurden (Wenn DNS Server überschreiben dort aktiviert ist).

Nun kann ich auch unter Fullspeed Downloads noch DNS Adressen fehlerfrei auflösen.

Ich verstehe jetzt aber nicht genau, was die Funktion macht.

Ich verstehe das so, das wenn ich eine IP Adresse samt DNS per DHCP Adresse auf dem WAN Interface bekomme, dann nimmt die Firewall diesen anstatt der von mir eingestellten DNS Server.

Ich habe auf dem WAN Interface aber kein DHCP, sondern ich habe dem Interface eine Feste IP Adresse gegeben.
Wenn ich über die Firewall DNS Adressen aufrufe scheint er immer noch die von mir eingetragenen DNS-Server zu nutzen.

Schönen Abend

Pfsense User2019

mike69

Moin @PFsense-User2019

Wenn Du unter "DNS-Server Überschreibung" den Haken setzt, nutzt Du die DNS Server deines ISP.

Der Haken unter "DNS Abfrage Weiterleitung" bedeutet: unbound löst nicht selber auf, sondern sendet die Abfrage weiter, wie bei Dir eingestellt an die DNS Server deines ISPs. Hier ist es gut erklärt.

Normalerweise sind die Haken bei beiden Einstellungen raus, damit der Resolver (unbound) auf der Sense für Dich auflöst, und zwar mit deinen eingetragenen DNS Server.

Da das bei Dir muckelt, liegt wahrscheinlich an Cloudflare, teste einfach mal andere DNS-Server, hier und hier sind einige. Mit denen unterbindest Du auch die eventuelle Zensur deines Providers.

Edit:
Lese gerade, WAN hat eine feste IP? Hast Du noch einen Router vor der Sense?

PFsense User2019

Hey

Ja, ich habe davor noch eine Fritz Box hängen, die mir das Internet aufbaut.
Dort habe ich den DNS Server auch schon auf die 1.1.1.1 und 1.0.0.1 gesetzt.

Die pfsense würde also die Fritz Box als DNS Forwarder nehmen?

Wenn dies so wäre, würde diese Konstellation doch passen, oder?
Ist zwar so nicht im sinne des Erfinders aber wenn es geht und keine Probleme verursacht

Sonst wüsste ich mir echt nicht mehr anders zu helfen

mike69

Dann sieht das alles ein bisschen anders aus. Nächstes mal ruhig deine Kette angeben, weiss ja keiner, wie Du dein System aufgebaut hast.

Nutze selbst ein Modem, darum kann ich Dir zu deiner Konstellation nicht weiterhelfen. Wenn es looft, lass es so.

mrsunfire

Mich würde das ja schon interessieren was das Problem ist. Und die ISP DNS Server, ob man die nutzen will, wenn man einen eigenen in den eigenen 4 Wänden stehen hat? Was ist denn wenn Du nur mit 100 MBit/s lädst? Mal einen iPerf Test von der pfSense zum Client gemacht und geschaut was durch die Ports geht? Nicht dass es doch ein Leistungsproblem ist und die pfSense die Grätsche macht.

PFsense User2019

@mrsunfire

Was genau das Problem ist, verstehe ich da auch nicht

Das Problem trat wirklich nur dann auf, wenn ich mit FullSpeed geladen habe.
Das Problem hat immer so ca. 1 Minute nach dem ich den Fullspeed Download laufen hatte angefangen.

Kleinere Downloads waren da nie ein Problem.

Das Board kann ich ausschließen, da ich ja ein neues stärkeres Board gekauft habe und der Fehler identisch, wie mit dem alten Board war. Das interessante ist ja auch, das die pfsense dabei kaum ausgelastet war. Ich habe auch über SSH drauf geschaut und die Auslastung beobachtet.

Zum Modem besteht eine Gigabit Netzwerkverbindung, die Netzwerkleistung habe ich.
Ich hatte eventuell noch eine Firewall Regel in verdacht gehabt, jedoch wenn es so wäre, dürfte es dann ja jetzt auch nicht gehen.

Ich habe mich mit der Lösung, auch wenn ich Sie nicht so Ideal finde, abgefunden. Jetzt läuft alles einwandfrei. Ich kann 80 GB Fullspeed Downloaden und weiterhin im Internet Surfen oder Youtube schauen. Keinerlei DNS Problematiken mehr.

Grüße

Pfsense User2019

JeGr

@PFsense-User2019 said in DNS Auflösung funktioniert nicht richtig bei großen Downloads:

Das Problem hat immer so ca. 1 Minute nach dem ich den Fullspeed Download laufen hatte angefangen.

Hört sich für mich eher nach sowas wie BufferBloat oder QoS Problem an. Puffer läuft bei max Download voll und - mutmaßlich - die FB vornedran bekommt den Kram nicht mehr gelutscht. Alternativ auch denkbar, ob der Provider Murks macht und DNS (absichtlich?) langsamer macht wenns nicht an ihn geht. Ist auf jeden Fall suspekt, dass bei Full-Downstream plötzlich kein DNS mehr gehen soll.

DNS-Server Überschreibung:

Den Haken würde ich wieder rausnehmen und testweise mal bspw. 1.1.1.1 und 1.0.0.1 als System-DNSe eintragen.

DNS Abfrage Weiterleitung

Das würde ich beim Resolver auch wieder rausnehmen und nochmal testen. Wenns dann bei FUll Down wieder einbricht, den Haken wieder rein -> dann würden alle DNS Queries nicht an die entsprechenden Server, sondern alle an 1.1.1.1/1.0.0.1 statt an deinen Provider DNS geschickt werden. Wenn DAS nämlich dann auch nicht geht, sondern NUR der Provider DNS wäre ich sehr skeptisch was da Phase ist.

Wenn es nur im Forwarding Mode geht, dann ggf. DNS over TLS aktivieren, dann wird auch 1.1.1.1 und 1.0.0.1 verwendet, aber wenigstens dann verschlüsselt mit DoT. Immer noch unschöner als echtes DNS Resolving aber immerhin etwas besser.

Die pfsense würde also die Fritz Box als DNS Forwarder nehmen?

Nein, das was per DHCP vom Provider übermittelt wird. Das sind meist die Provider DNSe.

Warum DAS nicht so toll ist, hat man vor einigen Tagen/Wochen wieder gemerkt, als an 1-2 Tagen bei Unitymedia eine Großstörung vorlag. Grund war -> die eigenen DNSe waren down und hatten einen Fehler, konnten dann nicht mehr für die Auflösung verwendet werden. Hatte an dem Tag völlig verwundert die Berichte angesehen, dass bei UM "nix mehr gehen würde, Scheißladen, blablabla" und mich gewundert, warum bei mir alles lief. Nachdem ich mit Telekomikern und anderen Spaßgesellen schon lustige Sachen mit DNS durchhabe wie
... "Wir schreiben einfach alles um und leiten die Leute auf unsere eigene tolle Suchseite!"
würde ich mir eher selbst nen DNS extern aufsetzen als die DNSe vom ISP zu nutzen.

Grüße

PFsense User2019

Hallo alle zusammen

Leider hat mich das Problem wieder eingeholt und ich verzweifel langsam
Ich habe wieder das Problem das ich bei großen Downloads keine richtig funktionierende DNS Auflösung habe.
Ich habe meine Hardware hier so ziemlich komplett erneuert in der Hoffnung, es geht nun alles besser und schneller, leider ohne erfolg.

Um alles besser zu veranschaulichen hier mal meine Konstellation:

  WAN / Internet
        :
        : Unitymedia Internet 200/20 MBit/s
        :
  .-----+-----.
  |  Gateway  |  FritzBox 6490 (Den Provider DNS habe ich Manuell auf 1.1.1.1 und 1.0.0.1 geändert
  '-----+-----'
        |
    WAN | Die PFsense hat eine Statische IP, diese wurde von mit selbst vergeben. Es existiert **kein** Exposed Host
        |
  .-----+-----.  priv. WLAN.------------.
  |  pfSense  +-------------+ WLAN Accespoint + VLAN WLAN |
  '-----+-----' 172.16.16.1 '------------'
        |
    LAN | 10.0.0.1/24
        |
  .-----+------.
  | LAN-Switch |
  '-----+------'
        |
...-----+------... (Clients/Servers/WLAN Accespoint)

Ich habe an der Fritz!Box keine WLANs mehr aktiv, das Ding macht nur noch Internet + Telefonie und DVB-C ins Netzwerk.

Ich habe folgenden 3 Tests gemacht:

Test 1

1. WLAN an der FrirzBox aktiviert und das Notebook am Gast WLAN der FritzBox angemeldet.
2. Ich habe eine 10 GB Testdatei von Hetzner per Download Manager Heruntergeladen. Speedtest Hetzner
3. Der Download liegt konstant bei 25 - 26 MB/s
4. DNS Auflösung über das Notebook gestartetund DNS anfragen aller art durchgeführt. DNS Server ist die FritzBox direkt.
5. Alle DNS Anfragen gehen sauber ins Internet und werden aufgelöst. Es dauert zwar auch ca. 1 - 2 Sekunden aber ich bekomme keine Fehler, höchstens mal und gaaaanz selten einen Time out.
6. Am Rechner hinter der PFsense geprüft ob die DNS Auflösung funktioniert. Leider bekomme ich hier eine Zeitüberschreitung bzw. teils korrekte und teils fehlerhafte Auflösungen.

WLAN an der FritzBox deaktiviert und den gleichen Test am Rechner hinter der Pfsense gemacht.
Dieser hängt mit 2 Netzwerkkarten am Netz. jeweils eine 1 GB Verbindung
(Beim Test wurde eine der beiden Netzwerkkarten am PC Deaktiviert) Es wurde nur mit einer getestet.)

Test 2

1. Ich habe eine 10 GB Testdatei von Hetzner per Download Manager Heruntergeladen. Speedtest Hetzner
2. Der Download liegt konstant bei 25 - 26 MB/s
3. DNS Auflösung am Rechner gestartet und DNS anfragen aller art durchgeführt. Der DNS Server ist die Pfsense
   DNS anfragen landen zu 80 % im Timeout bzw. fast alles was nicht im Cache der Pfsense liegt.
4. per SSH auf die PFsense aufgeschalten. NSLOOKUP auf der shell gestartet und das gleiche Probiert.

Interessanter weiße funktioniert hier die DNS Auflösung zu 90 % korrekt . Quasi gleiches Ergebnis wie das Notebook das am Gast WLAN der FritzBox angeschlossen war

Dieses Phänomen haben alle Geräte im LAN, mein W2k16 Server kann auch nicht richtig auflösen.

Test 3

Pfsense neu gestartet. um den DNS Cache zu leeren (Ich denke mal das der dadurch geleert wird?)

1. DNS Server des Client PCs auf 1.1.1.1 und 1.0.0.1 gesetzt
2. Firewall Regel eingerichtet das ich direkte DNS Anfragen ins Internet schicken darf
3. Ich habe eine 10 GB Testdatei von Hetzner per Download Manager Heruntergeladen. Speedtest Hetzner
4. Der Download liegt konstant bei 25 - 26 MB/s
5. DNS anfragen aller art durchgeführt (DNS ist nun direkt 1.1.1.1)

Alle DNS anfragen gehen Sauber und ohne irgend welche Probleme raus.
Die Auslösegeschwindigkeit ist gefühlt 4x schneller als über die Pfsense oder die FritzBox

6. am W2k16 Server angemeldet und dort NSLOOKUP gestartet (DNS Server ist hier die Pfsense)
   DNS Anfragen aller Art durchgeführt. Hier werden die Anfragen nicht richtig aufgelöst bzw. ich lande im Timeout.
   an meinem Client während dessen kein Problem.

Das Problem liegt also definitiv an der Pfsense. Ich weiß aber nicht warum

• Ich habe jetzt schon 4 DNS Server eingetragen, die 1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4
• Ich habe extra neue Server Hardware gekauft, sprich Leistung hat die Firewall genug
• Ich nutze pfBlockerNG, hatte bisher aber nie Probleme damit bzw. ich glaube nicht das es das ist.
• Ich habe extra einen Accespoint gekauft um diesen hinter die Firewall zu packen so das die FritzBox noch weniger zu tun hat.

Hat vielleicht irgend einer noch eine Idee? Was kann ich noch tun oder versuchen? Icb bin Ratlos
Andere Frage, wenn ihr den gleichen Test macht, funktioniert bei euch dann die DNS Auflösung korrekt?

Grüße

PFsense User2019

mike69

@PFsense-User2019 said in DNS Auflösung funktioniert nicht richtig bei großen Downloads:

Andere Frage, wenn ihr den gleichen Test macht, funktioniert bei euch dann die DNS Auflösung korrekt?

Ja.

Nutze aber eine Vigor 130 als Modem und die Fritze ist zur DECT Station degradiert, die klassische Config eben.
Versuche es mal in diese Richtung.