Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS Auflösung funktioniert nicht richtig bei großen Downloads

    Scheduled Pinned Locked Moved Deutsch
    16 Posts 5 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • mike69M
      mike69 Rebel Alliance
      last edited by mike69

      @PFsense-User2019
      Was hast Du nochmal für eine Anbindung? Dein neues Board sollte einiges wuppen können.
      Ist zwar nur rumgestochere, eventuell hilft hier was weiter.

      Edit:
      Sehe gerade, die Frage hier kam vor der Entscheidung zur neuen Hardware. Ist das neue Board schon da?

      DG FTTH 400/200
      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

      1 Reply Last reply Reply Quote 0
      • P
        PFsense User2019
        last edited by PFsense User2019

        Guten Morgen zusammen ☺

        Das Problem betrifft alle Geräte, die im Netzwerk sind. Lädt ein Gerät etwas mit Fullspeed herunter, dann kann kein Gerät im Netzwerk, was die Firewall als DNS nimmt, richtig surfen. Nur die Internen DNS Einträge können weiterhin fehlerfrei aufgelöst werden.

        DNS Server: Ich habe 2 Stück in der Firewqall definiert.
        1 DNS: 1.1.1.1
        2 DNS: 1.0.0.1

        Die Clients bekommen alle nur die Firewall als Eintrag.

        Ich nutze aktuell eine 200/20 MBit/s Leitung.

        Mein neues Mainboard, das A2SDi-4C-HLN4F, ist vorgestern angekommen und wurde von mir auch schon verbaut.

        Was ich jetzt mal getestet habe ist, das ich anstatt des Resolvers mal den Forwarder genommen habe.
        Ich habe den gleichen test gemacht und siehe da, das Problem tritt nicht mehr auf.

        Die Antwortzeiten sind zwar auch hoch, jedoch kann ich wunderbar jede DNS Adresse auflösen wie ich möchte.
        Das große Problem an dieser Lösung ist nun aber, das mein pfBlockerNG nicht mehr funktioniert😥 und diesen will ich unbedingt haben.

        Kann man am Resolver noch irgend etwas einstellen, das dieses Problem beseitigt? Oder kann man pfBlockerNG so einstellen, das er mit dem Forwarder funktioniert?

        Grüße

        Pfsense User2019

        1 Reply Last reply Reply Quote 0
        • P
          PFsense User2019
          last edited by

          Guten Abend,

          nach einiger Zeit rumprobieren habe ich glaube ich die Lösung gefunden 🙂

          Ich habe nun folgende Einstellungen geändert:

          Unter System --> Allgemeine Einstellungen habe ich nun folgenden Punkt aktiviert:

          DNS-Server Überschreibung:
Erlauben, dass die DNS-Serverliste durch die via DHCP/PPP vom WAN vorgegebenen DNS-Server ersetzt wird.
Ist diese Option gesetzt, wird pfSense für sich selbst (einschliesslich DNS-Forwarder/DNS-Resolver) die DNS-Server benutzen, die via DHCP/PPP vom WAN vorgegeben werden. Diese werden jedoch nicht an DHCP-Clients vergeben.

          Im Reiter Dienste --> DNS Auflösung habe ich dann noch folgendes aktiviert.

          DNS Abfrage Weiterleitung
Weiterleitungsmodus aktivieren
Wenn diese Option angewählt ist werden alle DNS Anfragen zu den Upstream DNS Server geschickt, die unter System > General Setup konfiguriert oder die über DHCP/PPP auf WAN erhalten wurden (Wenn DNS Server überschreiben dort aktiviert ist).

          Nun kann ich auch unter Fullspeed Downloads noch DNS Adressen fehlerfrei auflösen.

          Ich verstehe jetzt aber nicht genau, was die Funktion macht. 🤔

          Ich verstehe das so, das wenn ich eine IP Adresse samt DNS per DHCP Adresse auf dem WAN Interface bekomme, dann nimmt die Firewall diesen anstatt der von mir eingestellten DNS Server.

          Ich habe auf dem WAN Interface aber kein DHCP, sondern ich habe dem Interface eine Feste IP Adresse gegeben.
          Wenn ich über die Firewall DNS Adressen aufrufe scheint er immer noch die von mir eingetragenen DNS-Server zu nutzen.

          Schönen Abend

          Pfsense User2019

          mike69M 1 Reply Last reply Reply Quote 0
          • mike69M
            mike69 Rebel Alliance @PFsense User2019
            last edited by mike69

            Moin @PFsense-User2019

            Wenn Du unter "DNS-Server Überschreibung" den Haken setzt, nutzt Du die DNS Server deines ISP.

            Der Haken unter "DNS Abfrage Weiterleitung" bedeutet: unbound löst nicht selber auf, sondern sendet die Abfrage weiter, wie bei Dir eingestellt an die DNS Server deines ISPs. Hier ist es gut erklärt.

            Normalerweise sind die Haken bei beiden Einstellungen raus, damit der Resolver (unbound) auf der Sense für Dich auflöst, und zwar mit deinen eingetragenen DNS Server.

            Da das bei Dir muckelt, liegt wahrscheinlich an Cloudflare, teste einfach mal andere DNS-Server, hier und hier sind einige. Mit denen unterbindest Du auch die eventuelle Zensur deines Providers.

            Edit:
            Lese gerade, WAN hat eine feste IP? Hast Du noch einen Router vor der Sense?

            DG FTTH 400/200
            Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

            1 Reply Last reply Reply Quote 0
            • P
              PFsense User2019
              last edited by PFsense User2019

              Hey ☺

              Ja, ich habe davor noch eine Fritz Box hängen, die mir das Internet aufbaut.
              Dort habe ich den DNS Server auch schon auf die 1.1.1.1 und 1.0.0.1 gesetzt.

              Die pfsense würde also die Fritz Box als DNS Forwarder nehmen?

              Wenn dies so wäre, würde diese Konstellation doch passen, oder?
              Ist zwar so nicht im sinne des Erfinders aber wenn es geht und keine Probleme verursacht 🤔

              Sonst wüsste ich mir echt nicht mehr anders zu helfen😌

              1 Reply Last reply Reply Quote 0
              • mike69M
                mike69 Rebel Alliance
                last edited by

                Dann sieht das alles ein bisschen anders aus. Nächstes mal ruhig deine Kette angeben, weiss ja keiner, wie Du dein System aufgebaut hast. ☺

                Nutze selbst ein Modem, darum kann ich Dir zu deiner Konstellation nicht weiterhelfen. Wenn es looft, lass es so.

                DG FTTH 400/200
                Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                1 Reply Last reply Reply Quote 0
                • M
                  mrsunfire
                  last edited by

                  Mich würde das ja schon interessieren was das Problem ist. Und die ISP DNS Server, ob man die nutzen will, wenn man einen eigenen in den eigenen 4 Wänden stehen hat? Was ist denn wenn Du nur mit 100 MBit/s lädst? Mal einen iPerf Test von der pfSense zum Client gemacht und geschaut was durch die Ports geht? Nicht dass es doch ein Leistungsproblem ist und die pfSense die Grätsche macht.

                  Netgate 6100 MAX

                  P 1 Reply Last reply Reply Quote 0
                  • P
                    PFsense User2019 @mrsunfire
                    last edited by

                    @mrsunfire

                    Was genau das Problem ist, verstehe ich da auch nicht 🤔

                    Das Problem trat wirklich nur dann auf, wenn ich mit FullSpeed geladen habe.
                    Das Problem hat immer so ca. 1 Minute nach dem ich den Fullspeed Download laufen hatte angefangen.

                    Kleinere Downloads waren da nie ein Problem.

                    Das Board kann ich ausschließen, da ich ja ein neues stärkeres Board gekauft habe und der Fehler identisch, wie mit dem alten Board war. Das interessante ist ja auch, das die pfsense dabei kaum ausgelastet war. Ich habe auch über SSH drauf geschaut und die Auslastung beobachtet.

                    Zum Modem besteht eine Gigabit Netzwerkverbindung, die Netzwerkleistung habe ich.
                    Ich hatte eventuell noch eine Firewall Regel in verdacht gehabt, jedoch wenn es so wäre, dürfte es dann ja jetzt auch nicht gehen.

                    Ich habe mich mit der Lösung, auch wenn ich Sie nicht so Ideal finde, abgefunden. Jetzt läuft alles einwandfrei. Ich kann 80 GB Fullspeed Downloaden und weiterhin im Internet Surfen oder Youtube schauen. Keinerlei DNS Problematiken mehr.

                    Grüße

                    Pfsense User2019

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      @PFsense-User2019 said in DNS Auflösung funktioniert nicht richtig bei großen Downloads:

                      Das Problem hat immer so ca. 1 Minute nach dem ich den Fullspeed Download laufen hatte angefangen.

                      Hört sich für mich eher nach sowas wie BufferBloat oder QoS Problem an. Puffer läuft bei max Download voll und - mutmaßlich - die FB vornedran bekommt den Kram nicht mehr gelutscht. Alternativ auch denkbar, ob der Provider Murks macht und DNS (absichtlich?) langsamer macht wenns nicht an ihn geht. Ist auf jeden Fall suspekt, dass bei Full-Downstream plötzlich kein DNS mehr gehen soll.

                      DNS-Server Überschreibung:

                      Den Haken würde ich wieder rausnehmen und testweise mal bspw. 1.1.1.1 und 1.0.0.1 als System-DNSe eintragen.

                      DNS Abfrage Weiterleitung

                      Das würde ich beim Resolver auch wieder rausnehmen und nochmal testen. Wenns dann bei FUll Down wieder einbricht, den Haken wieder rein -> dann würden alle DNS Queries nicht an die entsprechenden Server, sondern alle an 1.1.1.1/1.0.0.1 statt an deinen Provider DNS geschickt werden. Wenn DAS nämlich dann auch nicht geht, sondern NUR der Provider DNS wäre ich sehr skeptisch was da Phase ist.

                      Wenn es nur im Forwarding Mode geht, dann ggf. DNS over TLS aktivieren, dann wird auch 1.1.1.1 und 1.0.0.1 verwendet, aber wenigstens dann verschlüsselt mit DoT. Immer noch unschöner als echtes DNS Resolving aber immerhin etwas besser.

                      Die pfsense würde also die Fritz Box als DNS Forwarder nehmen?

                      Nein, das was per DHCP vom Provider übermittelt wird. Das sind meist die Provider DNSe.

                      Warum DAS nicht so toll ist, hat man vor einigen Tagen/Wochen wieder gemerkt, als an 1-2 Tagen bei Unitymedia eine Großstörung vorlag. Grund war -> die eigenen DNSe waren down und hatten einen Fehler, konnten dann nicht mehr für die Auflösung verwendet werden. Hatte an dem Tag völlig verwundert die Berichte angesehen, dass bei UM "nix mehr gehen würde, Scheißladen, blablabla" und mich gewundert, warum bei mir alles lief. Nachdem ich mit Telekomikern und anderen Spaßgesellen schon lustige Sachen mit DNS durchhabe wie
                      ... "Wir schreiben einfach alles um und leiten die Leute auf unsere eigene tolle Suchseite!"
                      würde ich mir eher selbst nen DNS extern aufsetzen als die DNSe vom ISP zu nutzen.

                      Grüße

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • P
                        PFsense User2019
                        last edited by

                        Hallo alle zusammen ☺

                        Leider hat mich das Problem wieder eingeholt und ich verzweifel langsam 😢
                        Ich habe wieder das Problem das ich bei großen Downloads keine richtig funktionierende DNS Auflösung habe.
                        Ich habe meine Hardware hier so ziemlich komplett erneuert in der Hoffnung, es geht nun alles besser und schneller, leider ohne erfolg.

                        Um alles besser zu veranschaulichen hier mal meine Konstellation:

                          WAN / Internet
        :
        : Unitymedia Internet 200/20 MBit/s
        :
  .-----+-----.
  |  Gateway  |  FritzBox 6490 (Den Provider DNS habe ich Manuell auf 1.1.1.1 und 1.0.0.1 geändert
  '-----+-----'
        |
    WAN | Die PFsense hat eine Statische IP, diese wurde von mit selbst vergeben. Es existiert **kein** Exposed Host
        |
  .-----+-----.  priv. WLAN.------------.
  |  pfSense  +-------------+ WLAN Accespoint + VLAN WLAN |
  '-----+-----' 172.16.16.1 '------------'
        |
    LAN | 10.0.0.1/24
        |
  .-----+------.
  | LAN-Switch |
  '-----+------'
        |
...-----+------... (Clients/Servers/WLAN Accespoint)

                        Ich habe an der Fritz!Box keine WLANs mehr aktiv, das Ding macht nur noch Internet + Telefonie und DVB-C ins Netzwerk.

                        Ich habe folgenden 3 Tests gemacht:

                        Test 1

                        1. WLAN an der FrirzBox aktiviert und das Notebook am Gast WLAN der FritzBox angemeldet.
                        2. Ich habe eine 10 GB Testdatei von Hetzner per Download Manager Heruntergeladen. Speedtest Hetzner
                        3. Der Download liegt konstant bei 25 - 26 MB/s
                        4. DNS Auflösung über das Notebook gestartetund DNS anfragen aller art durchgeführt. DNS Server ist die FritzBox direkt.
                        5. Alle DNS Anfragen gehen sauber ins Internet und werden aufgelöst. Es dauert zwar auch ca. 1 - 2 Sekunden aber ich bekomme keine Fehler, höchstens mal und gaaaanz selten einen Time out.
                        6. Am Rechner hinter der PFsense geprüft ob die DNS Auflösung funktioniert. Leider bekomme ich hier eine Zeitüberschreitung bzw. teils korrekte und teils fehlerhafte Auflösungen.

                        WLAN an der FritzBox deaktiviert und den gleichen Test am Rechner hinter der Pfsense gemacht.
                        Dieser hängt mit 2 Netzwerkkarten am Netz. jeweils eine 1 GB Verbindung
                        (Beim Test wurde eine der beiden Netzwerkkarten am PC Deaktiviert) Es wurde nur mit einer getestet.)

                        Test 2

                        1. Ich habe eine 10 GB Testdatei von Hetzner per Download Manager Heruntergeladen. Speedtest Hetzner
                        2. Der Download liegt konstant bei 25 - 26 MB/s
                        3. DNS Auflösung am Rechner gestartet und DNS anfragen aller art durchgeführt. Der DNS Server ist die Pfsense
                          DNS anfragen landen zu 80 % im Timeout bzw. fast alles was nicht im Cache der Pfsense liegt.
                        4. per SSH auf die PFsense aufgeschalten. NSLOOKUP auf der shell gestartet und das gleiche Probiert.

                        Interessanter weiße funktioniert hier die DNS Auflösung zu 90 % korrekt 😨 . Quasi gleiches Ergebnis wie das Notebook das am Gast WLAN der FritzBox angeschlossen war 🤔

                        Dieses Phänomen haben alle Geräte im LAN, mein W2k16 Server kann auch nicht richtig auflösen.

                        Test 3

                        Pfsense neu gestartet. um den DNS Cache zu leeren (Ich denke mal das der dadurch geleert wird?)

                        1. DNS Server des Client PCs auf 1.1.1.1 und 1.0.0.1 gesetzt
                        2. Firewall Regel eingerichtet das ich direkte DNS Anfragen ins Internet schicken darf
                        3. Ich habe eine 10 GB Testdatei von Hetzner per Download Manager Heruntergeladen. Speedtest Hetzner
                        4. Der Download liegt konstant bei 25 - 26 MB/s
                        5. DNS anfragen aller art durchgeführt (DNS ist nun direkt 1.1.1.1)

                        Alle DNS anfragen gehen Sauber und ohne irgend welche Probleme raus.
                        Die Auslösegeschwindigkeit ist gefühlt 4x schneller als über die Pfsense oder die FritzBox 😱

                        1. am W2k16 Server angemeldet und dort NSLOOKUP gestartet (DNS Server ist hier die Pfsense)
                          DNS Anfragen aller Art durchgeführt. Hier werden die Anfragen nicht richtig aufgelöst bzw. ich lande im Timeout.
                          an meinem Client während dessen kein Problem.

                        Das Problem liegt also definitiv an der Pfsense. Ich weiß aber nicht warum 😭

                        • Ich habe jetzt schon 4 DNS Server eingetragen, die 1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4
                        • Ich habe extra neue Server Hardware gekauft, sprich Leistung hat die Firewall genug
                        • Ich nutze pfBlockerNG, hatte bisher aber nie Probleme damit bzw. ich glaube nicht das es das ist.
                        • Ich habe extra einen Accespoint gekauft um diesen hinter die Firewall zu packen so das die FritzBox noch weniger zu tun hat.

                        Hat vielleicht irgend einer noch eine Idee? Was kann ich noch tun oder versuchen? Icb bin Ratlos😧
                        Andere Frage, wenn ihr den gleichen Test macht, funktioniert bei euch dann die DNS Auflösung korrekt?

                        Grüße

                        PFsense User2019

                        mike69M 1 Reply Last reply Reply Quote 0
                        • mike69M
                          mike69 Rebel Alliance @PFsense User2019
                          last edited by

                          @PFsense-User2019 said in DNS Auflösung funktioniert nicht richtig bei großen Downloads:

                          Andere Frage, wenn ihr den gleichen Test macht, funktioniert bei euch dann die DNS Auflösung korrekt?

                          Ja.

                          Nutze aber eine Vigor 130 als Modem und die Fritze ist zur DECT Station degradiert, die klassische Config eben.
                          Versuche es mal in diese Richtung.

                          DG FTTH 400/200
                          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.