Immer wieder Ausfälle der DNS Auflösung
-
Hallo zusammen,
ich bin recht neu was das Thema pfSense betrifft, und möchte gerne lernen, was ich alles mit der Software machen kann. Dafür habe ich mir eine eigene kleine pfSense Firewall in einem 1HU Chassis gebaut und in meinem Heimnetz im Einsatz.
Es sieht bei uns wie folgt aus:
Unitymedia Connectbox -> pfSense Firewall -> Netzwerk
- Die pfSense bekommt die IP per DHCP von der Connectbox
- Alle Geräte im LAN haben als Gateway und DNS die IP der pfSense (10.0.0.1)
- Auf der pfSense betreibe ich den pfBlockerNG (Blocklisten: pfB_PRI1_v4, DNSBL_EasyList, DNSBL_ADs, DNSBL_Malicious)
Es funktioniert soweit alles gut. Die Installation hat kinderleicht funktioniert, ich habe mittlerweile rund 10 Stunden an Videotutorials und Kursen über YouTube intus, diverse Blogs und Anleitungen gelesen und fühle mich schon ganz okay im Umgang mit der pfSense. Es bleibt allerdings ein Problem:
In unregelmäßigen Abständen (mal alle 6-8 Stunden, mal 1-2x in der Stunde, usw.) kann ich von keinem PC, Notebook oder Smartphone eine Seite aufrufen. Die Browser melden dann, dass der Host nicht aufgelöst werden kann. Daraufhin checke ich die pfSense und sehe, dass der WAN Status aktiv ist und die Verbindung auch da ist, weiteres Kuriosum: Webradio welches über meinen Echo Dot spielt läuft weiter, und einige Programme die einen laufenden Upstream haben (habe z. B. einen Uploader für YouTube), verrichten ihre Arbeit auch einfach weiter. Diese Ausfälle dauern zwischen 30 Sekunden und (selten) 5 Minuten.
Um auszuschließen das ich den Fehler selber irgendwo eingebaut habe, habe ich auf einem Intel NUC kurzzeitig eine pfSense Installation vorgenommen: Das Verhalten ist exakt gleich. Ich habe eine Vermutung, und möchte wissen, ob ich damit richtig liegen könnte.
Ich habe vergessen, ein Riser-Kabel mitzubestellen, weshalb ich die zweite Netzwerkkarte nicht in Betrieb nehmen konnte. Um das kurzzeitig zu umgehen, habe ich eine USB-Netzwerkkarte angeschlossen. Ich habe öfter gelesen, dass es damit Probleme geben könnte. Was mich allerdings auch hier wieder stutzig macht: Warum laufen manche Streams einfach weiter, obwohl bei gut 90% der Geräte bei einem solchen Ausfall nichts mehr geht? Das spricht eigentlich gegen ein Problem mit der USB-Karte, oder? Nicht das ich doch einfach irgendwo etwas falsch konfiguriert habe. Die USB-Karte ist für den WAN Port zuständig.Könnte eine Log-Datei Aufschluss geben? Falls ja, in welcher sollte ich schauen? Tut mir leid wenn ich dumme Fragen stelle, aber das Thema ist für mich neu, und ich möchte es einfach lernen um mein Wissen zu erweitern :)
Viele Grüße!
-
Hi,
welche Version von pfSense und pfBlockerNG nutzt du? DNS Resolver oder Forwarder?
Bei den Logs ist auf jeden Fall mal folgendes interessant: System Logs > System > General / Gateways / DNS Resolver
Natürlich zu dem Zeitpunkt wenn das Problem auftritt. Darauf achten ob zu dem Zeitpunkt noch andere Dienste laufen, wie z.B. pfBlocker Update.
Wie ist sonst so die Auslastung des System?-Rico
-
Hallo Rico, danke für die schnelle Antwort!
/welche Version von pfSense und pfBlockerNG nutzt du?
2.4.5-RELEASE (amd64)
kompiliert am: Tue Mar 24 15:25:50 EDT 2020
FreeBSD 11.3-STABLEsowie
pfBlockerNG-devel 2.2.5_30
/DNS Resolver oder Forwarder?
DNS Resolver ist aktiviert mit DNSSEC, den Rest habe ich unverändert gelassen/Wie ist sonst so die Auslastung des System?
Quasi nicht vorhanden:
Die Logs schaue ich mir an, während der Ausfälle war mir nicht aufgefallen, dass irgendein Dienst sich eingeschaltet hat. Ich behalte auch das im Auge :)
-
Jetzt gerade war wieder ein kurzer Ausfall. Ich hoffe, dass ich in den richtigen Logs war (Status -> Systemprotokollierung -> System -> Allgemein/Gateways/DNS-Auflösung)
Das einzige was von der Uhrzeit her passt, ist folgender Eintrag unter "Allgemein":
May 3 18:01:23 nginx 2020/05/03 18:01:23 [error] 54847#100082: send() failed (54: Connection reset by peer)
Ansonsten ist nichts neues dazu gekommen. Der Ausfall dauerte ca. 30 Sekunden, die Browser meldeten jeweils ERR_NAME_NOT_RESOLVED
-
Im Gateway Log kein Alarm von dpinger? Das würde ich definitiv erwarten wenn es auf der WAN Seite ein Problem gibt.
Ist das LAN Interface zufällig eine Realtek NIC?
Was hast du ansonsten noch an Packages laufen? Ich würde an deiner Stelle mal mit einer vanilla pfSense testen ganz ohne Packages, nur um auszuschließen dass das Problem von da kommt.-Rico
-
Im Gateway Log kein Alarm von dpinger? Das würde ich definitiv erwarten wenn es auf der WAN Seite ein Problem gibt.
Die Einträge passen nicht zur Uhrzeit, es gibt ein paar solcher:
May 3 01:21:44 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.0.1 bind_addr 192.168.0.208 identifier "WAN_DHCP "
Ist das LAN Interface zufällig eine Realtek NIC?
Ja, Realtek RTL8111GR (https://www.realtek.com/en/products/communications-network-ics/item/rtl8111g). Es handelt sich um folgendes Board:
https://www.asrock.com/mb/Intel/J3355B-ITX/Was hast du ansonsten noch an Packages laufen?
Ich würde an deiner Stelle mal mit einer vanilla pfSense testen ganz ohne Packages, nur um auszuschließen dass das Problem von da kommt.
Das hatte ich probiert, mit dem Intel NUC. Da war alles identisch, auch da war die USB netzwerkkarte dabei, weshalb ich sie im Verdacht habe
-
Gerade wieder einen Ausfall gehabt, steht nichts im Log :( Dieses mal haben die Browser ERR_CONNECTION_TIMED_OUT gemeldet :/
-
Ah das mit Intel NUC Test hatte ich überlesen.
Dann bleibt ja eigentlich nur die USB NIC als Grund / gemeinsamer Nenner.
Ein generelles pfSense Problem kann es nicht sein, da wäre hier im Forum die Hölle los. ;-)-Rico
-
Ok, irgendwie beruhigend zu wissen :D Du fragtest explizit nach der Realtek-Karte, muss ich da auch irgendwas wissen?
-
Realtek Karten sind generell nicht so das wahre und der Treiber Support unter FreeBSD...naja. :-)
Schau mal hier https://forum.netgate.com/topic/135850/official-realtek-driver-binary-1-95-for-2-4-4-release-Rico
-
Ok, danke. Aber wenn ich den Kontext richtig verstehe, dann soll man froh sein wenn sie läuft, und dann nirgendwo rumfummeln :)
Und dann sind wir auch schon beim Thema, mein Riser-Kabel ist leider noch nicht da, aber ich habe seit gestern keinen einzigen Ausfall mehr gehabt. Erklären kann ich das nicht, weil ich das System auch habe einfach laufen lassen - aber es freut mich :) -
Hast du beim DNS Resolver das „ Register DHCP leases in the DNS Resolver“ eingeschaltet? Das sorgt bei jedem DHCP Lease für eine restart von Unbound.
-
Gibt es einen Grund, warum du pfBlockerNG in der Dev Vesion einsetzt und nicht in der stabel?
Netgate 6100 & Netgate 2100
-
@renegade said in Immer wieder Ausfälle der DNS Auflösung:
Hast du beim DNS Resolver das „ Register DHCP leases in the DNS Resolver“ eingeschaltet? Das sorgt bei jedem DHCP Lease für eine restart von Unbound.
Hi, nein das ist aus :)
@NOCling said in Immer wieder Ausfälle der DNS Auflösung:
Gibt es einen Grund, warum du pfBlockerNG in der Dev Vesion einsetzt und nicht in der stabel?
Nein, mir ist das bislang auch noch nicht aufgefallen, dass ich da die falsche Version nehme. Tragisch für ein Heimnetz?
-
Naja, Entwicklerversionen können die einen oder andere Macke haben, die sich bei einem Listen Update dann z.B. in einem Hänger darstellt, die in der Stabel noch nicht oder nicht mehr enthalten ist.
Versuche doch mal die Stabel wenn du Problem mit der Entwickler Version hast.
Oder Schmeiße das Debug an und liefere den Entwicklern hinweise was zu einer Lösung beitragen könnte.
-
Ja gern, nur wie gesagt, seit jetzt drei Tagen sind alle Probleme einfach wie vom Erdboden verschwunden :) Aktuell bin ich sehr happy, und hoffe, dass ich am Wochenende endlich dazu komme, die richtige Netzwerkkarte einzubauen.
-
@NOCling said in Immer wieder Ausfälle der DNS Auflösung:
Gibt es einen Grund, warum du pfBlockerNG in der Dev Vesion einsetzt und nicht in der stabel?
JA weil es empfohlen wird und die Stable inzwischen ziemlich veraltet, die Devel aber noch nicht aktuell genug ist die stable abzulösen. Da ist leider der Entwickler dran "schuld" bzw. ist seine Entwicklungsweise. Ich hätte bspw. schon länger einen Cut gemacht und devel zu stable gemacht und dann weitergebaut aber er hat da eine andere Roadmap.
Langer Rede kurzer Sinn: pfBNG als devel einsetzen weil besser. Punkt :)
-
Auch gut, also unbewusst alles richtig gemacht :D
Möchte mich auch ansonsten nochmal für die Hilfe bedanken, bislang macht pfSense genau was es soll, und für meinen ersten eigenen Build ist das Ergebnis gar nicht so schlecht geworden, finde ich :)
-
Sieht nach einem schönen Build aus :)
Für die Zukunft würde ich ein Board wählen, welches weniger Overhead hat (du brauchst für pfSense ja keinen SoundChip etc.) aber ansonsten - schöner Einstieg :)
Empfehlung für später mal: Ein Brett mit bspw. einem Atom C3000 Abkömmling (weil Fokus auf Netzwerk statt auf Desktop) - evtl. sogar mit ner Konsole wie IPMI o.ä. - macht das Leben sehr viel angenehmer ;)
-
@JeGr said in Immer wieder Ausfälle der DNS Auflösung:
Für die Zukunft würde ich ein Board wählen, welches weniger Overhead hat (du brauchst für pfSense ja keinen SoundChip etc.) aber ansonsten - schöner Einstieg :)
Danke :) Und ja, du hast durchaus Recht, aber mein Großhändler hatte nicht viel anderes passendes da. Und da ich Erfahrung sammeln will, so schnell wie möglich auf dem Gebiet und wie es meine Lernkurve zulässt, musste da ein kleiner Kompromiss her. Das Gehäuse selber ist auch für C232 Chipsätze ausgelegt, also konnte ich die Connectoren gar nicht bedienen etc., es ist also ein kleines bisschen ein Behelfs-Build. Die nächsten Geräte werden dann in allem effizienter, IPMI ist definitiv auch eine Überlegung wert. Muss jetzt noch schauen, wie die pfSense arbeitet und funktioniert, ehe ich dann auch für meine Kunden die Geräte anbieten kann um etwas mehr Sicherheit ins Netz zu bringen. Habe vorwiegend kleine bis mittlere Unternehmen, die ich langsam davon überzeuge mal auf mehr als ihre FritzBox oder den Speedport zu vertrauen. Und am besten lernt man, wenn man selber anfängt mit den Sachen zu arbeiten, die man dann später auch entsprechend anbieten möchte :)
Bislang ist wie gesagt alles perfekt, die Standardeinstellungen sind ja schon mal eine gute Basis. Jetzt bin ich gespannt, Ende des Monats hält Gigabit-WAN Einzug, mal schauen ob die Kiste das dann auch packt :) Macht jedenfalls Freude, und das Internet ist durch den Einsatz diverser Filterlisten nicht nur angenehmer geworden was Werbung betrifft, sondern auf manchen Seiten auch merklich flotter. Alles weitere eigne ich mir gerade Stück für Stück an, man findet durchaus brauchbares auf YouTube, teils sogar auf deutsch.
