SMTP eMail Versand nur sporadisch möglich
-
Problem bei der Namensauflösung?
-Rico
-
@rico Beim "Surfen" via Webbrowser muss ich auch immer wieder die F5-Taste drücken, bis z.Bsp. Google, oder andere Domains geöffnet werden können. An dass hab ich mich fast schon gewöhnt.
Wo kann ich da ansetzen? -
@vantage09 An dem was Rico sagt. DNS. Das stinkt gehörig nach DNS. Was bekommen die Clients als DNS zugewiesen? Nur die Sense? Wie ist der DNS Resolver konfiguriert? Sowas unsinniges angehakt wie "alle DHCP Clients im DNS bekannt machen"? Bitte mal posten :)
-
@jegr Die Clients bekommen nur pfSense zugewiesen, also 192.168.1.1 .
DNS Resolver:
-
Ich würde testweise mal pfBlockerNG deaktivieren.
-Rico
-
@rico OK, werde ich machen und dann testen. Danke für den Tipp!
-
Habe pfBlockerNG deaktiviert und die pfSense neu gebootet. Das Problem besteht leider weiterhin.
-
@vantage09
Deaktiviere auch DNSBL. Der gehört zwar zum pfBlockerNG, läuft aber weiter, wenn du diesen deaktivierst. Und eben dieser könnte der Übeltäter sein. -
Genau was virago sagt.
Ansonsten mal auf dem Client mehrfach versuchen mit einem nslookup eine Domain abzufragen, die du noch nicht aufgelöst hast. Vielleicht test.de oder sowas. Ich vermute, dass dann erst ein zwei mal Timeouts oder es lange dauert und dann erst eine Auflösung erfolgt. Wenn die Clients nur pfSense haben als DNS und nur die antwortet und das sporadisch, dann auch mal unter
Diagnostics / DNS Lookup
mehrfach verschiedene Domains testen. Eventuell hat die Sense auch DNS Server zugewiesen bekommen übers WAN die quatsch machen und nicht sauber auflösen. Oder im Gegenteil, nur die DNS Server extern funktionieren und der DNS Resolver geht aus irgendeinem Grund nicht so dass sie erst den Fallback auf die anderen DNS Server (.17 und .16 in deinem Shot) machen muss nach nem Timeout.
Aktuell würde ich aber erstmal alle DIenste wie pfBlocker, die in DNS reingrätschen abschalten und dann testen.
-
@jegr pfBlockerNG und auch DNSBL ist abgeschalten. Hab die Firewall neu gestartet, Problem besteht weiterhin.
Habe auf einem Client nslookup gestartet:
--> test.de z.Bsp. funktionierte sofort. Bei google.at benötigte ich 3 Versuche, bis es ohne Time Out klappte.
-
Das mal bitte durcharbeiten: https://docs.netgate.com/pfsense/en/latest/troubleshooting/dns.html
-Rico
-
@vantage09 said in SMTP eMail Versand nur sporadisch möglich:
--> test.de z.Bsp. funktionierte sofort. Bei google.at benötigte ich 3 Versuche, bis es ohne Time Out klappte.
@rico said in SMTP eMail Versand nur sporadisch möglich:
Das mal bitte durcharbeiten: https://docs.netgate.com/pfsense/en/latest/troubleshooting/dns.html
Jup, das. Dein Screenshot zeigt definitiv ein DNS Problem in deinem Setup. Wo genau das herkommt, ist dann zu klären, aber das hat sonst nichts mit Regeln oder whatever zu tun, sondern es ist schlicht DNS schuld. Ohne DNS kannst du dich dusselig senden - die Mail geht nirgends hin
-
@jegr Danke nochmals für den Tipp. Dann werd ich das heute mal durcharbeiten :-) !
-
Hab die Anleitung abgearbeitet.
Fazit:
- ISP Gateway IP kann ich weder von der pfSense noch dem Client aus anpingen (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
- beide DNS Server vom ISP kann ich nicht anpingen, weder von pfSense noch Client (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
- anpingen von 8.8.8.8 und 8.8.4.4 ist möglich, von pfSense und Client
- google.com ist ebenso anpingbar via pfSense und Client
- Bogon Updates haben geklappt
- wenn ich meinen Client direkt ohne pfSense an den Router hänge, kann ich eMails
versenden sowie jegliche Domain öffnen - bei den Clients ist als DNS Server via DHCP die IP der pfSense eingestellt
Kann man daraus etwas schließen? Danke.
-
@vantage09 said in SMTP eMail Versand nur sporadisch möglich:
Hab die Anleitung abgearbeitet.
Fazit:
- ISP Gateway IP kann ich weder von der pfSense noch dem Client aus anpingen (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
DSL? (Telekom?) Da ist der next-hop meisten (>90%) nicht pingbar. Das ist schon fast normal.
- beide DNS Server vom ISP kann ich nicht anpingen, weder von pfSense noch Client (kann ich aber auch nicht anpingen, wenn ich mit meinem Client direkt am Router hänge)
Das ist schon seltsamer. Das müsste gehen, es sei denn der ISP hat komische DNSe.
- anpingen von 8.8.8.8 und 8.8.4.4 ist möglich, von pfSense und Client
- google.com ist ebenso anpingbar via pfSense und Client
- Bogon Updates haben geklappt
gut!
- wenn ich meinen Client direkt ohne pfSense an den Router hänge, kann ich eMails
versenden sowie jegliche Domain öffnen - bei den Clients ist als DNS Server via DHCP die IP der pfSense eingestellt
Kann man daraus etwas schließen? Danke.
Hast du die beiden DNSe die bei dir in System General eingetragen sind (sind das die Provider DNSe die nicht pingbar sind?) mal getestet? Via Diagnostic / DNS Lookup? Reagieren die überhaupt gescheit?
Versuche mal den Test, den du am Client gemacht hattest und der Timeouts zur Folge hatte auf der Sense unter Diagnostics und schau nach, welcher/ob einer der angegebenen DNSe dann Aussetzer hat. Müsste bei dir 2x die IPs sein von System General und einmal 127.0.0.1 - also der Resolver selbst.
Wenn der Resolver timeouts bringt, dann schau in die Logs oder erhöhe in den Settings des Resolvers das Loglevel ob man was sieht. Entweder haben deine eingetragenen DNSe Timeouts oder der unbound (DNS Resolver) wirft welche. Könnte jetzt sein, dass die IP die du beim ISP bekommst aus irgendeinem Grund für manche externe DNSs auf ner Blocklist steht. Dann würde das Problem verschwinden, wenn du den Forwarding Mode im DNS Resolver anmachst und alles über andere Server abfragst. Will man eigentlich nicht, gibt aber manchmal keine andere saubere Lösung, wenn der IP Space oder die IP die man hat "verseucht" ist.
-
@jegr zu deinen Fragen:
(1) DNSe habe ich beide in "System Generel" eingetragen, jene, die nicht pingbar sind.
Mit Diagnostic -> DNS Lookup erhalte ich folgende Meldung:
UND
An der pfSense habe ich probiert via Diagnostics -> Ping:
UND
UND
--> Der Resolver hat keinen Timout, lediglich die beiden DNSe.
Den letzten Absatz deiner Antwort, soll ich dies nun auch probieren oder wäre das nur, wenn der Resolver ein Timeout hätte?
Danke dir.
-
@vantage09 Du prüfst in der DNS Diagnose eine IP - das macht da wenig Sinn. Aber trotzdem ist schon auffällig das dein Resolver beim ersten Run über eine Sekunde zum Antworten braucht. Das ist heftig lange. Die beiden DNSe nur ~20ms
In der zweiten Runde dann logisch 0 - denn er cached.Das müsstest du mal mit mehreren Domains durchspielen, genau die, bei denen du auch das Problem hattest, dass du mehrfach reloaden musst. Für mich sieht das nach einem seltsamen Lag im Resolver aus. Warum müsste man dann näher debuggen oder ihn einfach auf Forwarding schalten und testen, aber der Resolver sollte nicht SO lange brauchen für eine Antwort. Das ist seltsam. Kann aber jetzt natürlich auch nur die doofe IP gewesen sein, weil er nen Reverse Lookup machen muss und der Server ggf. langsam ist.
-
@jegr Was ich mich Frage, wenn ich meinen Client direkt am Router - also ohne pfSense - laufen habe, dann kann ich problemlos eMails versenden bzw. jede Domain ohne Probleme öffnen.
Mir ist noch nicht klar, wo ich da jetzt ansetzen kann, um das Problem zu lösen. Ich hab wie du geschrieben hast, auch mehrere Domains durchgespielt, bei welchen ich Probleme hatte. Bei den ersten ein zweimal dauert es lange, dann ging´s schnell.
-
Sind die DNS Server vom Provider?
Oder hast du hier selber welche eingetragen weil die zugewiesenen nicht funktionieren?
Welche kommst du über WAN?Ich kann die ich vom Provider (Ex Unitymedia)per DHCP erhalten auch nicht per ICMP erreichen, aber die lösen alles sauber auf, IPv4 und IPv6.
Als GW Monitoring verwende ich daher die Cloudflare DNS Server.
Hast du in der erweiterten Einstellungen vom Resolver was verbrochen?
z.B. "Strict Query Name Minimization" aktiviert? -
@nocling
Ja, die DNS Server sind vom Provider. Diese erhalte ich auch von der WAN und habe diese dann auch händisch eingetragen.Hier meine DNS Resolver Einstellungen:
Bin um jede Unterstützung dankbar, da ich das Teil nun wirklich mal zum Laufen bringen möchte ....
