Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dynamic DNS aktualisiert nicht mehr

    Deutsch
    5
    15
    1.5k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      viragomann @Jensano
      last edited by

      @jensano
      Das eigentliche Problem scheint gleich in der ersten, also chronologisch in der letzten Zeile zu stehen: freedns.afraid.org kann nicht aufgelöst werden.

      Warum? Hast du auch DNSBL aktiv?

      DNSBL hat auch eine "Custom Domain Whitelist". Wenn das bei dir läuft, kannst ja mal versuchen, freedns.afraid.org da einzutragen.
      Warum da aber blockiert würde, wäre mir nicht klar.

      1 Reply Last reply Reply Quote 0
      • mike69M
        mike69 Rebel Alliance @Jensano
        last edited by mike69

        @jensano said in Dynamic DNS aktualisiert nicht mehr:

        Mit dem pfBlocker hatte ich in letzter Zeit DNS Dienste geblockt, so dass Clienten nicht mehr selber DNSoverHTTPS nutzen können, sondern über meinen Resolver müssen

        Oke, hier ist eine Umleitung für DNS Request auf localhost beschrieben, dann brauchst nichts blocken.

        Es sieht so aus, dass der DNS Resolver nicht startet bei aktivierten pfBlocker, mal checken. Eventuell irgend ne Konfig verkorkst.

        DG FTTH 400/200
        Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

        J 1 Reply Last reply Reply Quote 0
        • J
          Jensano @mike69
          last edited by

          Es scheint als ob er Anfangs Schwierigkeiten hat mein Resolver. Wenn ich ja selber einen Refresh des DYN DNS Dienstes später anschiebe dann funktioniert es. Erkennen tut er ja bei einem WAN Reconnect das sich die IP geändert hat und versucht den DYN DNS Dienst zu aktualisieren. Kann man den Resolver irgendwie separat neu installieren und komplett resetten? Ich such danach aber finde noch nichts. Ich nutze bei mir die Quad 9 Server per Forwarding im Resolver mit DNSSEC und DNS over TLS. Das funktioniert alles gut. Nur halt kurz am Anfang gibt es da irgendwelche Probleme. Genauer kann ich die Logs nicht deuten.

          P.S.
          Mit den Infos in dem Link wird erstmal nur DNS über Port 53 auf die pfSense umgeleitet. Das habe ich bei mir übrigens auch konfiguriert. Der Link unten in dem Artikel beschreibt aber noch andere Wege die ich bei mir auch umgesetzt habe. So musst du auch DNS über Port 853 also DNS over TLS per Portforwarding auf die pfSense umleiten. Ja und wenn wir dann zu DNS over HTTPS kommen, dann gehts über Port 443. Da ist dann Schluss mit Portforwarding. Da kann man nur die ganzen DNS Dienste für die Clienten blocken. pfBlocker hat da extra Listen zu. Seit dem kann ich auch, wegen dem Logging der Anfragen, sehen wer sich alles über DNS over HTTPS rausmogeln will. Das ist z. B. Mein Robistaubsauger von Xiaomi. Auch mein iPad sehe ich ab und zu in der Liste. Irgendeine App darauf will das also auch machen. Denn das kann jede App quasi selber entscheiden welchen weg sie gehen will.
          Deswegen Portforwarding von Port 53 und 853 und blocken aller DNS Dienste per pfBlocker.

          V mike69M 2 Replies Last reply Reply Quote 0
          • V
            viragomann @Jensano
            last edited by

            @jensano
            Schau mal ins Resolver Log, vielleicht verrät dir das woran es scheitert.

            Die Zeilen aus dem System Log würde ich mal so interpretieren: Beim Versuch das DynDNS Update durchzuführen kann freedns.afraid.org nicht aufgelöst werden. Das DynDNS Update schlägt fehl und pfSense starten den gesamten Prozess neu, wozu auch ein Start des Resolvers gehört (gestoppt wird er sofort, nachdem die alte WAN-IP weg ist). Weil dieser aber bereits läuft, wird der Fehler in Zeile 2 geloggt.

            Heißt für mich, der Resolver läuft zwar, aber dennoch können Namen nicht aufgelöst werden, er ist eventuell noch nicht bereit. Hinweise auf die Ursache könnten sich im Resolver Log finden.

            J 1 Reply Last reply Reply Quote 0
            • J
              Jensano @viragomann
              last edited by

              @viragomann
              Leider verrät mir das nichts. Was aber nicht heisst, dass es da keine Infos gibt. Siehe Log unten.

              Was ich noch versucht habe:
              Über "Diagnostics / Command Prompt / Execute Shell Command" den Befehl "/etc/rc.dyndns.update" ausgeführt. Da ich den ja erst separat zu den ganzen Automatischen Aktionen ausführen kann die bei einem Reconnect ablaufen, funktioniert dies. Die Cached Dynamic DNS IP wird sofort grün.

              Es sieht einfach so als das der Befehl zu früh ausgeführt wird. Da ist der Resolver noch nicht bereit die Adresse zu bearbeiten. Theoretisch müsste doch die pfSense bevor sie solch einen Befehl raushaut (und das auch nur einmal versucht) auf den Resolver warten bis der sagt "ich bin einsatzbereit"

              46b4c754-7020-416c-9ae1-d5d41a70cbff-image.png

              V 1 Reply Last reply Reply Quote 0
              • V
                viragomann @Jensano
                last edited by

                @jensano
                Eine Ursache für das Problem kann ich in dem Log auch nicht erkennen. Es offenbart aber, dass der Start des Resolvers 20 Sekunden dauert, was normalerweise in der Sekunde passiert. Erhöhe den Log Level des Resolvers mal auf 2, vielleicht sieht man dann Hinweise auf Ursachen für die Verzögerung.
                Ein System-Log vom gleichen Zeitabschnitt wäre ebenfalls hilfreich.

                Die Systemlast ist im normalen Bereich?

                J 1 Reply Last reply Reply Quote 0
                • mike69M
                  mike69 Rebel Alliance @Jensano
                  last edited by mike69

                  @jensano said in Dynamic DNS aktualisiert nicht mehr:

                  So musst du auch DNS über Port 853 also DNS over TLS per Portforwarding auf die pfSense umleiten. Ja und wenn wir dann zu DNS over HTTPS kommen, dann gehts über Port 443. Da ist dann Schluss mit Portforwarding. Da kann man nur die ganzen DNS Dienste für die Clienten blocken. pfBlocker hat da extra Listen zu. Seit dem kann ich auch, wegen dem Logging der Anfragen, sehen wer sich alles über DNS over HTTPS rausmogeln will. Das ist z. B. Mein Robistaubsauger von Xiaomi. Auch mein iPad sehe ich ab und zu in der Liste. Irgendeine App darauf will das also auch machen. Denn das kann jede App quasi selber entscheiden welchen weg sie gehen will.
                  Deswegen Portforwarding von Port 53 und 853 und blocken aller DNS Dienste per pfBlocker.

                  Jupp, danke für die Info. Nutze DNS over TLS nur von der pfSense zu den DNS Servern, intern UDP 53 only. Werde das mal beobachten, wo wer sich vorbeimogelt. :)

                  DG FTTH 400/200
                  Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                  Bob.DigB 1 Reply Last reply Reply Quote 0
                  • Bob.DigB
                    Bob.Dig LAYER 8 @mike69
                    last edited by

                    @mike69 said in Dynamic DNS aktualisiert nicht mehr:

                    Jupp, danke für die Info. Nutze DNS over HTTPS nur von der pfSense zu den DNS Servern, intern UDP 53 only.

                    Du nutzt DoT, nicht DoH. 😉

                    mike69M 1 Reply Last reply Reply Quote 0
                    • mike69M
                      mike69 Rebel Alliance @Bob.Dig
                      last edited by mike69

                      @bob-dig said in Dynamic DNS aktualisiert nicht mehr:

                      @mike69 said in Dynamic DNS aktualisiert nicht mehr:

                      Jupp, danke für die Info. Nutze DNS over HTTPS nur von der pfSense zu den DNS Servern, intern UDP 53 only.

                      Du nutzt DoT, nicht DoH. 😉

                      Damned, stimmt. :)

                      korrigiert.

                      DG FTTH 400/200
                      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                      1 Reply Last reply Reply Quote 1
                      • J
                        Jensano @viragomann
                        last edited by

                        @viragomann
                        Den Log Level auf 2 erhöhen produziert etliche Einträge, so schnell kann ich das Log gar nicht filter.

                        Ich habe aber mal ein Logvergleich vom Resolver und General gemacht. Der Eintrag "Start of Service Unbound" und "Could not resolve host..." kommt zur gleichen Sekunde.
                        Es dauert aber immer noch 26 Sekunden bis der Resolver wieder da ist. Ist der bei dir echt in Sekunden wieder da? Das General Log ist zu lang um es hier reinzustellen.

                        Ich bekomme zwar weiterhin die gleichen Logeinträge, aber nun funktioniert meine Aktualisierung vom DYN Dienst wieder. Ich habe dazu im Resolver folgende Funktion deaktiviert:
                        274ca0dd-af2f-4f1b-b1ad-8befa37e7a21-image.png
                        Das ist reproduzierbar mit dem DYN DNS: Haken drin=Geht nicht. Haken raus=geht.
                        Kann das wer von euch mal testen ob das bei euch auch so ist?

                        Resolver
                        e6fa4911-327d-43bf-b414-b85bcf7fc273-image.png

                        V 1 Reply Last reply Reply Quote 0
                        • V
                          viragomann @Jensano
                          last edited by

                          @jensano said in Dynamic DNS aktualisiert nicht mehr:

                          Den Log Level auf 2 erhöhen produziert etliche Einträge, so schnell kann ich das Log gar nicht filter.

                          Kommt mir bekannt vor. Level 1 ist default, 2 total aggressiv. Die höheren Levels traut man sich gar nicht anzutasten. In der GUI mit 200 Zeilen siehst du da nur noch Sekunden. Die Log-Files sind aber länger. Das Resolver Log findest du in /var/log/unbound.log.

                          @jensano said in Dynamic DNS aktualisiert nicht mehr:

                          Das ist reproduzierbar mit dem DYN DNS: Haken drin=Geht nicht. Haken raus=geht.
                          Kann das wer von euch mal testen ob das bei euch auch so ist?

                          Den Haken habe ich auch gesetzt. Dennoch startet der Resolver in einer Sekunde.
                          683d3b1f-9ff9-4b52-9ba3-9fc4ade8c82a-image.png

                          Mit DynDNS habe ich auch kein Problem, habe auch eine FreeDNS Konfig.

                          Aber soweit ich mich erinnere, ist @JeGr ein vehementer Gegner dieser Funktion. Er sollte wohl beantworten können, warum.
                          Aus Threads hier habe ich nur mitbekommen, dass es häufige unbound Neustarts verursacht, immer wenn ein neuer DHCP-Lease ausgestellt wird.

                          JeGrJ 1 Reply Last reply Reply Quote 0
                          • JeGrJ
                            JeGr LAYER 8 Moderator @viragomann
                            last edited by JeGr

                            @viragomann said in Dynamic DNS aktualisiert nicht mehr:

                            Aber soweit ich mich erinnere, ist @JeGr ein vehementer Gegner dieser Funktion. Er sollte wohl beantworten können, warum.

                            seufzt

                            Ich bin kein "vehementer Gegner dieser Funktion", sondern habe schlicht mehrfach zitiert und darauf hingewiesen, dass bei aktivem Haken von "Register DHCP Leases" es zu einem ständigen Neustart von Unbound kommt, weil jedes Gerät mit dynamischer IP sobald es per DHCP nen neues Lease bekommt oder aktualisiert eine Rückmeldung an Unbound gibt und der dann NEU STARTET um die aktuelle Liste an Clients zu kennen. Zudem gibt es keinen sinnvollen Grund einen rando dynamischen Client mit rando Name einfach in den DNS zu pumpen. Weshalb sollte ich den Namen von der Kiste brauchen? Und wenn jetzt einer sagt, weil er da mit RDP, SMB, CIFS oder sonstwas drauf muss, dann ist das kein "Client" Job, sondern ein Server/Service Job. Und dann bekommt sowas ne statische oder zumindest reservierte (semi statische) IP (via DHCP/MAC) und die werden einmalig beim Starten eingelesen und benötigen logisch keinen ständigen Neustart von Unbound.

                            Bei genug Clients und vielen Änderungen im DHCP hat man Unbound dann ständig am Neustarten weil es alle paar Sekunden/Minuten nen Client gibt, der das Ding zum Neustarten bringt. Darum macht man es aus. Es sollte mal via Reload gelöst und angesteuert werden, da gab es aber einen Regression Bug und ein Problem mit Unbounds neuer Python Module Integration. Daher ist das in 2.5 immer noch drin.

                            https://redmine.pfsense.org/issues/5413

                            tl;dr:

                            DNS Resolver:

                            • disable DHCP Registration von irgendwelchen rando Clients
                            • disable DHCP Registration von irgendwelchen rando OpenVPN Clients
                              wenn notwendig:
                            • enable DHCP static lease Integration ins DNS. Da wird nur ein Neustart fällig wenn man neue DHCP Mappings erzeugt.

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            1 Reply Last reply Reply Quote 1
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.