DNS Auflösung funktioniert nicht richtig bei großen Downloads



  • Guten Abend zusammen,

    ich habe festgestellt, das wenn ich große Dateien herunterlade, die DNS Auflösung nicht mehr richtig funktioniert ☹

    Wenn ich eine 5 GB ISO herunterlade und ich mit Full Speed lade, dann kann ich keine Webseite mehr aufrufen, da die pfsense keine DNS Namen mehr auflösen kann.

    Mein Rechner nimmt die pfsense als DNS Server. Die pfsense nimmt den Server con cloudflare.

    Wenn ich auf die Weoberfläche schaue dann sehe ich, das ich einen Load von knapp 0,75 habe. Die pfsense ist also nicht überfordert.

    Hat jemand eventuell einen Tipp wie ich dieses Problem lösen kann?

    Grüße

    PFSense User2019



  • Hat hier keiner eine Idee ☹ ?

    Ich habe die Hardware jetzt gegen leistungsstärkere getauscht, leider habe ich immer noch das gleiche Problem ☹

    Wenn ich an meinem Rechner direkt den DNS Server auf 1.1.1.1 setzte, habe ich diese Problem nicht.
    Ich habe es nur wenn ich die Firewall als DNS nehme

    Grüße

    Pfsense User 2019



  • Schon mal die Logs durchkämmt?
    Wie genau macht sich der Fehler bemerkbar?
    Funktioniert die Auflösung auf der pfSense selbst?
    Verwendest du den Resolver oder den Forwarder?
    Wie sieht es aus, wenn du mal probehalber den anderen Dienst verwendest?
    Gibt es an einem beteiligten Interface Fehler oder Kollisionen?
    Läuft ein IDS/IPS?



  • @viragomann

    Ich habe diese schon mal durchgeschaut, jedoch schreibt er dazu nichts rein. Ich habe es gerade eben nochmal getestet, zu der Uhrzeit sind keine Logs vorhanden.

    Der Fehler macht sich bemerkbar, in dem ich nicht mehr im Internet Surfen kann. Es werden keine Webseiten mehr gefunden
    Wenn ich mit nslookup Prüfen sehe ich folgendes:

    > bild.de
    Server:  pfsense.Home.lan
    Address:  192.168.1.1
    
    Nicht autorisierende Antwort:
    Name:    bild.de
    Addresses:  145.243.248.20
              145.243.240.20
    
    > ard.de
    Server:  pfsense.Home.lan
    Address:  192.168.1.1
    
    Nicht autorisierende Antwort:
    Name:    ard.de
    Address:  83.125.35.3
    
    > zdf.de
    Server:  pfsense.Home.lan
    Address:  192.168.1.1
    
    DNS request timed out.
        timeout was 2 seconds.
    Nicht autorisierende Antwort:
    Name:    zdf.de
    Address:  91.197.29.78
    
    > rtl.de
    Server:  pfsense.Home.lan
    Address:  192.168.1.1
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Zeitüberschreitung bei Anforderung an pfsense.Home.lan
    > prosieben.de
    Server:  pfsense.Home.lan
    Address:  192.168.1.1
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Zeitüberschreitung bei Anforderung an pfsense.Home.lan
    
    > arlt.de
    Server:  pfsense.Home.lan
    Address:  192.168.1.1
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    Nicht autorisierende Antwort:
    Name:    arlt.de
    Address:  217.22.196.4
    

    Die Auflösung an der Pfsense selber scheint zu funktionieren. Sie dauert halt länger

    Name Server	Abfragezeit
    127.0.0.1	0 msec
    1.1.1.1	752 msec
    1.0.0.1	843 msec
    

    Trage ich wie gesagt den DNS direkt am Rechner ein, habe ich solche DNS Aussetzer nicht.

    Bezüglich Resolver oder Forwarder kenne ich mich nicht aus ☹
    Was sollte man hier nehmen? Werden beim Forwarder auch DNS Namen in Netzwerk weitergeleitet bzw. aufgelöst?

    Aktiviert habe ich aktuell den Resolver, der das DNS im Netzwerk macht.
    Den Forwarder habe ich noch nicht getestet, muss ich noch machen.

    Interface Fehler habe ich keine Feststellen können.
    IDS/IPS läuft nicht. Es läuft nur pfBlockerNG

    Grüße

    Pfsense User2019



  • Sieht ja echt übel aus?

    Abgesehen von Überlast, was wohl nicht zutrifft, fällt mir aber dazu auch nichts Konkretes ein.

    Was ist denn bei Fullspeed? 1 GB/s?
    Tritt das Problem auch an einem anderen Rechner auf, als auf dem, der die Netzwerklast produziert?
    Interessant wäre auch ein anderes pfSense Interface, wenn du mehrere nutzt.
    Hast du mehrere DNS Server auf der pfSense konfiguriert? Wenn nicht, versuch das mal.

    Der DNS Forwarder leitet einfach die Anfragen wie ein Proxy auf den externen DNS Server weiter. Er kann ebenso für die Auflösung verwendet werden, aber wenn muss der Resolver deaktiviert werden. Der Resolver ist eben heute Standard, allerdings kann man in dessen Konfiguration viel mehr falsch machen.

    Grüße


  • Rebel Alliance

    @PFsense-User2019
    Was hast Du nochmal für eine Anbindung? Dein neues Board sollte einiges wuppen können.
    Ist zwar nur rumgestochere, eventuell hilft hier was weiter.

    Edit:
    Sehe gerade, die Frage hier kam vor der Entscheidung zur neuen Hardware. Ist das neue Board schon da?



  • Guten Morgen zusammen ☺

    Das Problem betrifft alle Geräte, die im Netzwerk sind. Lädt ein Gerät etwas mit Fullspeed herunter, dann kann kein Gerät im Netzwerk, was die Firewall als DNS nimmt, richtig surfen. Nur die Internen DNS Einträge können weiterhin fehlerfrei aufgelöst werden.

    DNS Server: Ich habe 2 Stück in der Firewqall definiert.
    1 DNS: 1.1.1.1
    2 DNS: 1.0.0.1

    Die Clients bekommen alle nur die Firewall als Eintrag.

    Ich nutze aktuell eine 200/20 MBit/s Leitung.

    Mein neues Mainboard, das A2SDi-4C-HLN4F, ist vorgestern angekommen und wurde von mir auch schon verbaut.

    Was ich jetzt mal getestet habe ist, das ich anstatt des Resolvers mal den Forwarder genommen habe.
    Ich habe den gleichen test gemacht und siehe da, das Problem tritt nicht mehr auf.

    Die Antwortzeiten sind zwar auch hoch, jedoch kann ich wunderbar jede DNS Adresse auflösen wie ich möchte.
    Das große Problem an dieser Lösung ist nun aber, das mein pfBlockerNG nicht mehr funktioniert😥 und diesen will ich unbedingt haben.

    Kann man am Resolver noch irgend etwas einstellen, das dieses Problem beseitigt? Oder kann man pfBlockerNG so einstellen, das er mit dem Forwarder funktioniert?

    Grüße

    Pfsense User2019



  • Guten Abend,

    nach einiger Zeit rumprobieren habe ich glaube ich die Lösung gefunden 🙂

    Ich habe nun folgende Einstellungen geändert:

    Unter System --> Allgemeine Einstellungen habe ich nun folgenden Punkt aktiviert:

    DNS-Server Überschreibung:
    Erlauben, dass die DNS-Serverliste durch die via DHCP/PPP vom WAN vorgegebenen DNS-Server ersetzt wird.
    Ist diese Option gesetzt, wird pfSense für sich selbst (einschliesslich DNS-Forwarder/DNS-Resolver) die DNS-Server benutzen, die via DHCP/PPP vom WAN vorgegeben werden. Diese werden jedoch nicht an DHCP-Clients vergeben.
    

    Im Reiter Dienste --> DNS Auflösung habe ich dann noch folgendes aktiviert.

    DNS Abfrage Weiterleitung
    Weiterleitungsmodus aktivieren
    Wenn diese Option angewählt ist werden alle DNS Anfragen zu den Upstream DNS Server geschickt, die unter System > General Setup konfiguriert oder die über DHCP/PPP auf WAN erhalten wurden (Wenn DNS Server überschreiben dort aktiviert ist).
    

    Nun kann ich auch unter Fullspeed Downloads noch DNS Adressen fehlerfrei auflösen.

    Ich verstehe jetzt aber nicht genau, was die Funktion macht. 🤔

    Ich verstehe das so, das wenn ich eine IP Adresse samt DNS per DHCP Adresse auf dem WAN Interface bekomme, dann nimmt die Firewall diesen anstatt der von mir eingestellten DNS Server.

    Ich habe auf dem WAN Interface aber kein DHCP, sondern ich habe dem Interface eine Feste IP Adresse gegeben.
    Wenn ich über die Firewall DNS Adressen aufrufe scheint er immer noch die von mir eingetragenen DNS-Server zu nutzen.

    Schönen Abend

    Pfsense User2019


  • Rebel Alliance

    Moin @PFsense-User2019

    Wenn Du unter "DNS-Server Überschreibung" den Haken setzt, nutzt Du die DNS Server deines ISP.

    Der Haken unter "DNS Abfrage Weiterleitung" bedeutet: unbound löst nicht selber auf, sondern sendet die Abfrage weiter, wie bei Dir eingestellt an die DNS Server deines ISPs. Hier ist es gut erklärt.

    Normalerweise sind die Haken bei beiden Einstellungen raus, damit der Resolver (unbound) auf der Sense für Dich auflöst, und zwar mit deinen eingetragenen DNS Server.

    Da das bei Dir muckelt, liegt wahrscheinlich an Cloudflare, teste einfach mal andere DNS-Server, hier und hier sind einige. Mit denen unterbindest Du auch die eventuelle Zensur deines Providers.

    Edit:
    Lese gerade, WAN hat eine feste IP? Hast Du noch einen Router vor der Sense?



  • Hey ☺

    Ja, ich habe davor noch eine Fritz Box hängen, die mir das Internet aufbaut.
    Dort habe ich den DNS Server auch schon auf die 1.1.1.1 und 1.0.0.1 gesetzt.

    Die pfsense würde also die Fritz Box als DNS Forwarder nehmen?

    Wenn dies so wäre, würde diese Konstellation doch passen, oder?
    Ist zwar so nicht im sinne des Erfinders aber wenn es geht und keine Probleme verursacht 🤔

    Sonst wüsste ich mir echt nicht mehr anders zu helfen😌


  • Rebel Alliance

    Dann sieht das alles ein bisschen anders aus. Nächstes mal ruhig deine Kette angeben, weiss ja keiner, wie Du dein System aufgebaut hast. ☺

    Nutze selbst ein Modem, darum kann ich Dir zu deiner Konstellation nicht weiterhelfen. Wenn es looft, lass es so.



  • Mich würde das ja schon interessieren was das Problem ist. Und die ISP DNS Server, ob man die nutzen will, wenn man einen eigenen in den eigenen 4 Wänden stehen hat? Was ist denn wenn Du nur mit 100 MBit/s lädst? Mal einen iPerf Test von der pfSense zum Client gemacht und geschaut was durch die Ports geht? Nicht dass es doch ein Leistungsproblem ist und die pfSense die Grätsche macht.



  • @mrsunfire

    Was genau das Problem ist, verstehe ich da auch nicht 🤔

    Das Problem trat wirklich nur dann auf, wenn ich mit FullSpeed geladen habe.
    Das Problem hat immer so ca. 1 Minute nach dem ich den Fullspeed Download laufen hatte angefangen.

    Kleinere Downloads waren da nie ein Problem.

    Das Board kann ich ausschließen, da ich ja ein neues stärkeres Board gekauft habe und der Fehler identisch, wie mit dem alten Board war. Das interessante ist ja auch, das die pfsense dabei kaum ausgelastet war. Ich habe auch über SSH drauf geschaut und die Auslastung beobachtet.

    Zum Modem besteht eine Gigabit Netzwerkverbindung, die Netzwerkleistung habe ich.
    Ich hatte eventuell noch eine Firewall Regel in verdacht gehabt, jedoch wenn es so wäre, dürfte es dann ja jetzt auch nicht gehen.

    Ich habe mich mit der Lösung, auch wenn ich Sie nicht so Ideal finde, abgefunden. Jetzt läuft alles einwandfrei. Ich kann 80 GB Fullspeed Downloaden und weiterhin im Internet Surfen oder Youtube schauen. Keinerlei DNS Problematiken mehr.

    Grüße

    Pfsense User2019


  • LAYER 8 Moderator

    @PFsense-User2019 said in DNS Auflösung funktioniert nicht richtig bei großen Downloads:

    Das Problem hat immer so ca. 1 Minute nach dem ich den Fullspeed Download laufen hatte angefangen.

    Hört sich für mich eher nach sowas wie BufferBloat oder QoS Problem an. Puffer läuft bei max Download voll und - mutmaßlich - die FB vornedran bekommt den Kram nicht mehr gelutscht. Alternativ auch denkbar, ob der Provider Murks macht und DNS (absichtlich?) langsamer macht wenns nicht an ihn geht. Ist auf jeden Fall suspekt, dass bei Full-Downstream plötzlich kein DNS mehr gehen soll.

    DNS-Server Überschreibung:

    Den Haken würde ich wieder rausnehmen und testweise mal bspw. 1.1.1.1 und 1.0.0.1 als System-DNSe eintragen.

    DNS Abfrage Weiterleitung

    Das würde ich beim Resolver auch wieder rausnehmen und nochmal testen. Wenns dann bei FUll Down wieder einbricht, den Haken wieder rein -> dann würden alle DNS Queries nicht an die entsprechenden Server, sondern alle an 1.1.1.1/1.0.0.1 statt an deinen Provider DNS geschickt werden. Wenn DAS nämlich dann auch nicht geht, sondern NUR der Provider DNS wäre ich sehr skeptisch was da Phase ist.

    Wenn es nur im Forwarding Mode geht, dann ggf. DNS over TLS aktivieren, dann wird auch 1.1.1.1 und 1.0.0.1 verwendet, aber wenigstens dann verschlüsselt mit DoT. Immer noch unschöner als echtes DNS Resolving aber immerhin etwas besser.

    Die pfsense würde also die Fritz Box als DNS Forwarder nehmen?

    Nein, das was per DHCP vom Provider übermittelt wird. Das sind meist die Provider DNSe.

    Warum DAS nicht so toll ist, hat man vor einigen Tagen/Wochen wieder gemerkt, als an 1-2 Tagen bei Unitymedia eine Großstörung vorlag. Grund war -> die eigenen DNSe waren down und hatten einen Fehler, konnten dann nicht mehr für die Auflösung verwendet werden. Hatte an dem Tag völlig verwundert die Berichte angesehen, dass bei UM "nix mehr gehen würde, Scheißladen, blablabla" und mich gewundert, warum bei mir alles lief. Nachdem ich mit Telekomikern und anderen Spaßgesellen schon lustige Sachen mit DNS durchhabe wie
    ... "Wir schreiben einfach alles um und leiten die Leute auf unsere eigene tolle Suchseite!"
    würde ich mir eher selbst nen DNS extern aufsetzen als die DNSe vom ISP zu nutzen.

    Grüße


Log in to reply