SMTP eMail Versand nur sporadisch möglich
-
@jegr zu deinen Fragen:
(1) DNSe habe ich beide in "System Generel" eingetragen, jene, die nicht pingbar sind.
Mit Diagnostic -> DNS Lookup erhalte ich folgende Meldung:
UND
An der pfSense habe ich probiert via Diagnostics -> Ping:
UND
UND
--> Der Resolver hat keinen Timout, lediglich die beiden DNSe.
Den letzten Absatz deiner Antwort, soll ich dies nun auch probieren oder wäre das nur, wenn der Resolver ein Timeout hätte?
Danke dir.
-
@vantage09 Du prüfst in der DNS Diagnose eine IP - das macht da wenig Sinn. Aber trotzdem ist schon auffällig das dein Resolver beim ersten Run über eine Sekunde zum Antworten braucht. Das ist heftig lange. Die beiden DNSe nur ~20ms
In der zweiten Runde dann logisch 0 - denn er cached.Das müsstest du mal mit mehreren Domains durchspielen, genau die, bei denen du auch das Problem hattest, dass du mehrfach reloaden musst. Für mich sieht das nach einem seltsamen Lag im Resolver aus. Warum müsste man dann näher debuggen oder ihn einfach auf Forwarding schalten und testen, aber der Resolver sollte nicht SO lange brauchen für eine Antwort. Das ist seltsam. Kann aber jetzt natürlich auch nur die doofe IP gewesen sein, weil er nen Reverse Lookup machen muss und der Server ggf. langsam ist.
-
@jegr Was ich mich Frage, wenn ich meinen Client direkt am Router - also ohne pfSense - laufen habe, dann kann ich problemlos eMails versenden bzw. jede Domain ohne Probleme öffnen.
Mir ist noch nicht klar, wo ich da jetzt ansetzen kann, um das Problem zu lösen. Ich hab wie du geschrieben hast, auch mehrere Domains durchgespielt, bei welchen ich Probleme hatte. Bei den ersten ein zweimal dauert es lange, dann ging´s schnell.
-
Sind die DNS Server vom Provider?
Oder hast du hier selber welche eingetragen weil die zugewiesenen nicht funktionieren?
Welche kommst du über WAN?Ich kann die ich vom Provider (Ex Unitymedia)per DHCP erhalten auch nicht per ICMP erreichen, aber die lösen alles sauber auf, IPv4 und IPv6.
Als GW Monitoring verwende ich daher die Cloudflare DNS Server.
Hast du in der erweiterten Einstellungen vom Resolver was verbrochen?
z.B. "Strict Query Name Minimization" aktiviert? -
@nocling
Ja, die DNS Server sind vom Provider. Diese erhalte ich auch von der WAN und habe diese dann auch händisch eingetragen.Hier meine DNS Resolver Einstellungen:
Bin um jede Unterstützung dankbar, da ich das Teil nun wirklich mal zum Laufen bringen möchte ....
-
Dann brauchst die nicht noch mal eintragen, wenn er die eh per WAN DHCP bekommt.
Ich habe im Resolver diese Einstellungen und bin damit sehr zufrieden.
Netgate 6100 & Netgate 2100
-
@nocling Mit neuen Werten nochmal durchspielen macht sicherlich Sinn aber sonst bleibt der Fakt, dass nach eigener Aussage der Resolver hohe Timeouts oder lange Zeit braucht bis zur Auflösung und das dann beim Client wahrscheinlich zu ständigen Timeouts führt. Wenn es sich nicht bessert, würde ich dann den Resolver mal in Forwarding Mode schalten und unter Generic andere DNSe eintragen statt den Providerkisten (zum Test ggf. sowas wie Cloudflares 1.1.1.1/1.0.0.1) und die dann als Forwarder nutzen. Kann man später sicherlich auch andere nehmen wie AdGuard oder sonstwas, aber erstmal sehen, ob es ggf. am Resolving vs. Forwarding liegt. Kommt leider sporadisch vor, wir haben auch zwei Kunden bei denen das am Anschluß ist. Ansonsten nirgends! Aber die beiden haben ggf. Timeouts oder lange Wartezeiten, wenn sie selbst DNS sprechen mit den Servern. Warum - k.A. - schlechtes Peering, schlechte IP, wer weiß.
-
Dann doch einfach mal den DNS Benchmark anwerfen und schauen welche DNS für die Verbindung überhaupt gescheit funktionieren.
https://www.grc.com/dns/benchmark.htm
Die Zeit solle man sich mal nehmen.
Und dann kann man sich auch gleich noch an den Bestnoten des Unbound in der Sense erfreuen
-
@nocling Hab deine Einstellungen mal übernommen. Musste jedoch dazu DNSSEC wieder aktivieren in den "General Settings".
@JeGr Hab auch den "DNS Query Forwarding" aktiviert.
Was meinst du mit "unter Generic andere DNSe eintragen"? Wo finde ich das Generic?@NOCling hab DNS Benchmark gestartet:
... verstehe ich das richtig, dass ich z.Bsp. als DNS Server die beiden von Cloudflarenet, US eintragen kann!? -
Kein wunder, die vom Provider zugeteilten DNS sind ja irgendwo in der Liste, die sollten unter den ersten 10 sein.
Kannst ja mal zum Test die Cloudflare eintragen und den Hacken raus nehmen, das WAN die nicht überschreiben darf.
-
@nocling OK, werde mal Cloudflarenet DNSe eintragen. Wäre toll, wenn das die Ursache gewesen ist.
-
Habe nun die beiden Cloudflarenet DNSe eingetragen. Leider ohne Erfolg ... hat sich an der Situation nichts geändert zu vorher.
Welche Möglichkeiten gäbe es noch? Würde sonst die Firewall "platt" machen und von grund auf neu ausetzen...
-
Backup machen.
pfSense neu installieren, nur die allernötigsten Einstellungen vornehmen, keine Packages installieren und nichts. Testen ob das Problem dann auch besteht.
Wenn es passt, Restore machen und wieder testen.-Rico
-
@rico So, jetzt hab ich zumindest einen Teilerfolg. Nach dem ich pfSense neu installiert habe, hatte ich zu Beginn das gleiche Problem wie anfangs beschrieben. D.h. SMTP eMail Versand funktioniert nur sporadisch, und das öffnen einer Domain funktionierte erst nach mehrmaligem F5-Drücken im Browser.
Habe jedoch dann die DNSe von Cloudflarenet eingetragen und siehe da, das "surfen" mit dem Browser funktioniert ohne Probleme.Was jetzt jedoch noch nicht funktioniert, ist das senden und auch teilweise empfangen von eMails. Verwende hier SMTP Port 465 (SSL/TLS) und zum empfangen IMAP Port 993 (SSL/TLS). Ist dafür eine Konfiguration notwendig in den Regeln?
Danke an alle schonmal vorab! Freu mich jetzt, dass zumindest das öffnen von Domains im Browser funktioniert :-).
-
Hat noch jemand eine Idee, was ich gegen das Problem mit dem eMail Versand machen kann? Verwende hier SMTP Port 465 (SSL/TLS) und zum empfangen IMAP Port 993 (SSL/TLS). Ist dafür eine Konfiguration notwendig in den Regeln? Danke.
-
Du musst das Netz oder den Client schon dafür freischalten.
Hast du keine Internet Regeln die any any erlaubt?
Wenn nicht musst du die Ports ausgehend erlauben. -
@nocling Das sind meine LAN Roules:
Somit sollte das ja passen, oder?
-
Ja, dann würde ich jetzt das Log kontrollieren und dann am Client mal nach dem Virenschutz schauen.
Hatte mal mit Avast ne nette IPv6 Problematik, konnte keine Mails über IMAP mehr abrufen.
Also Wireshark anwerfen und in den Paketen rumschnüffeln, wenn alles nix hilft.
-
@nocling Ohne pfSense, also direkt am Router angeschlossen, funktioniert das versenden der eMail vom Client aus. Also am Virenschutz kann es nicht liegen.
Zwecks Wireshark: Damit kenn ich mich nicht aus.
Gibt es hier keine andere Möglichkeiten das Thema zu lösen? Ich denke, es werden doch viele von Euch auch eMail Programme installiert haben und von da aus Mails versenden. Habt ihr dabei keine weiteren Einstellungen vornehmen müssen?
-
Gibt es hier keine andere Möglichkeiten das Thema zu lösen? Ich denke, es werden doch viele von Euch auch eMail Programme installiert haben und von da aus Mails versenden. Habt ihr dabei keine weiteren Einstellungen vornehmen müssen?
Nein. Wenn von intern nach extern Mail erlaubt ist, geht Mail auch. Noch nie Probleme damit gehabt. Der Paketfilter entscheidet da ja auch nicht nach Lust und Laune. Wenn dein Client 100% am LAN hängt und du da die default pass any regeln drin hast, ist dein Problem NICHT der Paketfilter/Firewall. Dann mag es vielleicht noch an DNS klemmen aber an sonst nichts. Alles andere macht keinen Sinn oder es sind Dinge konfiguriert die das kaputt machen.
