Webseite kann in VLANs nicht geöffnet werde - Reply code: Server failure (2)

p54

Hallo,

ein Problem gelöst ein neues hat sich aufgetan. Derzeit versuche ich aus dem VLAN welches über die PFSense verwaltet wird, aufzurufen. Jedoch erhalte ich hier die Meldung im Browser:

Die Website ist nicht erreichbarDie DNS-Adresse von euipo.europa.eu wurde nicht gefunden. Eine Problemdiagnose wird durchgeführt.
DNS_PROBE_POSSIBLE

Für die betreffenden VLANs ist das Gateway die PFSense VLAN IP und der DNS Server (im DHCP Server der VLANs hinterlegt) der interne MS DNS Server im LAN, welcher dann wieder auf die PFSense die DNS-Anfragen weiterleitet. Soweit so gut. Funktioniert auch super.

Wenn ich den Host A Eintrag: euipo.europa.eu aufrufen möchte, dann bekomme ich eben die besagte Meldung.

Ping und DNS Lookup aus "allen Netzen" auf die Webseite oder IP ist auch nicht möglich:

Ping-Anforderung konnte Host "euipo.europa.eu" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.
//
Ping wird ausgeführt für 109.232.208.177 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.

Auf der PFSense selbst unter Diagnostics / DNS Lookup funktioniert es besetens:

DNS Lookup
Hostname euipo.europa.eu
//
Result	Record type
109.232.208.177	A
Timings
Name server	Query time
127.0.0.1	 0 msec
9.9.9.9	        12 msec
1.1.1.1	         2 msec

Aus dem LAN Bereich komme ich ohne Probleme auf die Webseite und das macht mir gerade Kopfschmerzen.

Sämtliche Block-Dienste (suricata und pfblockerng) wurden deaktiviert, caches sind mehrfach bereinigt usw. jedoch ohne Verbesserungen.

Im wireshark habe ich folgende Meldung gefunden für das VLAN während des Aufrufs, aber eine passende Antwort darauf konnte ich noch nicht finden wo es hier klemmt:

24	2.191364	192.168.30.220	192.168.3.32	DNS	75	Standard query 0x6a20 A euipo.europa.eu
25	2.191932	192.168.3.32	192.168.3.252	DNS	86	Standard query 0xa886 A euipo.europa.eu OPT

26	2.242904	192.168.3.252	192.168.3.32	DNS	86	Standard query response 0xa886 Server failure A euipo.europa.eu OPT
...
...
Frame 26: 86 bytes on wire (688 bits), 86 bytes captured (688 bits)
Ethernet II, Src: IBASETec_XX:XX:XX (XXXXXXXXXXXX), Dst: VMware_XX:XX:XX (XXXXXXXXXXXX)
Internet Protocol Version 4, Src: 192.168.3.252, Dst: 192.168.3.32
User Datagram Protocol, Src Port: 53, Dst Port: 65106
    Source Port: 53
    Destination Port: 65106
    Length: 52
    Checksum: 0x88b2 [unverified]
    [Checksum Status: Unverified]
    [Stream index: 12]
    [Timestamps]
    UDP payload (44 bytes)
Domain Name System (response)
    Transaction ID: 0xa886
    Flags: 0x8182 Standard query response, Server failure
        1... .... .... .... = Response: Message is a response
        .000 0... .... .... = Opcode: Standard query (0)
        .... .0.. .... .... = Authoritative: Server is not an authority for domain
        .... ..0. .... .... = Truncated: Message is not truncated
        .... ...1 .... .... = Recursion desired: Do query recursively
        .... .... 1... .... = Recursion available: Server can do recursive queries
        .... .... .0.. .... = Z: reserved (0)
        .... .... ..0. .... = Answer authenticated: Answer/authority portion was not authenticated by the server
        .... .... ...0 .... = Non-authenticated data: Unacceptable
        .... .... .... 0010 = Reply code: Server failure (2)
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 1
    Queries
        euipo.europa.eu: type A, class IN
            Name: euipo.europa.eu
            [Name Length: 15]
            [Label Count: 3]
            Type: A (Host Address) (1)
            Class: IN (0x0001)
    Additional records
        <Root>: type OPT
            Name: <Root>
            Type: OPT (41)
            UDP payload size: 512
            Higher bits in extended RCODE: 0x00
            EDNS0 version: 0
            Z: 0x8000
                1... .... .... .... = DO bit: Accepts DNSSEC security RRs
                .000 0000 0000 0000 = Reserved: 0x0000
            Data length: 0
    [Request In: 25]
    [Time: 0.050972000 seconds]

Ich komm hier nicht weiter, hat jemand eine Idee was ich noch machen könnte?

VG & einen schönen Freitag!

NACHTRAG: Ich habe nun testweise für eines der VLANs die PFSense als DNS-Server im DHCP zugeordnet. Webseitenaufrufe und Pings gingen nur eben nicht für die besagte euipo.europa.eu. Auch hier scheint es durch die PFSense oder der Webseite ein Thema zu geben, aber ich weiß nicht wo ich noch nach dem Fehler suchen könnte.

JeGr

@p54 Ohne mehr Details zu Interface Settings, Firewall Regeln etc. ist da keine Analyse möglich. Dass der DNS offensichtlich auflöst sehen wir, dass es aus dem LAN wohl geht lesen wir auch, aber ohne Setup der VLANs sehe ich nichts.

Cheers

NOCling

Resolver läuft?
Regelwerk für das VLAN Int erlaubt Zugriff auf this Firewall mit dem Dienst DNS?

Wenn kein Regel vorhanden ist die das erlaubt, dann greift die implicit deny, die siehst du aber nicht, die ist unsichtbar aber immer auf jedem Interface ganz unten vorhaden.