Subdomains wiki und forum bei Opnsense.org nicht erreichbar

Hierhin gehören Lösungen für Probleme!
Post Reply
SamSpade
Posts: 23
Joined: April 22nd, 2011, 1:37 pm

Subdomains wiki und forum bei Opnsense.org nicht erreichbar

Post by SamSpade » May 7th, 2017, 1:32 pm

Setup: IPFire 109, aktive Services: Webproxy conventional mode, IDS (grün und rot), ClamAV, Guardian
Bei den Clients ist IPFire als Gateway und DNS eingetragen.

Das Wiki und das Forum von opnsense.org sind nicht erreichbar. Die Fehlermeldung lautet:

Code: Select all

This site can’t be reached

The webpage at https://forum.opnsense.org/ might be temporarily down or it may have moved permanently to a new web address.
ERR_TUNNEL_CONNECTION_FAILED
"Tunnel" lässt ja vermuten, dass es am Proxy liegen könnte, aber vor der Einführung von unbound funktionierten die Aufrufe noch, so dass ich mich auf DNSSEC als mögliche Fehlerquelle kapriziert habe.

Schalte ich um auf transparenten Proxy, werden die Seiten angezeigt.

Beide zugewiesenen Nameserver sind im Status grün, validieren also DNSSEC.

Code: Select all

root@ipfire ~]# dig forum.opnsense.org +dnssec +multi

; <<>> DiG 9.11.0-P2 <<>> forum.opnsense.org +dnssec +multi
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 33940
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;forum.opnsense.org.	IN A

;; Query time: 110 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun May 07 15:09:40 CEST 2017
;; MSG SIZE  rcvd: 47
Schaue ich mir das Ganze über einen der zugewiesenen Nameserver an, sieht es so aus:

Code: Select all

[root@ipfire ~]# dig @217.237.151.205 forum.opnsense.org +dnssec +multi

; <<>> DiG 9.11.0-P2 <<>> @217.237.151.205 forum.opnsense.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36366
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;forum.opnsense.org.	IN A

;; ANSWER SECTION:
forum.opnsense.org.	430 IN A 37.48.77.141
forum.opnsense.org.	430 IN RRSIG A 8 2 900 (
				20170518000000 20170427000000 49656 opnsense.org.
				ddYngcrrGXKVZkMmXifQhQ6hgAAkaU3jAp8kxfstFlIJ
				xIf5uZOgUxn93g/KXRJ3wHd3enq72mL0e9XOCnFXaOhH
				EZZgrP4ZwJL57wUL9vGRy2Wh5CsYyYTqSqG58WI8tG++
				oNN84tSGrvu6/FF/v/jiD5TZw+WcBof001R4RHc= )

;; Query time: 20 msec
;; SERVER: 217.237.151.205#53(217.237.151.205)
;; WHEN: Sun May 07 15:11:26 CEST 2017
;; MSG SIZE  rcvd: 235
Der signature resource record wird also mitgeliefert.

Daraufhin habe ich im Client den Nameserver 217.237.151.205 eingetragen, den Proxy im conventional mode belassen und die Caches geflushed. Trotzdem werden die Seiten nicht angezeigt :-/

Ich habe dann einmal den unbound cache geflushed

Code: Select all

unbound-control flush_zone opnsense.org
, was allerdings auch nichts gebracht hat.

Beim DNSSEC Debugger von Verisign

Code: Select all

https://dnssec-debugger.verisignlabs.com/forum.opnsense.org
wird zwar ein Fehler für opnsense.org angezeigt, ob dieser aber ursächlich für den no show der Seite ist, kann ich nicht einschätzen.

ClamAV, Guardian und IDS habe ich im Rahmen der Fehlersuche temporär deaktiviert, jedoch ohne Änderung des Fehlerbildes.

Kann jemand diesen Fehler mit konventionellem Proxy nachvollziehen?
Hat jemand eine Idee, wie man ihn beheben kann?

Besten Dank vorab.

User avatar
FischerM
Community Developer
Community Developer
Posts: 590
Joined: November 2nd, 2011, 12:28 pm

Re: Subdomains wiki und forum bei Opnsense.org nicht erreichbar

Post by FischerM » May 7th, 2017, 2:37 pm

HI,

Zur ersten Frage:

Nein, ist NICHT nachvollziehbar. Hauptseite und Forum werden beide einwandfrei angezeigt. Auch der DNSSEC-Debugger von Verisign zeigt keine Fehler an. Alles grün und angehakelt.

Zur zweiten: Leider auch nein - keine Idee, sorry.

Gruß,
Matthias

SamSpade
Posts: 23
Joined: April 22nd, 2011, 1:37 pm

Re: Subdomains wiki und forum bei Opnsense.org nicht erreichbar

Post by SamSpade » May 7th, 2017, 7:22 pm

Allem Anschein nach hat der Telekom Nameserver ein Cache-Problem, obwohl dort ja auch RRSIG zurückgeliefert wurden. Habe jetzt einen anderen validieren Nameserver direkt im IPFire Dialup eingetragen et voilà ... es funktioniert nun.

Post Reply

Who is online

Users browsing this forum: Bing [Bot] and 3 guests