[Solved] DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post Reply
turnschuh
Posts: 22
Joined: May 18th, 2015, 11:57 am

[Solved] DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by turnschuh » September 10th, 2019, 10:51 am

Hallo zusammen,
ich habe seit dem Update auf Core132 und höher (derzeit mit Core 135) DNS-Probleme. Inzwischen habe ich herausbekommen, dass die IPFire selbst als DNS-Proxy fungiert. Bei meiner IPFire ist zusätzlich noch der Web-Proxy (squid) aktiv.
Die IPFire hängt hinter einer Fritzbox. In der Fritzbox ist die IPFire als Exposed Host angegeben. Als IP-ServiceProvider habe ich die Deutsche Telekom.

Seit dem Update auf Core132+ habe ich allerdings mehrere Probleme, die ich im folgendem näher beschreiben möchte.

1. Der Firefox ist so konfiguriert, dass er den squid des IPFires nutzt. Somit klappt das Surfen problemlos. Stelle ich im Client den Firefox auf "Keinen Proxy verwenden", so ist Surfen unmöglich. Soweit ich mich erinnere, konnte ich unter früheren IPFire-Versionen < 132 am Proxy vorbei trotzdem Webseiten aufrufen.
Kann ich mit Core 132+ ohne Proxy im Internetz surfen?

2. Bis zum Core 131 hatte mein Mailprogramm (KMail) keine Schwierigkeiten, Mails via IMAP abzurufen. Hierzu wurde entweder der Port 143 (STARTTLS) oder 993 (SSL-/TLS-Verschlüsselung) verwendet. Für den SMTP-Versand wird entweder STARTTLS über Port 587 oder SSL-/TLS-Verschlüsselung über Port 465 verwendet. Nach dem Update auf Core 132+ kann ich keine Mails mehr abrufen (versenden habe ich noch nicht getestet, würde aber kühn behaupten, dass es auch nicht funktioniert).
Meine Gedanke ist, dass sich aufgrund der geänderten Konfiguration - IPFire als DNS-Proxy - die DNS-Anfragen an die Mailserver nicht mehr aufgelöst werden können. So habe ich mich durch den WIKI gehangelt und bin die Seite https://wiki.ipfire.org/configuration/firewall/dns gestolpert. Ich habe sowohl Variante 1 als auch Variante 2 probiert, aber ich kann immer noch keine Mails mit dem Mailprogramm abholen. Auch das Surfen vorbei am Proxy klappt mit keiner der beiden Varianten.
Habt ihr eine Idee, woran das liegen kann? Was muss ich wie konfigurieren, damit es wieder funktioniert? Leider habe ich nicht so die Erfahrung bei der Erstellung von Firewall-Regeln, so dass ich auf eure Hilfe angewiesen bin.

Vielen Dank im Voraus
Turnschuh
Turnschuh

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8449
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by Arne.F » September 10th, 2019, 12:21 pm

Kann ich mit Core 132+ ohne Proxy im Internetz surfen?
Normal schon. Entweder die Default Forward Policy steht auf Forward und du hast keine Regeln die Port80 und 443 blocken oder sie steht auf Blocked dann brauchst du Regeln die dies extra erlauben.

Da am Proxy wie auch dem Firewallverhalten eigentlich nix geändert wurde vermute aber dein Problem ist DNS. Kannst auf den Clients DNS Namen auflösen? (Ohne das geht einfach gar nix)

Bei dir Passt irgendwas mit dem Netz nicht. Sind die Standardrouten und DNS vom DHCP korrekt gesetzt.
Im grünen auf die grüne IP vom IPFire und im Blauen auf die Blaue.

mach mal ping google.de und ping 8.8.8.8 aud dem Client
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

turnschuh
Posts: 22
Joined: May 18th, 2015, 11:57 am

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by turnschuh » September 10th, 2019, 3:04 pm

Google kann ich nicht über den DNS-Namen anpingen. Es kommt folgende Fehlermeldung:

Code: Select all

ping: google.de: Temporärer Fehler bei der Namensauflösung
Mit der IP-Adresse direkt klappt es.

Ich habe auf dem Client in den Netzwerkeinstellungen als DNS-Server die IP-Adresse des grünen Interfaces angegeben.
Turnschuh

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8449
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by Arne.F » September 11th, 2019, 6:36 am

Hast du irgendwelche port53 Firewallregeln?
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

turnschuh
Posts: 22
Joined: May 18th, 2015, 11:57 am

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by turnschuh » September 11th, 2019, 7:15 am

Nicht das ich wüßte, aber ich würde es heute Abend nach der Arbeit nachprüfen. Gibt es ein Kommando, wie ich dies schnell in der Shell abfragen kann?

Mir fällt aber gerade noch ein, wenn Port 53 irgendwo blockiert wäre, dann würde doch sicherlich auch das Surfen über den squid nicht funktionieren???
Turnschuh

turnschuh
Posts: 22
Joined: May 18th, 2015, 11:57 am

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by turnschuh » September 11th, 2019, 4:03 pm

Hallo Arne,
ich habe auf dem IPFire nach Port 53 gesucht:

Code: Select all

# iptables -nL | grep 53
RETURN     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 limit: up to 3kb/s burst 1mb mode srcip
RETURN     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53 limit: up to 3kb/s burst 1mb mode srcip
Wo kommen diese Einträge her und was sagen die Bemerkungen dazu aus?
Turnschuh

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8449
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by Arne.F » September 11th, 2019, 8:10 pm

Wenn der squid als Proxy im Browser eingetragen ist macht der Client zum Surfen selbst keine dns Anfragen sondern last dies den squid machen daher kann man ohne dns auf dem client surfen.

Die Regel mit den bursts gehört zum captive portal und limitiert die bandbreite für nicht angemeldete clients. Normal kommt man da nicht hin.

Hast du den unbound umkonfiguriert (das er nicht auf green lauscht oder so was) ?
Ansonsten gehen mir die Ideen aus...
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

turnschuh
Posts: 22
Joined: May 18th, 2015, 11:57 am

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by turnschuh » September 13th, 2019, 8:53 am

Hallo Arne,
vielen Dank für Deinen Post und die Erklärungen.
Den ubound habe ich nicht umkonfiguriert. Ich bin mir da 100% sicher, da ich in den letzten Monaten kaum Zeit hatte, überhaupt etwas am Rechner zu machen. Kannst Du trotzdem mal eine originale unbound-Konfigdatei, wie sie mit dem IPFire Core135 ausgeliefert wird, hier anhängen? Dann könnte ich sie zumindest probehalber via scp auf den IPFire kopieren und dann schauen, was dann passiert...

Vielen Dank im Voraus
Turnschuh

turnschuh
Posts: 22
Joined: May 18th, 2015, 11:57 am

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by turnschuh » September 13th, 2019, 9:50 am

Hallo Arne,
mir ist da gerade noch was eingefallen:
Ich habe vor ca. einem 3/4 Jahr was an der IPFire gemacht und ich glaube mich zu erinnern, dass ich in der Datei firewall.local Einträge zum Sperren des DNS auf TCP/UDP vorgenommen habe. Diese habe ich aber - so glaube ich - wieder entfernt. Da muss ich zu Hause mal nachsehen, wie der Stand der Dinge ist. Kannst Du mir sicherheitshalber auch die originale firewall.local des Core135 auch hier anhängen, damit ich mal einen Diff machen kann?

Hintergrund der damaligen Aktion war, dass ich einen PiHole an der Fritzbox (FB) betreiben wollte (was auch bis Core 132 prima funktionierte). An der FB hängt das rote Interface des IPFire als Exposed Host. Ich wollte damals alle DNS-Anfragen aller Geräte (inkl. TV und InternetRadio) zwingen, über den DNS-Resolcer des PiHoles zu gehen. In der Testphase mit dem PiHole klappte es nicht richtig und ich versuchte, über die firewall.local was zu machen (was ich aber hoffentlich rückgängig gemacht habe). Ich schaue nach und melde mich dann.

Allerdings ist derzeit der PiHole komplett heruntergefahren und ausgeschaltet, da ich die Ursachenforschung nicht durch zusätzliche, nicht unbedingt erforderliche Komponenten verkomplizieren möchte. Auf dem IPFire ist derzeit auch nur ein DNS-Server (dns2.digitalcourage.de - 46.182.19.48) mittels setup eingetragen. Der zweite DNS-Eintrag im Setup ist leer.

Trotzdem habe ich die Bitte an dich, die beiden Original-Dateien hier zum Download anzubieten.

Vielen Dank im Voraus
Turnschuh

turnschuh
Posts: 22
Joined: May 18th, 2015, 11:57 am

Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by turnschuh » September 13th, 2019, 3:55 pm

Hallo Arne,
das Problem hat sich geklärt!!!
Die Ursache lag tatsächlich noch in der firewall.local. Ich hatte folgende Anpassungen vorgenommen (siehe die Zeilen mit --to pihole):

Code: Select all

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
#        iptables -t nat -A CUSTOMPOSTROUTING -o green0 -j MASQUERADE
#        iptables -t nat -A CUSTOMPOSTROUTING -o blue0 -j MASQUERADE

       iptables -t nat -A CUSTOMPREROUTING -i green0 -p udp --dport 53 -j DNAT --to pihole
       iptables -t nat -A CUSTOMPREROUTING -i green0 -p tcp --dport 53 -j DNAT --to pihole
       iptables -t nat -A CUSTOMPREROUTING -i blue0 -p udp --dport 53 -j DNAT --to pihole
       iptables -t nat -A CUSTOMPREROUTING -i blue0 -p tcp --dport 53 -j DNAT --to pihole
        ;;
  stop)
        ## add your 'stop' rules here
       iptables -t nat -D CUSTOMPREROUTING -i green0 -p udp --dport 53 -j DNAT --to pihole
       iptables -t nat -D CUSTOMPREROUTING -i green0 -p tcp --dport 53 -j DNAT --to pihole
       iptables -t nat -D CUSTOMPREROUTING -i blue0 -p udp --dport 53 -j DNAT --to pihole
       iptables -t nat -D CUSTOMPREROUTING -i blue0 -p tcp --dport 53 -j DNAT --to pihole

#        iptables -t nat -D CUSTOMPOSTROUTING -o blue0 -j MASQUERADE
#        iptables -t nat -D CUSTOMPOSTROUTING -o green0 -j MASQUERADE
        ;;
  reload)
        $0 stop
        $0 start
        ## add your 'reload' rules here
        ;;
  *)
        echo "Usage: $0 {start|stop|reload}"
        ;;
esac
Nach dem Auskommentieren und Neustart des IPFire läuft wieder alles bestens! Vielen Dank, dass Du mich auf die richtige Fährte mit den Firewall-Regeln geführt hast! Beim Schreiben der letzten beiden Postings hat sich dann der Rest ergeben, wo ich noch einmal nachsehen könnte. Ein 3/4 Jahr ist eine lange Zeit, vor allem, wenn man meistens nur Anwender und selten zuHause-Admin ist....
Aber bei der ganzen Aktion habe ich wieder was dazu lernen können!
Kannst Du trotzdem mir bitte den Code der originalen firewall.local noch posten, so dass ich die korrekte Datei wieder auf dem IPFire einspielen kann?

Vielen Dank noch einmal für Deine Hilfe!

PS.: Wie kann ich diesen Thread schließen, da sich das Problem ja geklärt hat?
Turnschuh

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8449
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

[Solved] Re: DNS-Probleme (Internet und Mailprogramm) mit Core 132+

Post by Arne.F » September 14th, 2019, 4:09 pm

Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Post Reply