[Gelöst] IPFire 2.21 Core 127: Keine DNS Auflösung mehr möglich

[spieler67]

Hallo Leute

Bin neu hier im Forum, bitte verzeiht mir, falls ich etwas im falschen Bereich poste

Ich habe folgende Konfiguration, welche bis Sonntag einwandfrei funktioniert hat:

Internet <--> FritzBox (192.168.x.253, Exposed host auf 192.168.x.252) <-> IPFire (RED: 192.168.x.252 Gateway 192.168.x.253) <-> BLUE und GREEN

Wie gesagt, hat bis Sonntag perfekt funktioniert. Seit dann kann ich keine DNS Auflösungen machen und keine Internetseite mehr erreichen (interner DNS und 8.8.8.8 eingetragen). Auf der IPFire-Startseite steht "WARNUNG: DNSSEC wurde deaktiviert. Folgendes habe ich schon gemacht:

- FritzBox Firmware-Upgrade gemacht
- VDSL Link ist da (habe auch ein neues VDSL Login vom Provider erhalten)
- Unbound mit test-name-server auf 8.8.8.8 meldet "Test failed for an unknown reason" (interner DNS ist das gleiche)
- DIG 8.8.8.8 funktioniert, DIG DS ipfire.org @8.8.8.8 ergibt ein Timeout
- IPSec Tunnel via externe IP FUNKTIONIERT (kann von der GEGENSEITE IPFire erreichen [Web,SSH])
- FireBox zeigt keinen Traffic auf der Monitor-Seite
- TraceRoute auf IP 8.8.8.8 bringt keine Resultate

Hat irgend jemand eine Idee wo ich noch suchen soll ?

[lenny]

Hi,

siehtst du .etwas blockiertes im Firewall Log?
Kannst du 8.8.8.8 als client von der Fritzbox erreichen? wenn ja, gehts weiter zur Ipfire.
Ich hatte mit meiner Fire auch probleme und einer FB.
Dort habe ich in der roten verbindung (setup) gateway und DNS fest eingetragen, obwohl die Ipfire (rot) per DHCP konfiguriert wird. damit gabs bisher keine Probeleme mehr

[spieler67]

Hi

> siehtst du .etwas blockiertes im Firewall Log?

Meiner Meinung nicht

Mar 20 09:01:08 ipfire kernel: OUTGOINGFW IN= OUT=red0 SRC=192.168.x.252 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=65052 PROTO=UDP SPT=54470 DPT=53 LEN=64
Mar 20 09:01:13 ipfire kernel: FORWARDFW IN=green0 OUT=red0 MAC=--removed-- SRC=192.168.x.1 DST=192.5.5.241 LEN=80 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=51365 DPT=53 LEN=60
Mar 20 09:01:13 ipfire kernel: OUTGOINGFW IN= OUT=red0 SRC=192.168.x.252 DST=8.8.8.8 LEN=76 TOS=0x00 PREC=0x00 TTL=64 ID=309 PROTO=UDP SPT=47651 DPT=53 LEN=56
Mar 20 09:01:31 ipfire kernel: OUTGOINGFW IN= OUT=red0 SRC=192.168.x.252 DST=8.8.8.8 LEN=76 TOS=0x00 PREC=0x00 TTL=64 ID=2517 PROTO=UDP SPT=39307 DPT=53 LEN=56
Mar 20 09:01:32 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:0a2b:90:8d:cc:ce:1e:cf:54:52:08:00 SRC=209.141.58.16 DST=192.168.x.252 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=5120 PROTO=TCP SPT=54217 DPT=23 WINDOW=12073 RES=0x00 SYN URGP=0

zur Info: 192.168.x.252 ist RED, 192.168.x.1 (GREEN) ist meiner zweiter DNS Server intern

[spieler67]

Hi Lenny

> Dort habe ich in der roten verbindung (setup) gateway und DNS fest eingetragen, obwohl die Ipfire (rot) per DHCP konfiguriert wird. damit gabs bisher keine Probeleme mehr

Bei mir lief diese Konfiguration ca. 2 Jahre ohne Störungen, erst seit letztem Sonntag funktioniert (fast) nichts mehr

[lenny]

hi,
erreichst du denn von der Fritzbox alles im Internet?

[spieler67]

Zumindest konnte ich die Firmware aktualisieren auf der Web-Oberfläche der FritzBox. Ich habe diese danach sicher schon dreimal gestaret. Was ich speziell findet ist, dass der Online-Monitor in der FritzBox an und für sich nichts anzeigt, wenn ich aber die Statistik Daten ansehe, zeigt er up/down mit Werten (aktueller Tag, Vor-Tag etc).

Ebenso verwunderlich ist, dass der IPSec Tunnel zu mir in die Firma funktioniert (habe es gerade wieder kontrolliert). Was nicht geht ist die Aktualisierung via Pakfire (Bad hostname, klar wenn keine DNS Anfrage geht), die Zeit hingegen auf dem IPFire Rechner ist korrekt (meldet beim Bootvorgang ist okay).

Kann das Problem mit dem Unbound-Dienst zu tun haben?

[Dieter B.]

Moin leeve Lüüd,

mir ist gerade letztes Wochenende etwas Ähnliches passiert, habe ich aber hier:
viewtopic.php?f=6&t=22329&start=15#p123227
beschrieben.

Viele Grüße, Dieter

[spieler67]

mir ist gerade letztes Wochenende etwas Ähnliches passiert, habe ich aber hier:
viewtopic.php?f=6&t=22329&start=15#p123227
beschrieben.

Hallo Dieter

Danke für die Info, muss ich mir mal genauer ansehen

Grüsse aus der Schweiz

[spieler67]

Noch eine Zusatzinfo:

Ein Ping auf eine Adresse im green0 netzwerk geht nicht

Ein Traceroute meldet Operation not permitted

[spieler67]

Nachtrag:

Ich habe jetzt den Default-Gateway auf meinem Rechner auf 192.168.x.253 (FritzBox) geändert. Jetzt funktioniert der Internet Zugriff inkl. DNS anfragen.

Es scheint also, dass etwas an der IPFire Config nicht mehr stimmt (unklar wieso). Anbei die Firewall-Regeln:

und DNS/Gateway-Einstellungen:

Irgendwelche Ideen?

Viele Grüsse aus der Schweiz
Rolf

[lenny]

Das ist genau das, was ich dir gesagt habe

Das verhalten gibt es min. seit Core125

[spieler67]

Das ist genau das, was ich dir gesagt habe

Das verhalten gibt es min. seit Core125

Falls Du das Setup mit fixer Gateway-Adresse und fixen DNS-Servern meinst, das hatte ich schon immer so. Falls Du etwas anderes meinst, wäre ich um einen Tip froh.

[DJ-Melo]

Hi,

gib der Fire auf rot mal statische Ip und DNS außerhalb der Fritz.box z.b diese https://digitalcourage.de/support/zensu ... dns-server

läuft hier ohne Probleme.

Gruß

[spieler67]

Du meinst so?

[DJ-Melo]

genau und nun in den dns einstellungen andere als die fritz box für rot und als gateway die fritz.box

dann reboot der fire

optional rote ip als exposed host in der Fritz.box (wegen doppel nat)