DNS-Namensauflösung funktioniert nur mit Proxy???

[turnschuh]

Hallo zusammen,
seit wahrscheinlich dem letzten Update auf Version 134 funktioniert bei mir die DNS-Auflösung nur sehr komisch. Ich versuche zuerst, meine Hardware-Konfiguration zu beschreiben

Code: Select all

                                 Exposed Host                          
               Fritzbox  --------------------- Rot     IP-Fire   Grün-------------------- Unmanaged Switch ---------- Rechner 1
               192.168.80.254                  192.168.80.250    192.168.149.254                                      192.168.149.1

DNS-Eintrag    46.182.19.48                    46.182.19.48                                                           192.168.149.254
               213.73.91.35                    213.73.91.35

Gateway-Eintrag                                                                                                       192.168.149.254

Bei mir läuft alles mit manueller IP-Adressen-Vergabe, DHCP ist aus. Weiterhin ist ebenfalls überall nur IPv4 aktiviert.
Auf dem IP-Fire laufen folgende Dienste:
- HostAP
- Proxy mit URL-Filter und lokaler Benutzerverwaltung. Der Proxy auf Grün ist nicht transparent und nimmt Anfragen auf Port 3128 entgegen.

Es treten wahrscheinlich seit dem Update auf Version 134 folgende Effekte auf:
1. Mailprogramme wie KMail (Linux) können keine Mails mehr abholen. Auch das automatische Ermitteln der Mailserver-Informationen über das Mailprogramm schlägt fehl. Es sieht so aus, dass IMAP (evtl. auch SMTP) nicht durch die Firewall durchkommt.
2. Surfen mittels Firefox vom Rechner 1:
Ist im Firefox bei den Netzwerkeinstellungen das Surfen über den Proxy 192-168.149.254:3128 angegeben, klappt das Surfen problemlos.
Wird hingegen der Firefox bei den Netzwerkeinstellungen kein Proxy ausgewählt, kann keine einzige Webseite geöffnet werden. Dies ging unter früheren IP-Fire-Versionen problemlos, um die Passwortabfrage des Proxys zu umgehen.
3. auf der Kommandozeile wirft der Befehl "ping www.google.de" den Fehler "Temporärer Fehler bei der Namensauflösung"
4. Ebenfalls kann ich unter Debian keine Überprüfung und Einspielen von Updates durchführen. Anscheinend ist auch apt-get von dem Problem betroffen. Habe gestern Abend noch den Proxys + Nutzer/Passwort in der apt.conf angegeben, konnte es aber nicht mehr testen, da sich der Webserver des IP-Fire nach einem Neustart aufgehängt hatte und es schon zu spät für weitere Experimente war.

Könnt ihr euch das eigenartige Verhalten erklären? Es wäre echt toll, wenn ihr mir helfen könnt, denn ich bin mit meinem Wissen und dem Verständnis am Ende.

Vielen Dank im Voraus
Turnschuh

[BetaTester]

Du kannst einmal dein Unbound testen, dies wird per SSH auf der IPFire ausgeführt

Code: Select all

/etc/init.d/unbound test-name-server IP-deines-DNS-Servers

alternative um zu sehen was die DNS server Antworten

Code: Select all

dig www.heise.de

oder

Hier wird die URL über den Google DNS ausgelöst

Code: Select all

dig @8.8.8.8 www.heise

Grüße

BetaTester

[turnschuh]

Hallo BetaTester,
vielen Dank für die Antwort. Hier sind die Ergebnisse, meiner Meinung nach sieht alles ok aus (oder siehst Du das anders?):

Code: Select all

/etc/init.d/unbound test-name-server IP-deines-DNS-Servers
/etc/init.d/unbound test-name-server 46.182.19.48
46.182.19.48 is validating
46.182.19.48 supports TCP fallback
EDNS buffer size for 46.182.19.48: 4096

Code: Select all

dig www.heise.de
; <<>> DiG 9.11.8 <<>> www.heise.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11753
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.heise.de.                  IN      A

;; ANSWER SECTION:
www.heise.de.           25590   IN      A       193.99.144.85

;; Query time: 379 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Aug 14 20:50:59 CEST 2019
;; MSG SIZE  rcvd: 57

Code: Select all

dig @8.8.8.8 www.heise.de

; <<>> DiG 9.11.8 <<>> @8.8.8.8 www.heise.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52052
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.heise.de.                  IN      A

;; ANSWER SECTION:
www.heise.de.           20896   IN      A       193.99.144.85

;; Query time: 12 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Aug 14 20:52:48 CEST 2019
;; MSG SIZE  rcvd: 57

[BetaTester]

Ja, das sieht alles Vollkommen okay aus. Damit sollte das "Problem" in der Proxy Konfiguration liegen, damit kenne ich mich aber nicht aus. Ich nutze DHCP

[Arne.F]

Mach mal die "dig" tests auf dem Linux client hinter dem IPFire.

[turnschuh]

Vielen Dank BetaTester für Deine Bestätigung, dass alles ok ist.

Jetzt kurz zu DHCP und dem Proxy:
DHCP hat mit dem HTTP-Proxy (squid) nichts gemeinsam. DHCP ist für die dynamische Vergabe der IP-Adressen aus einem Pool, während der Proxy als Zwischenpuffer für die HTTP-Aufrufe dient. Wird eine Seite kurz hintereinander aufgerufen, so wird diese nicht mehr aus dem Netz geladen, sondern der Proxy liefert die zwischengespeicherte Seite aus.

Das komische Verhalten ist, dass der Firefox (und auch andere Browser auf dem Rechner 1) nur Webseiten anzeigen, wenn der entsprechende Browser auf den Proxy des IPFire-Rechners zugreift. Wird hingegen der Proxy auf dem IPFire umgangen, indem in dem Browser eingestellt wird "Kein Proxy verwenden", dann klappt die DNS-Namensauflösung nicht und es wird die angeforderte Webseite nicht geladen, da die Umsetzung von "google.de" auf die entsprechende IP-Adresse nicht klappt.
Die fehlerhafte Namensauflösung hat weiterhin zur Folge, dass auch das IMAP-Protokoll den entsprechden Mailserver nicht mehr ansprechen kann, da auch hier die Namensauflösung auf die IP-Adresse des Mailanbieters fehlschlägt.

Das generelle Problem scheint meiner Meinung nach die DNS-Namensauflösung zu sein, die vermutlich fehlerhaft konfiguriert ist - ich weiß nur nicht wo. Oder wurde in letzter Zeit im IPFire intern an der DNS-Auflösung etwas verändert, was Nebenwirkungen/Seiteneffekte hat?

Mit freundlichen Grüßen
Turnschuh

[turnschuh]

Hallo Arne,
ich habe gerade die dig-Tests ausgeführt. Hier sind die Ergebnisse:

Code: Select all

dig www.heise.de

; <<>> DiG 9.10.3-P4-Debian <<>> www.heise.de
;; global options: +cmd
;; connection timed out; no servers could be reached

Code: Select all

dig @8.8.8.8 www.heise.de

; <<>> DiG 9.10.3-P4-Debian <<>> @8.8.8.8 www.heise.de
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Das sieht nicht gut aus, da die Namensauflösung vom Client her nicht klappt.

Mir ist noch eingefallen, dass bei meinem IPFire eigene Firewall-Regeln hinterlegt sind. Vielleicht sind es ja die, die die Probleme verursachen. Ich hänge mal ein Bildschirmfoto an. Auf diesem habe ich mit 2 roten Pfeilen eine Markierung angebracht. Dieser Eintrag kommt mir schon etwas komisch vor, aber ich weiß auch nicht, wie ich den Eintrag auf zugelassen setzen kann (vielleicht ist dies auch nicht möglich....).

[turnschuh]

Hallo zusammen,
vielen Dank an alle für eure Postings. Inzwischen bin ich etwas weiter in der Fehlersuche und habe hierzu ein neues Posting viewtopic.php?f=22&t=23360 erstellt, da es sich um eine generelles Problem zu handeln scheint.
Daher schließe ich jetzt diesen Artikel, obwohl das Problem noch besteht und hoffe, dass ihr mir in dem neuem Posting weiterhelfen könnt.

Mit freundlichen Grüßen
Turnschuh

[Arne.F]

Dieser Eintrag kommt mir schon etwas komisch vor, aber ich weiß auch nicht, wie ich den Eintrag auf zugelassen setzen kann (vielleicht ist dies auch nicht möglich....).

Die Legende Unten zeigt das Standardverhalten ohne Firewallregeln. Den Eintrag selbst kannst du nicht ändern aber er ist unwirksam da deine erste Firewallregen genau das erlaubt und deine Regel weiter oben steht.