OPNsense Forum
International Forums => German - Deutsch => Topic started by: DokuKäfer on February 20, 2019, 06:11:32 pm
-
Hallo zusammen,
folgender Aufbau liegt vor.
Internet <-> Digitalisierungsbox Premium <-> OPNsense <-> Netzwerk (Switch, APs)
OPNsense Version 19.1.1
Die Digitalisierungsbox (DigiBox) wird seitens der OPNsense mit mehrere NAT Anfragen bombardiert.
In der Übersicht der DigiBox steht bei „Aktive Sitzungen (SIF, RTP, etc... ) ein Wert von 4000.
Dies ist das maximum dieser Box. Somit brechen nun auch dauernd der SIP-Trunk seitens Telekom zusammen.
Folgendes findet sich in der LOG Datei der DigiBox:
(https://i.ibb.co/3kvYbS4/Digi-Box-NAT.png) (https://ibb.co/3kvYbS4)
Die 192.168.3.101 ist die OPNsense.
Die Anfragen kommen selbst wenn ich das Netzwerkkabel der OPNsense zum Netzwerk abziehe, somit kommen diese Anfragen allein von der OPNsense.
Ziehe ich das Kabel der OPNsense zur DigiBox ab, so bauen sich die Verbindungen ebenfalls ab.
Da ich hier selbst aber nun zu wenig Ahnung habe was hier falsch sein könnte, bin ich nun auf eure Hilfe angewiesen.
Grüße
Andreas
-
Im log findet man eher Port 53 (DNS), also Namesauflösung und keine Telefonie.
-
Hi Fabian,
nee mit dem Abbruch der Telefonie hat dies nichts zu tun.
Wollte damit nur sagen, dass durch die vielen DNS Anfragen die Digibox überlastet wird und deshalb die Telefonie ins stottern kommt.
Grüße
Andreas
-
Hi Fabian,
nee mit dem Abbruch der Telefonie hat dies nichts zu tun.
Wollte damit nur sagen, dass durch die vielen DNS Anfragen die Digibox überlastet wird und deshalb die Telefonie ins stottern kommt.
Grüße
Andreas
Sollte Sie abkönnen.
Gib in der Sense mal die IP der D-Box als DNS-Server ein, dann kann sie die Auflösung wuppen. Jetzt sieht es aus , dass die Sense einen Pool von DNS-Servern abklappert.
-
Hi Mike,
danke für den Tipp.
Bevor ich diesen aber nun umgesetzt habe, habe ich auf dem WAN Interface IPv6 deaktiviert.
Sofort gingen dabei dann auf der DigiBox die aktiven Verbindungen von 4000 auf ca. 400 - 600 (schwankend) runter.
Nun würde mich interessieren wieso dies passiert. Liegt hier vielleicht ein Bug vor?
Noch ein paar Verständisfragen:
1) sollte ich unter System > Settings > General trotzdem bei DNS die IP Adresse der Digibox eingeben?
Muss ich dann hinten bei "Use gateway" das WAN Interface auswählen oder auf "none" belassen?
2) sollte die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN" deaktiviert werden?
3) Da ja die DigiBox sich ins Internet einwählt und somit das ganze managed.
Stellt sich mir nun die Frage: ob ich auf der OPNsense den Service "Unbound DNS" deaktivieren soll?
Grüße
Andreas
-
Naja, IPv6 möchte auch den Namen aufgelöst haben, daher die Zugriffe. Warum so viel/oft bin ich überfragt.
Mit "Allow DNS server list to be overridden by DHCP/PPP on WAN" nutzt Du die DNS-Server des ISP, also Telekom, genau die gleichen, wenn Du die Digi-Box als DNS-Server in der Sense einsetzt und den Haken unter "Allow DNS server list to be overridden by DHCP/PPP on WAN" entfernst.
Du könntest mal den Haken entfernt lassen und, je nachdem wie deine Paranoia ausgeprägt ist, unter der Sense alternative DNS-Server eintragen. Dann kümmert sich die Sense um die Auflösung, dei Digi-Box schleust nur durch. Eventuell wird es besser.
-
Meine Vermutung: Firewall -> Alias
Wenn du hier externe Listen verwendest, müssen Hostnamen aufgelöst werden.
-
Naja, IPv6 möchte auch den Namen aufgelöst haben, daher die Zugriffe. Warum so viel/oft bin ich überfragt.
Mit "Allow DNS server list to be overridden by DHCP/PPP on WAN" nutzt Du die DNS-Server des ISP, also Telekom, genau die gleichen, wenn Du die Digi-Box als DNS-Server in der Sense einsetzt und den Haken unter "Allow DNS server list to be overridden by DHCP/PPP on WAN" entfernst.
Du könntest mal den Haken entfernt lassen und, je nachdem wie deine Paranoia ausgeprägt ist, unter der Sense alternative DNS-Server eintragen. Dann kümmert sich die Sense um die Auflösung, dei Digi-Box schleust nur durch. Eventuell wird es besser.
Paranoia hab ich keine, verwende öfters die 4x 8. ;)
Wenn ich einen DNS eintrage, muss ich dann hinten bei Gateway die WAN Schnittstelle oder die LAN Schnittstelle auswählen oder alles auf "None" lassen?
Meine Vermutung: Firewall -> Alias
Wenn du hier externe Listen verwendest, müssen Hostnamen aufgelöst werden.
Es sind dort keine Aliase gepflegt. Davon kann es nicht kommen.
-
Lass auf "none".
-
rspamd arbeitet ansonsten auch viel über DNS (DNSBL)
-
rspamd arbeitet ansonsten auch viel über DNS (DNSBL)
Dieses Plugin ist auch nicht installiert.
Könnte es evenetuell am Unbound DNS liegen?
Sollte ich mal Dnsmasq DNS versuchen?