OPNsense Forum

International Forums => German - Deutsch => Topic started by: kosta on August 08, 2021, 08:28:35 am

Title: [gelöst] Upgrade 21.7.1 - Probleme mit dem IPsec Tunnel
Post by: kosta on August 08, 2021, 08:28:35 am

Hallo,
seit dem Upgrade meiner OPNsense auf 21.7.1 geht mein IPsec Tunnel mit der anderen OPNsense (Business) zwar, ich kann die IPs auf dem anderen Ende anpingen, aber die DNS Auflösung ist tot.
Ich habe die Overrides geprüft, drinnen sind sie, aber hat sich was geändert dass das plötzlich nicht gehen würde?

Das sehe ich im Log (Level4):
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: mesh_run: validator module exit state is module_finished   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: cannot validate non-answer, rcode SERVFAIL   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: comm point start listening 177 (-1 msec)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 50169   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: iter_handle processing q with state QUERY TARGETS STATE   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=33175   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: error sending query to auth server ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 61877   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: serviced query UDP timeout=376 msec   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: EDNS lookup known=0 vs=0   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: sending query: dc01.internal.domain.com. AAAA IN   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: selrtt 376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)

Domain ist anonymisiert.

Access List enthält nicht 10.10.11.0/24 Netz, aber denke nicht dass das jemals der Fall war.
Ich habe versucht allerdings einen Eintrag zu erstellen -> kein Erfolg.
Ich habe auch Outgoing Interfaces auf All (Recommended) gestellt -> kein Erfolg (sonst nur nach Bedarf, üblicherweise LAN und gewisse VLANs).
Network Interfaces in Unbound haben sich nicht geändert, hier sind LAN, VLANs, OpenVPN und WG Zugriff drin. Grund für nicht All ist dass ich eine VPN Anbindung habe, die den Unbound als DNS nicht benutzen darf.

Suricata deakitivert. Sensei deaktiviert.

Ideen bitte?

Danke

Title: Re: [gelöst] Upgrade 21.7.1 - Probleme mit dem IPsec Tunnel
Post by: kosta on August 08, 2021, 10:29:04 pm

Die Ursache habe ich gefunden:
Als ich noch Routed-IPsec getestet habe, war noch Firmen-GW drin.
Dieser scheint sich nach dem Update irgendwie aktiviert haben oder irgendwas, kA... gelöscht, deaktivierte statische Routen gelöscht... und geht wieder alles.