OPNsense Forum
International Forums => German - Deutsch => Topic started by: jfischer on January 21, 2018, 10:33:38 am
-
Hallo,
bin gerade dabei, auf meiner APU2C4 OPNsense (17.7.12) einzurichten. Zu Testzwecken habe ich den ersten Ethernet-Port (igb0) an eine bestehende Fritz!Box angeschlossen und als WAN (DHCP) konfiguriert. Der zweite Ethernet-Zugang (igb1) ist als Interface LAN1 konfiguriert und zusammen ohne weitere Einstellungen mit einem weiteren WLAN-Interface (WLAN) als BRIDGE0 zusammengelegt. Für diese Bridge habe ich ein Interface INTERNAL angelegt. Auf INTERNAL läuft ein DHCP-Server und funktioniert auch (d.h. er liefert sowohl per LAN als auch WLAN IP-Adressen im Netz 10.0.0.0/24 aus und gibt sich selbst, also 10.0.0.1, als Gateway und DNS-Server an). Für das Interface INTERNAL sind die Standard-Firewall-Regeln eingerichtet. Für LAN1 und WLAN logischerweise nichts. Zugang ins Internet funktioniert soweit.
Nun habe ich ein 3G-Modem (per USB) angeschlossen und als Interface 3G konfiguriert. Der Einwahl funktioniert und das Modem bekommt vom PPP-Server eine (private) Adresse zugewiesen. Ich habe dann gemäß https://wiki.opnsense.org/manual/how-tos/multiwan.html (https://wiki.opnsense.org/manual/how-tos/multiwan.html) versucht, eine Multi WAN-Konfiguration aufzusetzen. Alles ist wie beschrieben eingerichtet, bis auf den Step 3, in dem man DNS-Server für die WAN-Gateways einrichten soll (macht aber keinen Unterschied). In den Firewall-Regeln habe ich also die Standard-Regel für INTERNAL so verändert, dass sie für das Gateway WANGWGROUP gilt.
Mein Problem: so lange das Kabel zur Fritz!Box dranhängt, funktioniert alles perfekt: ich kann mich am WLAN einloggen und von dort ganz normal surfen. Wenn ich dann aber das Kabel ziehe, geht das nicht mehr. Ich habe nun festgestellt, dass ich sehr wohl öffentliche IP-Adressen (z.B. einen Google-Server) anpingen kann. Ich komme auch auf Webseiten, wenn ich die IP-Adresse angeben. Allerdings geht nichts, wenn ich einen Domainnamen eingebe. Es gibt also wohl ein DNS-Problem: wenn ich über das 3G-Modem im Netz bin, werden die Domainnamen nicht aufgelöst.
Die Clients im WLAN (und LAN) erhalten wie gesagt die IP des INTERNAL-Interfaces (10.0.0.1) als DNS-Server. Wenn ich über die Fritz!Box gehe, werden die Namen korrekt aufgelöst, über das 3G-Modem nicht.
Unter Interfaces: Overview werden für das WAN-Interface korrekte Daten für "ISP DNS servers" angezeigt (also die IP der Fritz!Box als auch die IPs der DNS-Server die diese per PPP geliefert bekommen hat). Für das 3G-Interface findet sich kein solcher Eintrag.
Habt Ihr irgendeine Idee, was ich noch machen kann, um eine korrekte DNS-Auflösung zu erreichen?
Finde es auch merkwürdig, dass die Auflösung selbst dann nicht klappt, wenn ich unter System: Settings: General für das 3G-PPP Gateway 9.9.9.9 als DNS-Server einrichte (und natürlich "Allow DNS server list to be overridden by DHCP/PPP on WAN") deaktiviere.
Grüße,
Jens
-
Hi Jens,
was ist denn in den General Settings wo für DNS eingetragen?
Bei Multi-WAN solltest du ggf. 2 oder 3 DNSe wählen, wobei du je einen einem WAN zuordnest und ggf. einen dritten noch ohne direkte Zuordnung. Dann sollte auch bei deinem Fall eine DNS Auflösung möglich sein über den DNS der übrigen Verbindung (in dem Fall wohl 3G).
Gruß
Jens
-
Hallo Jens,
habe Verschiedenes probiert, jedoch nichts funktioniert. Eigentlich würde ich gerne den per DHCP bzw. PPP übergebenen Server ansprechen und würde deshalb gerne die Felder dort leer lassen und die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN" aktivieren.
Doch selbst mit den Settings im Anhang funktioniert es nicht, obwohl explizit DNS-Server angegeben sind.
Was mich dabei auch irritiert ist, dass die 9.9.9.9 dann auf dem WAN-Interface unter ISP DNS Servers auftaucht, währrend ich nichts über DNS-Server für das 3G-Interface sehe (ich hänge mal die "Overview" für das 3G-Interface an). Wie gesagt, Verkehr über IP-Adresse funktioniert. Wenn ich für ein nslookup auf einem Rechner am internen Netz manuell die 9.9.9.9 als DNS-Server wähle, funktioniert es auch wieder mit der Auflösung
Grüße,
Jens
-
Nenenene! So geht das nicht!
In die Felder müssen 3 unterschiedliche(!) Server rein, nicht einfach 3x den gleichen! Wenn dahinter nicht Default sondern ein spezifisches Gateway angegeben ist, wird die entsprechende IP als Hostroute auf das entsprechende Interface gebunden, so dass alle Fragen IMMER über das Gateway rausgehen an diesen Server. 3x den gleichen auf unterschiedliche Interfaces geht damit ganz und gar nicht!
Also schön 3 unterschiedliche angeben, dann klappt das auch. :)
-
Auch mit folgenden Einstellungen funktioniert es nicht.
-
Gibt es ein klein wenig mehr Info als "Geht nicht"? Geht nicht ist keine valide Fehlerbeschreibung. Zudem wäre es sinnvoll ggf. noch einen dritten DNS zu haben der NICHT an ein Gateway gebunden ist. Außerdem sollten die DNSe die hier eingetragen sind auch funktionieren - da ich die 2. IP nicht kenne, kann ich keine Aussage treffen. Und zum Schluß hast du ebenfalls nichts dazu gesagt, ob bspw. eines der Gateways ein custom monitoring gateway eingetragen hat - auch das erzeugt Host Routen. Man kann bspw. nicht 9.9.9.9 als Ping/Monitor Gateway bei einem DSL o.ä. eintragen und dann die gleiche IP dann via DNS auf die LTE Leitung mappen.
-
Danke für die Hilfe!
Wie schon beschrieben, es werden an den Rechnern, die am INTERNAL-Interface des OPNsense hängen (per LAN oder WLAN, ist gebricht) keine DNS-Namen aufgelöst, wenn nur über 3G Verbindung zum WAN besteht (wenn WAN-Zugang per Ethernet läuft, werden die Namen aufgelöst). Als DNS-Server kriegen die Rechner vom OPNsense per DHCP die IP-Adresse des OPNsense (hier 10.0.0.1). Per IP-Adresse erreiche ich jedoch externe Stationen im Internet.
Am einfachsten zu beschreiben ist dieses Phänomen wohl durch die folgenden nslookup-Befehle, die ich auf einem Rechner am INTERNAL-Interface ausführe.
root@localhost:~$ nslookup
> www.w3.org
Server: 10.0.0.1
Address: 10.0.0.1#53
** server can't find www.w3.org.localdomain: SERVFAIL
> server 9.9.9.9
Default server: 9.9.9.9
Address: 9.9.9.9#53
> www.w3.org
Server: 9.9.9.9
Address: 9.9.9.9#53
Non-authoritative answer:
Name: www.w3.org
Address: 128.30.52.100
> server 149.112.112.112
Default server: 149.112.112.112
Address: 149.112.112.112#53
> www.w3.org
Server: 149.112.112.112
Address: 149.112.112.112#53
Non-authoritative answer:
Name: www.w3.org
Address: 128.30.52.100
>
Die 2. IP ist von Quad9 als zweite Adresse für den gleichen Dienst wie 9.9.9.9 angegeben. Die Server an sich sind erreichbar (s.o.)
Tatsächlich hatte ich die beiden DNS-Server (9.9.9.9 und 149.112.112.112) als Monitoring-Adressen für die beiden Gateways eingerichtet. Habe jetzt andere Adressen für das Monitoring genommen. Gleiches Phänomen.
-
Das ist die Aussage von "nslookup":
DNS Server 10.0.0.1 funktioniert nicht.
Einen anderen RQ-Server eingetragen - und es funktioniert.
Ergo sind die Client - ports offen, Client - route ist vorhanden.
Aber eben DN Server "10.0.0.1" liefert keine Antwort.
Wohl an dieser Stelle direkt auf "10.0.0.1" den DN Server überprüfen, warum dieser keine Antwort liefert bzw. liefern kann. Mangels mehr infos vermute ich wohl, dass von 10.0.0.1 selbst keine route bzw. port für DNS zur Verfügung steht.