OPNsense Forum

International Forums => German - Deutsch => Topic started by: guest17762 on July 04, 2018, 09:36:00 pm

Title: [SOLVED] Firewall führt (ohne Grund?) viele DNS-Abfragen durch
Post by: guest17762 on July 04, 2018, 09:36:00 pm

Hallo zusammen,

ich hab mich heute gewundert, warum mein DNS ab und an nicht funktionierte und hab mich daraufhin mal via ssh auf die OPNSense eingeloggt und via tcpdump geschaut.

Auf igb0 (WAN-Interface) sehe ich tausende Pakete: (Cloudflare war nur zum testen. Standardmäßig nehm ich die DTAG-DNS-Server, die haben mich aber mittlerweile gesperrt)

Code: [Select]

listening on igb0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:27:26.683443 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.15708: 9470 NXDomain$ 0/6/1 (1033)
19:27:26.686739 IP fw1.private.49706 > 1dot1dot1dot1.cloudflare-dns.com.domain: 10627+ [1au] AAAA? "18426".private. (44)
19:27:26.725267 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.49706: 10627 NXDomain$ 0/6/1 (1033)
19:27:26.728370 IP fw1.private.39601 > google-public-dns-a.google.com.domain: 16859+ [1au] A? "18425".private. (44)
19:27:26.767035 IP google-public-dns-a.google.com.domain > fw1.private.39601: 16859 NXDomain$ 0/6/1 (1033)
19:27:26.770192 IP fw1.private.26028 > 1dot1dot1dot1.cloudflare-dns.com.domain: 50933+ [1au] AAAA? "18425".private. (44)
19:27:26.810628 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.26028: 50933 NXDomain$ 0/6/1 (1033)
19:27:26.814209 IP fw1.private.39386 > 1dot1dot1dot1.cloudflare-dns.com.domain: 29647+ [1au] A? "18424".private. (44)
19:27:26.855157 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.39386: 29647 NXDomain$ 0/6/1 (1033)
19:27:26.858585 IP fw1.private.20533 > 1dot1dot1dot1.cloudflare-dns.com.domain: 47262+ [1au] AAAA? "18424".private. (44)
19:27:26.899528 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.20533: 47262 NXDomain$ 0/6/1 (1033)
19:27:26.902966 IP fw1.private.39699 > google-public-dns-a.google.com.domain: 37383+ [1au] A? "18423".private. (44)
19:27:26.941497 IP google-public-dns-a.google.com.domain > fw1.private.39699: 37383 NXDomain$ 0/6/1 (1033)
19:27:26.944754 IP fw1.private.16724 > google-public-dns-a.google.com.domain: 54469+ [1au] AAAA? "18423".private. (44)
19:27:26.984075 IP google-public-dns-a.google.com.domain > fw1.private.16724: 54469 NXDomain$ 0/6/1 (1033)
19:27:26.987501 IP fw1.private.48487 > google-public-dns-a.google.com.domain: 38916+ [1au] A? "18422".private. (44)
19:27:27.026313 IP google-public-dns-a.google.com.domain > fw1.private.48487: 38916 NXDomain$ 0/6/1 (1033)
19:27:27.029309 IP fw1.private.45585 > google-public-dns-a.google.com.domain: 18219+ [1au] AAAA? "18422".private. (44)
19:27:27.067797 IP google-public-dns-a.google.com.domain > fw1.private.45585: 18219 NXDomain$ 0/6/1 (1033)
19:27:27.071274 IP fw1.private.6915 > 1dot1dot1dot1.cloudflare-dns.com.domain: 17356+ [1au] A? "18420".private. (44)
19:27:27.112370 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.6915: 17356 NXDomain$ 0/6/1 (1033)
19:27:27.115344 IP fw1.private.14878 > google-public-dns-a.google.com.domain: 58128+ [1au] AAAA? "18420".private. (44)
19:27:27.153695 IP google-public-dns-a.google.com.domain > fw1.private.14878: 58128 NXDomain$ 0/6/1 (1033)
19:27:27.157305 IP fw1.private.36250 > 1dot1dot1dot1.cloudflare-dns.com.domain: 40480+ [1au] A? "18419".private. (44)
19:27:27.197928 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.36250: 40480 NXDomain$ 0/6/1 (1033)
19:27:27.201545 IP fw1.private.44937 > 1dot1dot1dot1.cloudflare-dns.com.domain: 16324+ [1au] AAAA? "18419".private. (44)
19:27:27.242422 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.44937: 16324 NXDomain$ 0/6/1 (1033)
19:27:27.245793 IP fw1.private.34551 > 1dot1dot1dot1.cloudflare-dns.com.domain: 49054+ [1au] A? "18418".private. (44)
19:27:27.285718 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.34551: 49054 NXDomain$ 0/6/1 (1033)
19:27:27.288880 IP fw1.private.33498 > google-public-dns-a.google.com.domain: 56477+ [1au] AAAA? "18418".private. (44)
19:27:27.327717 IP google-public-dns-a.google.com.domain > fw1.private.33498: 56477 NXDomain$ 0/6/1 (1033)
19:27:27.330801 IP fw1.private.19693 > 1dot1dot1dot1.cloudflare-dns.com.domain: 33953+ [1au] A? "18417".private. (44)
19:27:27.371446 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.19693: 33953 NXDomain$ 0/6/1 (1033)
19:27:27.374685 IP fw1.private.41266 > google-public-dns-a.google.com.domain: 44864+ [1au] AAAA? "18417".private. (44)
19:27:27.414056 IP google-public-dns-a.google.com.domain > fw1.private.41266: 44864 NXDomain$ 0/6/1 (1033)
19:27:27.417631 IP fw1.private.26629 > google-public-dns-a.google.com.domain: 15173+ [1au] A? "18416".private. (44)
19:27:27.456439 IP google-public-dns-a.google.com.domain > fw1.private.26629: 15173 NXDomain$ 0/6/1 (1033)
19:27:27.459515 IP fw1.private.36488 > google-public-dns-a.google.com.domain: 29034+ [1au] AAAA? "18416".private. (44)
19:27:27.498738 IP google-public-dns-a.google.com.domain > fw1.private.36488: 29034 NXDomain$ 0/6/1 (1033)
19:27:27.502264 IP fw1.private.23870 > 1dot1dot1dot1.cloudflare-dns.com.domain: 20290+ [1au] A? "18415".private. (44)
19:27:27.542980 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.23870: 20290 NXDomain$ 0/6/1 (1033)
19:27:27.545779 IP fw1.private.31602 > 1dot1dot1dot1.cloudflare-dns.com.domain: 11999+ [1au] AAAA? "18415".private. (44)
19:27:27.585541 IP 1dot1dot1dot1.cloudflare-dns.com.domain > fw1.private.31602: 11999 NXDomain$ 0/6/1 (1033)
19:27:27.588965 IP fw1.private.54251 > google-public-dns-a.google.com.domain: 14659+ [1au] A? "18414".private. (44)

"NXDomain" ist klar, aber woher kommt der Kram?
Ich hab die anderen Interfaces schon gecheckt, ob da nicht eventuell ein Client Mist treibt, die sind aber alle brav.

Wireshark sagt so etwas:

Code: [Select]

360 7.889167 192.168.178.254 8.8.8.8 DNS 86 Standard query 0x2d13 AAAA "20186".private OPT
361 7.928112 8.8.8.8 192.168.178.254 DNS 1075 Standard query response 0x2d13 No such name AAAA "20186".private SOA a.root-servers.net RRSIG NSEC aaa RRSIG NSEC pro RRSIG OPT

Hatte schon mal jemand das Problem oder kann mir einen Tipp geben, durch was das ausgelöst werden kann?

Title: Re: Firewall führt (ohne Grund?) viele DNS-Abfragen durch
Post by: franco on July 05, 2018, 08:40:56 am

Hi Philipp,

Ich finde die Quelle gerade nicht, aber jemand hatte ein ähnliches Problem und es stelle sicher heraus dass ein Android Device im LAN Netzwerk diese Abfragen am laufenden Band produzierte. Vielleicht hilft das...


Grüsse
Franco

Title: Re: Firewall führt (ohne Grund?) viele DNS-Abfragen durch
Post by: guest17762 on July 05, 2018, 06:55:44 pm

Quote from: franco on July 05, 2018, 08:40:56 am

Ich finde die Quelle gerade nicht, aber jemand hatte ein ähnliches Problem und es stelle sicher heraus dass ein Android Device im LAN Netzwerk diese Abfragen am laufenden Band produzierte.

Wie gesagt, hatte alle Interfaces geprüft. Da war nichts, versprochen! :D

Hab die OPNSense gestern Abend nochmals neugestartet und danach war Ruhe.. komisch. :)

Grüße
Philipp

Title: Re: [SOLVED] Firewall führt (ohne Grund?) viele DNS-Abfragen durch
Post by: fabian on July 05, 2018, 10:01:10 pm

Wenn es tatsächlich von der FW kommt, sind in der Regel Aliase oder rspamd (remote Datenbanken werden über DNS angesprochen) verantwortlich. Hast du beides nicht, siehst du nur die FW wegen des SNAT und nicht weil sie selbst dafür aus gutem Grund verantwortlich währe.