"
Hallo Stefan,
ich weiß nicht, ob es dir hilft, aber den Log-Eintrag "(local IP does not match any domain IP)" hatte ich auch und die Devices bekamen keine HTTPS-Verbindung (über Port 443) nach draußen = die Android-Handies beschwerten sich über eine "fehlende Internetverbindung" und der FireTV-Stick konnte keinen Kontakt zum Amazon-Server aufnehmen.
Die Fehlermeldung ist hier beschrieben. Unter anderem heißt es dort: ensure that the DNS servers Squid uses are the same as those used by the client(s).
Und genau hier lag bei mir die Lösung: Unter OPNSense ist bei mir der DNS Resolver aktiviert mit der aktivierten Option "DNS Query Forwarding: Enable Forwarding Mode". Das bedeutet, dass die Nameserveranfragen an den Nameserver weitergeleitet werden, der unter System-Settings-General angegeben ist. Ich hatte dort den Google-Nameserver eingetragen = 8.8.8.8.
Und genau diesen Nameserver darf man mit aktiviertem DNS Resolver NICHT auch via DHCP an die Clients ausgeben. Denn der Proxy nutzt nicht diesen Nameserver, sondern offensichtlich den DNS Resolver der Firewall. Das habe ich erst kapiert, als ich mir die Hilfe-Texte unter System-Settings-General habe anzeigen lassen. Dort heißt es zur letzten Option "Do not use the DNS Forwarder as a DNS server for the firewall":
"By default localhost (127.0.0.1) will be used as the first DNS server where the DNS Forwarder or DNS Resolver is enabled and set to listen on Localhost, so system can use the local DNS service to perform lookups. Checking this box omits localhost from the list of DNS servers"
Meine Lösung zur Beseitigung der o.g. Fehlermeldung war daher, den Clients via DHCP als Nameserver die IP des Firewall-Interfaces mitzuteilen (in meinem Fall die statische IP des WLAN-Interfaces). Dadurch wird sichergestellt, dass sowohl die Clients als auch der Proxy den DNS Resolver als Nameserver nutzen. Und siehe da, obige Fehlermeldung war weg und die Clients haben seither keine Probleme mehr mit SSL-Verbindungen zu externen Servern.
Vielleicht hilft es ja auch bei dir. Hat mich ungefähr eine Stunde Rumprobieren gekostet und eine genervte Gattin, die ihre Lieblingsserie nicht über den FireTV gucken konnte... Aber ich habe wieder etwas mehr über die Firewall gelernt. Immerhin ;D
Gruß,
beclar2
ich weiß nicht, ob es dir hilft, aber den Log-Eintrag "(local IP does not match any domain IP)" hatte ich auch und die Devices bekamen keine HTTPS-Verbindung (über Port 443) nach draußen = die Android-Handies beschwerten sich über eine "fehlende Internetverbindung" und der FireTV-Stick konnte keinen Kontakt zum Amazon-Server aufnehmen.
Die Fehlermeldung ist hier beschrieben. Unter anderem heißt es dort: ensure that the DNS servers Squid uses are the same as those used by the client(s).
Und genau hier lag bei mir die Lösung: Unter OPNSense ist bei mir der DNS Resolver aktiviert mit der aktivierten Option "DNS Query Forwarding: Enable Forwarding Mode". Das bedeutet, dass die Nameserveranfragen an den Nameserver weitergeleitet werden, der unter System-Settings-General angegeben ist. Ich hatte dort den Google-Nameserver eingetragen = 8.8.8.8.
Und genau diesen Nameserver darf man mit aktiviertem DNS Resolver NICHT auch via DHCP an die Clients ausgeben. Denn der Proxy nutzt nicht diesen Nameserver, sondern offensichtlich den DNS Resolver der Firewall. Das habe ich erst kapiert, als ich mir die Hilfe-Texte unter System-Settings-General habe anzeigen lassen. Dort heißt es zur letzten Option "Do not use the DNS Forwarder as a DNS server for the firewall":
"By default localhost (127.0.0.1) will be used as the first DNS server where the DNS Forwarder or DNS Resolver is enabled and set to listen on Localhost, so system can use the local DNS service to perform lookups. Checking this box omits localhost from the list of DNS servers"
Meine Lösung zur Beseitigung der o.g. Fehlermeldung war daher, den Clients via DHCP als Nameserver die IP des Firewall-Interfaces mitzuteilen (in meinem Fall die statische IP des WLAN-Interfaces). Dadurch wird sichergestellt, dass sowohl die Clients als auch der Proxy den DNS Resolver als Nameserver nutzen. Und siehe da, obige Fehlermeldung war weg und die Clients haben seither keine Probleme mehr mit SSL-Verbindungen zu externen Servern.
Vielleicht hilft es ja auch bei dir. Hat mich ungefähr eine Stunde Rumprobieren gekostet und eine genervte Gattin, die ihre Lieblingsserie nicht über den FireTV gucken konnte... Aber ich habe wieder etwas mehr über die Firewall gelernt. Immerhin ;D
Gruß,
beclar2
