[SOLVED] resolv.conf nach Hardware-Neustart falsch

Started by BusinessTux, October 31, 2020, 02:53:02 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 31, 2020, 02:53:02 PM Last Edit: November 07, 2020, 03:59:40 PM by BusinessTux
Hallo zusammen,

ich bin aktuell dabei meine Netzwerke zu Hause von einem Lancom-Router auf die OPNsense mit MultiWAN umzubauen. Bisher habe ich lediglich zwei Subnets umgebaut, Hausautomation und Test.

Nach dem letzten Update auf 20.7.4 ist mir aufgefallen, dass mein Hausautomations-Netzwerk nicht mehr richtig läuft. Ursache war, dass die DNS-Auflösung auf der OPNsense nicht mehr funktioniert hat. Da diese DNS- und DHCP-Server für das Hausautomationsnetzwerk ist, ist es nur dort aufgefallen.

Zusätzlich haben dann auch ein Großteil meiner Firewall-Regeln nicht mehr funktioniert, da die Firewall-Aliase nicht aufgelöst werden konnten und damit die entsprechenden pfTables leer waren :-(.

Bedingt durch MultiWAN und den Unbound-DNS-Server sieht meine resolv.conf auf der OPNsense standardmäßig so aus:
Code Select
root@OPNsense:~ # cat /etc/resolv.conf
domain opn.mydomain.com
nameserver 127.0.0.1
nameserver 192.168.8.1
nameserver 192.168.165.1
nameserver 8.8.8.8
nameserver 9.9.9.9


Wird die OPNsense-Installation neugestartet, sieht sie nur noch so aus:
Code Select
root@OPNsense:~ # cat /etc/resolv.conf
# Generated by resolvconf
nameserver 10.0.4.2


Beheben kann ich das nur, indem ich in "Dienste: Unbound DNS: Allgemein" einmal speichere und die Änderungen anwende. Danach sieht die resolv.conf wieder so aus, wie im ersten Block.

Für mich stellen sich die folgenden Fragen:

  • Warum wird die resolv.conf mit falschen Werten befüllt?
  • Warum wird gerade diese IP-Adresse eingetragen? Das ist der DC meines Test-Netzwerkes.
  • Gibt es eine Möglichkeit das Speichern/Anwenden von Unbound DNS zu automatisieren (als Workaround)
  • Ist das ein Fehler oder habe ich was falsch konfiguriert?

Hier zum bessern Verständnis noch mein Netzaufbau (ohne Lancom-Router)
Code Select

   WAN / Internet                       WAN / Internet
         :                                    :
         : Mobilfunk (Telekom)                : /PPPoE/Telekom/VDSL 100
         :                                    :
    .----+----------.                   .-----+----------.
    |  LTE-Gateway  |                   |  VDSL-Gateway  |  (Vigor 165)
    '----+----------'                   '-----+----------'
         | 192.168.8.1/24                     | 192.168.165.1/24
         |                                    |
         |   Gatewaygruppe WANGWGroup         |
         \----------  ------------------------/
                    \/
   192.168.8.104/24 || 192.168.165.11
             Tier 2 || Tier 1
  WANLTE (opt2,re3) || WAN (wan,re0)
                    ||
    .---------------::----------------------.
    |  OPNsense.opn.mydomain.com            |
    |  20.7.4-amd64                         |
    |  CPU: i3-4130T 4x2,9 GHz              |
    |  RAM/HDD: 8GB / 2x128 GB SSD Mirror   |
    '--------------:---------:--:-----------'
                   |      re1|  | re2
                   |          \/   
                   |          ++--lagg0
                   |          ||  |
                   |          ||  |    VLAN            IP            Subnet           DHCPv4  OPT
       10.0.1.253  |          ||  +--- 20 Intra        10.0.2.253    10.0.2.0/24        off   opt4
  MGMT (lan,alc0)  |          ||  +--- 30 Gäste        10.0.3.253    10.0.3.0/24        off   
      10.0.1.0/24  |          ||  +--- 40 Test         10.0.4.253    10.0.4.0/24        off   opt3
                   |          ||  +--- 41 WLAN intern  192.168.1.253 192.168.1.0/24     off 
                   |          ||  +--- 70 IoT          10.0.7.253    10.0.7.0/24        on    opt1
                   |          ||
                   |          ||
                   |          ||
                   |          ||
      .------------+------.   ||
      | LAN-Switch        +---'|
      | Unifi USW-48      +----'
      '-----+-+-+-+-+-----'
            | | | | |
            | | | | '----... (Netzwerkdevices/Servers)  VLAN 10  mgmt.mydomain.com
            | | | |
            | | | '------... (Clients/Servers)          VLAN 20 intra.mydomain.com
            | | |
            | | '--------... (Clients)                  VLAN 30
            | |
            | '----------... (Clients/Servers)          VLAN 40  test.mydomain.com
            |
            '------------... (IoT Devices)              VLAN 70   han.mydomain.com
           

Aktivierte Dienste
- C-ICAP
- ClamAV
- DHCPv4
- Dynamisches DNS
- Unbound DNS
- Web-Proxy
  + http
  + https
  + transparent proxy
  + ICAP
  + Remote Access Lists

DHCPv4 auf Schnittstelle VLAN 70
- Subnetz       10.0.7.0
- Subnetzmakse  255.255.255.0
- Bereich       10.0.7.100 - 10.0.7.199
- DNS-Server    10.0.7.253 (OPNsense)
- Gateway       10.0.7.253 (OPNsense)
- Domain Name   han.mydomain.com


Bisher habe ich nur diesen Fehler gefunden: https://github.com/opnsense/core/issues/2828, der etwas ähnlich aussieht. Der Workaround einen Neustart des Unbound DNS in den Start einzubauen, hat leider nicht geholfen. Nur ein erneutes Anwenden der gespeicherten Konfiguration triggert bei mir ein erneutes Erzeugen der resolv.conf.

Hat jemand Tipps für mich, wie diesen Fehler beheben umgehen kann?

Danke
Ulf
October 31, 2020, 08:37:16 PM #1
Schau mal unter:
System: Settings: General

DNS server options:    Allow DNS server list to be overridden by DHCP/PPP on WAN

Ist das bei Dir vielleicht an?

Was ist das für ein Nameserver, den er Dir da einträgt? Kommt der von einem der WAN Links?
,,The S in IoT stands for Security!" :)
October 31, 2020, 08:59:40 PM #2
QuoteDNS server options:    Allow DNS server list to be overridden by DHCP/PPP on WAN
Ja, das ist aktiviert. Ich werde es mal deaktivieren und neustarten zum Testen, komme allerdings erst morgen dazu.

QuoteWas ist das für ein Nameserver, den er Dir da einträgt? Kommt der von einem der WAN Links?
Warum dann aber die 10.0.4.2 drin steht, erklärt sich für mich nicht. Das ist der Domain Controller (mit DHCP und DNS) aus dem angeschlossen Netzwerk VLAN 40. Das ist aber KEIN WAN-Netzwerk.
October 31, 2020, 09:02:00 PM #3
Bezieht Deine OPNsense denn aus diesem Testnetzwerk eine IP per DHCP?
,,The S in IoT stands for Security!" :)
November 01, 2020, 10:42:15 AM #4
Ich habe heute früh noch ein bisschen hin- und herprobiert.

Wenn ich den Haken
Code Select
System: Settings: General: DNS server options:    Allow DNS server list to be overridden by DHCP/PPP on WAN

entferne werden nur die zwei IP-Adressen der WAN-Gateways (hier rot markiert) aus der resolv.conf gelöscht

  • 127.0.0.1 -> Unbound DNS
  • 192.168.8.1 -> WANLTE Gateway
  • 192.168.165.1 -> WAN VDSL Gateway
  • 8.8.8.8 -> Google Public DNS für Multi-WAN-Monitoring VDSL-Gateway
  • 9.9.9.9 -> Google Public DNS für Multi-WAN-Monitoring LTE-Gateway

Nach einem Neustart ist dann wieder nur die 10.0.4.2 als DNS-Server und KEINE domain eingetragen.

Der 10.0.4.2. lediglich ein Server aus einem angeschlossenem Netzwerk. Die Netzwerk-Übersicht habe ich ja oben in Textform aufgezeigt.
November 01, 2020, 11:15:31 AM #5
Ich glaube ich habe es gelöst.

Ich habe mal die config.xml-Dateien aus /conf/backup nach der IP-Adresse durchstöbert. Dabei ist mir der Eintrag 10.0.4.2 als DNS-Server im Wireguard-Server aufgefallen:

VPN: Wireguard: Local
(siehe Anhang).

Nachdem ich die IP-Adresse dort rausgenommen habe, ist die resolv.conf auch nach dem Neustart korrekt mit allen fünf DNS-Servern bestückt.

Mich wundert es nur, dass als Beschreibung für den DNS-Server-Eintrag steht, dass dieser nur für die Wireguard-Schnittstelle sein soll. Ist das dann ein Bug, den ich melden sollte?

Danke
Ulf
Print
Go Up Pages1
User actions