Probleme mit Unbound DNS - unpassende Tipps und/oder Unwissenheit?!

[Spacer]

Hallo,

momentan habe ich mir z.Zt. endlich mal wieder den Raum genommen und meine Firewall neu aufgesetzt und dabei dann die neueste Version von OpenSense aufgespielt.
U.a. musste das so passieren, da ich die vorige Version, der auch zuvor installierten OpenSense, nicht mehr updaten konnte. Aber das ist ein anderes Thema..

Also hat sich mein schon länger gehegter Wunsch (nach einigen Anlaufschwierigkeiten) erfüllt, alles besser, neuer und weiter umzusetzen und nun habe ich
momentan ein recht nettes Setup der OpenSense auf einer Sophos XG 230 am Laufen und mir alle möglichen Wünsche, von z.B. zwei LANs, zwei VLANs , Bridge, alles jeweils mit DHCP (ISC DHCPv4) in Verbindung mit Unbound DNS + IDS angelegt. (Als Sahnehäubchen habe ich noch von meiner FritzBox, die für die Telefonie zuständig ist und vor der OpénSense sitz, DoT von der FB auf alle OpenSense Schnittstellen rübergezogen und dazu den NTP der OpenSense auf den LAN Schnittstellen eingerichtet.) Alles lieft dann ganz gut (bis es endlich mal lief..), aber dann bekam ich plötzlich Probleme mit dem Unbound DNS. Mit dem hatte ich sowieso meine Anlaufschwierigkeiten, aber das soll hier auch nicht das Thema sein. Nachdem ich im Netz noch viele weitere Verbesserungstipps gelesen hatte, fand ich auf dieser Seite folgende Tipps:

When using IPS mode make sure all hardware offloading features are disabled in the interface settings (Interfaces ‣ Settings). Prior to version 20.7, "VLAN Hardware Filtering" was not disabled which may cause issues for some network cards.

Diese Tipps hatte ich dann umgesetzt und folgende drei Haken rausgenommen:

Hardware CRC    Disable hardware checksum offload
Hardware TSO    Disable hardware TCP segmentation offload
Hardware LRO    Disable hardware large receive offload

Als ich danach irgendwann Probleme mit DNS bekam und keine Verbindungen mehr möglich waren, hatte ich diese Tipps dann in Verdacht und habe das Ganze rückgängig gemacht und siehe da, Unbound DNS funktionierte wieder! Da war mir klar, es muss an diesen vermeintlich guten Tipps liegen?!

Es gab vorher die folgende Fehlermeldung in Unbound DNS (und die Statistik fehlte, was mir gezeigt hat das Unbound DNS nicht funktionierte...):
Zwischenzeitlich hatte ich noch einen Neustart der OpenSense gemacht und dann ging Unbound DNS kurz wieder und dann nicht mehr,
bis ich die Tipps rückgängig gemacht habe.

Errorunbound[26979:0] error: remote control failed ssl: Connection reset by peer

Also was ist da genau passiert und wer kann den Zusammenhang erklären? Ich weiß es jedenfalls nicht. Oder war das alles nur Zufall?

[Zapad]

Nun das HW Offload probleme bei IPS/IDS oder Zenarmor macht ist längst bekannt... manche empfehlen offload gar abzuschalten.

Es kommt aber auch darauf an welche HW benutzt wird, bei Intel NT mach Offload wohl die wenigsten probleme.

Aber das Umbound damit probleme hat höre ich zum ersten mal...

Man kann Offload auch per Interface abschalten und nicht global:

Schnittstellen>Globale Einstellungen überschreiben.