ein Client kann bestimmte Domains nicht öffnen, andere Clients aber problemlos …

Started by Marcel_75, October 10, 2019, 11:42:27 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
October 10, 2019, 11:42:27 PM Last Edit: October 10, 2019, 11:54:46 PM by Marcel_75
Hallo zusammen,

weiß leider gar nicht so recht, wie ich den Betreff besser umschreiben soll – es geht um folgendes Phänomen:

Neuerdings kann ich auf meinem MBP Netflix nicht mehr öffnen.  :-\

Und ich bin mit meinem Latein mittlerweile echt am Ende und hoffe nun auf Eure Hilfe.

Der Witz ist, da Netflix auf allen anderen Geräten in meinem Netzwerk problemlos funktioniert (ein iMac, ein Apple TV, ein iPad), hatte ich natürlich erst einmal das System meines MacBooks selbst in Verdacht.

Deshalb habe ich tatsächlich so gut wie alles versucht, was dafür verantwortlich sein könnte:

- DNS-Caches gelöscht
- /Library/Preferences/SystemConfiguration 'bereinigt' (alles außer com.apple.Boot.plist entfernt, wird nach einem Neustart dann automatisch neu angelegt und konfiguriert)
- /etc/hosts überprüft
- /var/folders 'bereinigt' (sämtliche Ordner gelöscht)

Da das alles nicht half, habe ich am Ende sogar noch einmal das komplette System (10.14.6) per 'Recovery Mode' komplett neu drübergebügelt (die Apps und User-Daten etc. gehen dabei nicht verloren, von daher ist das grundsätzlich unproblematisch unter macOS – diese Prozedur räumt aber eben auch Caches etc. auf).

Trotzdem: Netflix läuft immer noch nicht auf dem MBP. Vor 2 oder 3 Tagen klappte das aber noch.

Dazu muss noch gesagt werden: Per
Code Select
host netflix.com auflösen, auch per
Code Select
traceroute netflix.com und
Code Select
dig netflix.com sieht soweit alles gut aus – nur im Browser kann ich es halt trotzdem nicht öffnen (egal welcher Browser).

Dann erst hatte ich mich auch mal per VPN verbunden mit dem MBP (zu verschiedenen Firmen) und siehe da – sobald die VPN-Verbindung steht, funktioniert auch Netflix wieder im Browser!

Deshalb hatte ich dann Sensei in Verdacht wie auch meine Firewall-Regeln – aber nachdem ich Sensei komplett zurückgesetzt (und sogar wieder gelöscht habe) und auch meine FireHOL-Level-3- und Spamhaus-Regeln gelöscht (bzw. deaktiviert) habe, klappt das trotzdem noch nicht.

Ich verstehe das einfach nicht.  :-\

Da ja alle anderen Geräte keine Probleme haben und es per VPN auch keine Probleme gibt, nun meine Frage:

Was genau sollte ich jetzt prüfen, um das zu fixen?

Mir wäre nicht bewusst, dass ich an irgend einer Stelle in der OPNsense irgend etwas eingestellt hätte, was explizit nur mein MBP betrifft (das Gerät ist per Ubiquiti-AP im WLan und bekommt per DHCP-Server von der OPNsense eine IP zugewiesen).

Sorry für den etwas ausufernden Text, aber ich wollte das ganze möglichst genau beschreiben.

Danke für Hilfe wie immer.  :)
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 09:48:24 AM #1
Hmmm, ohne deine FW Regeln, outboundNAT, etc. zu kennen wird da niemand wirklich etwas zu sagen können, denke ich.

Ich hätte als erstes mal das MacDings in einem anderen Netzwerk (Gäste?) angehängt und geschaut, was dort passiert, bevor ich ganze Rechner neu aufsetze---
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
October 11, 2019, 09:59:15 AM #2
Da wurde nix "neu aufgesetzt", das war nur allgemeine 'maintenance' ...  ;)

Netflix funktioniert mit der Kiste wie gesagt in jedem anderen Netzwerk (bei anderen Firmen oder auch Freunden) oder auch per VPN (also connected zu anderen Firmen und Bekannten).

Und die Regeln sowohl bei LAN als auch WAN sind eigentlich nur die Standard-Regeln (alle zusätzlichen Regeln hatte ich ja extra deaktiviert).

Aber ich liefere gern Screenshots bei Bedarf – aus welchen Bereichen denn am besten?

PS: Und wie gesagt – jedes andere Gerät hier im Netzwerk hat keine Probleme mit Netflix, nur das MacBook ...
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 10:22:46 AM #3
Hatte ich in meinem Netzwerk mit den Apple Geräten meiner Freundin auch.
Hier hat es geholfen per Floating Regel den gesamten IPv6 Verkehr zu rejecten. Apple Geräte versuchen auf Krampf IPv6 zu benutzen (Bonjour inclusive), was nicht immer gut geht.
October 11, 2019, 10:44:51 AM #4
@Georg: Danke schon mal für den Hinweis.

Kannst Du mir vllt. einen Screenshot senden, wie diese Floating-Regel dann genau aussehen müsste?

Das wäre sehr hilfreich.
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 11:03:49 AM #5
Hallo Marcel_75,

hast du denn die Pakete mal in der Firewall nachvollzogen bevor du deine Rechner neu Installierst?

Von der Analyse die Du gemacht hast, liegt es ja wohl garnicht am Rechner wenn er in anderen Netzwerken auf die Seite kommt.

Ich vermute eine Regel oder Funktion in der Firewall als Ursache.

Versuch doch erstmal die Pakete auf den Interfacen der Firewall nachzuvollziehen. Mach einen Package Capture auf die IP deines MBP und schau was passiert. Erst auf dem LAN, dann auf dem WAN. So kannst du sehen wohin der Traffic fließt. Auf dem WAN Interface musst du dann evtl. nach der Zieladresse suchen, da deine Adresse dann vermutlich schon in deine externe Adresse übersetzt wurde.

Ansonsten mach auf deinem MBP mal mit Wireshark einen Sniff um zu sehen ob überhaupt IPv4 oder IPv6 verwendet wird und du hier ein Problem hast, dass dein MBP IPv6 machen will und du es nicht konfiguriert hast.

VG,

Dominik
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
October 11, 2019, 12:13:12 PM #6
Quote from: banym on October 11, 2019, 11:03:49 AM
Versuch doch erstmal die Pakete auf den Interfacen der Firewall nachzuvollziehen. Mach einen Package Capture auf die IP deines MBP und schau was passiert. Erst auf dem LAN, dann auf dem WAN. So kannst du sehen wohin der Traffic fließt. Auf dem WAN Interface musst du dann evtl. nach der Zieladresse suchen, da deine Adresse dann vermutlich schon in deine externe Adresse übersetzt wurde.

Hi Dominik,

das klingt vernünftig, nur bräuchte ich bitte etwas detailliertere Erläuterungen (gern auch mit Screenshots), wo genau ich da was machen kann/muss. Bin leider weder Netzwerk- noch BSD-Experte – aber sehr gern bereit, dazu zu lernen.  ;)

Quote from: banym on October 11, 2019, 11:03:49 AM
Ansonsten mach auf deinem MBP mal mit Wireshark einen Sniff um zu sehen ob überhaupt IPv4 oder IPv6 verwendet wird und du hier ein Problem hast, dass dein MBP IPv6 machen will und du es nicht konfiguriert hast.

Hatte IPv6 am MacBook für WLan auf "Automatisch" und hab das jetzt auch mal per
Code Select
networksetup -setv6off Wi-Fi komplett deaktiviert (um sozusagen IPv4 zu 'erzwingen') – ändert leider nichts.

Und WireShark übersteigt leider bei weitem meine Fähigkeiten – aber auch hier bin ich natürlich gern bereit, mir neues Wissen anzueignen. Aber auch da bräuchte ich dann Unterstützung.

Danke in jedem Fall schon mal.
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 01:42:57 PM #7
Hi,

Die Funktion findest du unter Interfaces -> Diagnostics -> Package Capture (entsprechend in deiner Sprache auf dem System)

Dann erstmal das LAN Interface auswählen, im ersten Schritt ANY bei Protocol etc. stehen lassen und nur deine IP des MBP eintragen. Dann auf start und nach einer Zeit oder einer Anzahl von Packeten die du konfigurieren kannst auf stop. Dann auf View und du solltest den Verkehr sehen können. Die Datei kannst du auch herunterladen und mit Wireshark anschauen. BTW. das ist bestimmt nicht zu kompliziert. Einfach nicht von der GUI einschüchtern lassen. Dich interessiert nur ob von deiner IP in Richtung Netflix Vekehr läuft.

Ich vermute von LAN zu Netflix wird das noch der Fall sein.

Das gleiche wiederholst du dann auf der WAN Seite. Du musst natürlich solange der Capture läuft immer Aufrufe auf Netflix provozieren. Wenn du auf der WAN-Seite keine Passenden Pakete von der Firewall weg in Richtung Netflix siehst (Die anderen Netflix-Geräte mal in der Zeit ausschalten) dann kannst du dir sicher sein, dass es in der Firewall gefilteret wird.

Dann überprüfe bitte deinen Floating Regelbereich (Persönlich finde ich Floating Regeln nur in absoluten Ausnahmesituationen nützlich, ansonsten Finger weg) und deinen LAN Regelbereich. Überprüfe alle Aliase ob nicht doch die IP in einer Regel steht die du übersiehst.

Baue mal zum Test eine Regel ganz oben rein, die den Verkehr von deiner MBP IP zu ANY erlaubt. Die Sollte dann auch im Inspect ziehen. Wenn dann alles geht, verdichtet sich die Vermutung einer Regel als Bösewicht, die darunter steht.

So würde ich jetzt weiter Testen.

VG,

Dominik

https://docs.opnsense.org/manual/diagnostics_interfaces.html#packet-capture
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
October 11, 2019, 02:02:03 PM #8
Danke vielmals, das werde ich versuchen und berichten.
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 02:10:45 PM #9
moin, ich möchte noch wissen, so wie du geschrieben hast am wlan, wie sieht es denn am ethernet aus, hast du da den gleichen fehler?
könntest du bitte mal mir die ausgabe dafür posten:
Code Select

networksetup -listallnetworkservices
networksetup -getdnsservers Wi-Fi

von deinem mac.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
October 11, 2019, 02:16:46 PM #10 Last Edit: October 11, 2019, 02:24:40 PM by Marcel_75
@banym: So, habe es jetzt erst einmal "zum üben" am iMac (IP 192.168.1.199) probiert:

Netflix ist am iMac wie gesagt i.O. (Auszug aus dem Capture):

Code Select
igb0 14:04:43.716602 IP 192.168.1.199.50696 > 34.250.41.147.443: tcp 0
LAN
igb0 14:04:43.755557 IP 34.250.41.147.443 > 192.168.1.199.50696: tcp 0
LAN
igb0 14:04:43.756072 IP 192.168.1.199.50696 > 34.250.41.147.443: tcp 0
LAN
igb0 14:04:43.765364 IP 192.168.1.199.50696 > 34.250.41.147.443: tcp 517
LAN
igb0 14:04:43.805204 IP 34.250.41.147.443 > 192.168.1.199.50696: tcp 0
LAN
igb0 14:04:43.806800 IP 34.250.41.147.443 > 192.168.1.199.50696: tcp 1440
LAN
igb0 14:04:43.806822 IP 34.250.41.147.443 > 192.168.1.199.50696: tcp 1440
LAN
igb0 14:04:43.806840 IP 34.250.41.147.443 > 192.168.1.199.50696: tcp 755

Ein
Code Select
host netflix.com ergibt am iMac folgendes (IPv6- und Mail-Einträge mal ausgeklammert).
Code Select

netflix.com has address 54.77.108.2
netflix.com has address 52.31.182.100
netflix.com has address 52.19.40.147
netflix.com has address 54.72.216.241
netflix.com has address 52.209.235.141
netflix.com has address 34.250.41.147
netflix.com has address 54.171.116.69
netflix.com has address 52.31.145.183

War in dem Fall also nur die 34.250.41.147 die am iMac für Netflix genutzt wurde.

Jetzt werde ich es gleich noch einmal mit dem MacBook testen.
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 02:18:32 PM #11 Last Edit: October 11, 2019, 02:26:39 PM by Marcel_75
@micneu:

Quote from: micneu on October 11, 2019, 02:10:45 PM
moin, ich möchte noch wissen, so wie du geschrieben hast am wlan, wie sieht es denn am ethernet aus, hast du da den gleichen fehler?

Ja, hab's vorhin auch mal per Ethernet probiert mit dem MacBook, verhält sich da auch so.

Quote from: micneu on October 11, 2019, 02:10:45 PM
könntest du bitte mal mir die ausgabe dafür posten:
Code Select

networksetup -listallnetworkservices
networksetup -getdnsservers Wi-Fi

von deinem mac.

Hatte ja gestern wie gesagt schon /Library/Preferences/SystemConfiguration 'bereinigt', dabei werden sämtliche Netzwerkschnittstellen komplett zurückgesetzt.

Aber anbei die Ausgabe für networksetup -listallnetworkservices:

Code Select
An asterisk (*) denotes that a network service is disabled.
USB 10/100/1000 LAN
Wi-Fi
Bluetooth PAN

Und für networksetup -getdnsservers Wi-Fi

Code Select
There aren't any DNS Servers set on Wi-Fi.

Ups? Das MacBook bezieht seine Netzwerk-Einstellungen ja per DHCP und zeigt beim WiFi für DNS-Server auch die 192.168.1.1 korrekt an (per Systemeinstellungen).

Und ein dig netflix.com gibt ja auch zurück, dass bei 192.168.1.1 angefragt wird:

Code Select
; <<>> DiG 9.10.6 <<>> netflix.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15245
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;netflix.com. IN A

;; ANSWER SECTION:
netflix.com. 48 IN A 52.18.15.9
netflix.com. 48 IN A 52.208.135.54
netflix.com. 48 IN A 52.17.219.77
netflix.com. 48 IN A 34.252.179.162
netflix.com. 48 IN A 54.77.143.196
netflix.com. 48 IN A 54.171.187.60
netflix.com. 48 IN A 52.17.227.174
netflix.com. 48 IN A 52.209.79.186

;; Query time: 33 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Oct 11 14:23:13 CEST 2019
;; MSG SIZE  rcvd: 168

Ich mache derweil mal den capture vom MacBook wie von @banym empfohlen ...
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 02:33:53 PM #12
@banym:

Also im capture der IP des MacBook (192.168.1.179) taucht tatsächlich keine der Netflix-IPs auf.

D.h., schon bei der Anfrage in Richtung LAN stimmt da irgend etwas nicht ... nur was?
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 02:36:39 PM #13 Last Edit: October 11, 2019, 02:45:49 PM by Marcel_75
Mmh, also Dank Euch sind wir dem Problem nun glaube ich schon einen großen Schritt näher:

Denn am iMac bekomme ich bei der Abfrage per
Code Select
networksetup -getdnsservers Ethernet die eigentlich zu erwartende Antwort:

Code Select
192.168.1.1

Ich werde jetzt mal von DHCP auf eine feste IP im Wi-Fi umstellen am MacBook, wahrscheinlich funktioniert es dann ...

Nee, zu früh gefreut – mit fester IP etc. wird dann zwar korrekt 192.168.1.1 per "networksetup -getdnsservers Wi-Fi"-Abfrage angezeigt, aber Netflix klappt trotzdem nicht ...
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
October 11, 2019, 02:52:21 PM #14
Hast du auf dem MBP LittleSnitch oder ähnliches am laufen?

Wenn ja alles ausschalten. Vermute zwar du hast auch direkt nach der Neuinstallation getestet aber nur so eine Idee.

Schau mal im Terminal mit ipconfig was genau an Einstellungen über DHCP kommen. Ob die auch wirklich stimmen. Ist das MBP das einzige Gerät an dem was anders ist?

Also das einzige WLAN Gerät, das Einzige an einem anderen Accesspoint?

Kommst du von dem MBP auf die Firewall? (Ping und Webinterface)

Hast du noch andere Geräte oder Hotspots mit dem MBP verbunden?

Erstmal solltest du soweit kommen, dass Du den Traffic vom MBP an der Firewall siehst.
Dann die Allow-ANY Regel ganz nach oben im Regelwerk für die IP vom MBP als SRC-IP dann siehst Du über Inspect ob die Regel verarbeitet wird und ob Pakete drüber gehen.

Wenn es dann nicht geht, neues WLAN-Kabel ;-) ... nein Scherz, dann nochmal melden.
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
Print
Go Up Pages1 2
User actions