[SOLVED] Deutsche Glasfaser aus eigenem Netzwerk nicht erreichbar

Started by Technix, August 14, 2020, 04:45:00 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 14, 2020, 04:45:00 PM Last Edit: September 02, 2020, 10:57:28 PM by Technix
Moin,

hier etwas kurioses was ich mir nicht erklären kann:

Mein Internetanbieter ist die deutsche Glasfaser und dort wollte ich eigentlich heute das VoIP einrichten, da ist mir folgendes aufgefallen:

Die Webseite ich nicht erreichbar. Egal welche Seite ich aufrufen möchte (Kundenportal, Startseite), kommt folgende Meldung:
Die Website ist nicht erreichbar
Die Server-IP-Adresse von www.deutsche-glasfaser.de wurde nicht gefunden.
DNS_PROBE_FINISHED_NXDOMAIN

Alle anderen Webdienste (Onedrive, Netflix, YT, Mails, Github, Ebay) funktionieren einwandfrei. Zeitgleich kann ich mit meinem Handy über mobile Daten die Webseite von der DG erreichen!? Wenn ich in mein Wlan wechsel, wieder nicht. Ich habe das mit 4 Geräten im Netzwerk ausprobiert, überall mit dem selben Ergebnis.

Dann habe ich in opnSense Diagnose-> Ping: deutsche-glasfaser.de
und siehe da:
# /sbin/ping -c '3' 'deutsche-glasfaser.de'
PING deutsche-glasfaser.de (185.22.44.179): 56 data bytes
64 bytes from 185.XX.XXX.XXX: icmp_seq=0 ttl=61 time=10.711 ms
64 bytes from 185.XX.XXX.XXX: icmp_seq=1 ttl=61 time=13.019 ms
64 bytes from 185.XX.XXX.XXX: icmp_seq=2 ttl=61 time=9.989 ms

Was kann denn da schief gelaufen sein? Ist das eine Fehlkonfiguration in opnSense? Oder kann das nicht am Router liegen? Kann das auch der Grund sein, weshalb ich mich mit der VoIP Basis nicht beim Provider anmelden kann?

Gruß Technix
August 14, 2020, 05:51:28 PM #1
Wie ist denn dein Netzwerk aufgebaut?
— bitte mal einen grafischen Netzwerkplan
— läuft die Sense auf Blech oder als vm
— Bilder deiner Konfiguration:
—— wan Interface
—— Firewall regeln die du konfiguriert hast



Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 14, 2020, 06:22:36 PM #2
Moin,
hab mal einen Netzwerkplan angehängt.

Quote from: micneu on August 14, 2020, 05:51:28 PM
— läuft die Sense auf Blech oder als vm

Ja, auf einem APU2, OPNsense 19.1.10_1-amd64. Dieser hängt hinter dem NT von DG und die Geräte hängen alle hinter dem Switch. PC und Basisstation mit Lankabel an Untaged Ports VLAN1 (Privat).

Quote from: micneu on August 14, 2020, 05:51:28 PM
— Bilder deiner Konfiguration:
—— wan Interface
—— Firewall regeln die du konfiguriert hast

Bei der Firewall habe ich unter fließende Regeln und WAN keine Regeln (Liste ist leer). Von Privat ist oben ein Anhang, ansonsten nur noch Restriktionen im Guestnetz...
Bild vom Wan Interface im Anhang.

Gruß Technix
August 24, 2020, 12:39:42 PM #3
was hast du wo als DNS Server angegeben ?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
August 24, 2020, 08:52:05 PM #4
Ich hatte mal die Google DNS eingetragen, allerdings bin ich mir jetzt nicht mehr sicher ob das richtig war (siehe Anhang).

Allerdings steht bei der WAN Schnittstelle als DNS-Server 185.22.44.50 und 185.22.45.50  (sollte die deutsche Glasfaser DNS sein)...

Die DG hat geschrieben, dass sie eine Störung hatten und jetzt sollte es funktionieren ... tut es nicht. Schätze das muss ein Fehler bei mir sein, allerdings kann ich ihn mir immer noch nicht erklären...
August 26, 2020, 04:47:56 PM #5
Ich persönlich mag das DNS Override nicht daher fliegt der Haken bei mir raus. Ich möchte meine DNSe gern selbst bestimmen und keine aufgezwungen bekommen :)

Ansonsten sehe ich WAN im CGN (100.x). Meh aber was will man machen.

Solang wir aber keine Client Konfig sehen bzw. wie das PRIVAT Netz konfiguriert ist und wie die DHCP Settings sind, sowie was ggf. mit DNS intern eingestellt ist, kann ich da nix zu sagen.

Dein initialer Fehler ist ein NXDomain. Also Domain nicht gefunden -> DNS Auflösung failed. Das kann alles sein, von Windows, Client, Browser, DoH, DNS, whatever. Daher bräuchte man mehr Infos.

Gruß
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
August 26, 2020, 06:28:25 PM #6 Last Edit: August 26, 2020, 06:33:05 PM by Technix
Ok, ich habe hier mal meine Opnsense Config hochgeladen:

https://1drv.ms/u/s!AjCPxlBgJL6FiYlLJdsWKlZfI3hidQ?e=P1gwwU

(Name, Passwörter und Secrets wurden entfernt). Hoffe da ist weitestgehend alles drin.

Habe auch den Haken mal entfernt^^, hat aber nichts geändert...

Ansonsten noch die Anhänge:
August 26, 2020, 06:29:15 PM #7
und noch ein paar Anhänge:
August 26, 2020, 06:29:45 PM #8
und die letzten zwei:
August 28, 2020, 09:33:46 AM #9
Was mir auffällt:

- Floating
Oben schriebst du noch du hast keine Floating Regeln, im Screen sieht man eine ohne irgendwelche Begrenzungen allerdings sieht man nicht auf welchen Interfaces die gilt. Was soll die bewirken? Das ist ja ein Freifahrtschein nach irgendwo? Sowas würde ich mal ganz dringend rauswerfen wenns keinen Grund gibt, vor allem so undefiniert wie die ist.

- auf dem WAN TCP/UDP einfach mal alles erlauben?
Dazu brauchst du dann keine Firewall ;) Was soll das? Debugging indem du der Welt die Tür öffnest? ;)

- VLAN1 auf igb0
Das würde ich tunlichst vermeiden. VLAN1 ist das Default VLAN und meist auch für untagged Traffic genutzt. Das würde ich wenn es sich vermeiden lässt NIE produktiv nutzen wollen. Entweder untagged oder andere VLAN ID. Gibt auch viele Billigswitche die dann VLANs nicht ordentlich separieren können bzw. bei denen VLAN1 durchsuppt, daher lieber was anderes nehmen wenn du eh schon alles mit VLANs machst, was gut und richtig ist wie ich finde.

Leider ist da jetzt nichts drin zu DNS und DHCP, was ich angesprochen hatte. Ich weiß jetzt immer noch nicht:

- auf welchem Client du das Problem hattest, dass du nicht pingen konntest bzw. der Browser die NXdomain warf
- ob der Client dann nen ping machen konnte oder ob du nen host/nslookup machen konntest
- du hast den Ping auf der Sense ohne "www" gemacht, den Browser Aufruf aber mit - das kann unterschiedlich sein
- wie bekommt der Rechner IP? DHCP?
- Was hatte er für ne IP und was war sein DNS? Hatte DNS funktioniert?

Worauf ich raus will: eventuell ist es überhaupt kein Paketproblem, sondern es gab/gibt lediglich ein DNS Konfig Problem bei dir weshalb dein Client die Seite nicht aufrufen konnte, Sense selbst nutzt aber nicht den lokalen Resolver/Forwarder sondern direkt Upstream Server und läuft daher.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 02, 2020, 10:56:50 PM #10
Moin,

ich habe von einem netten Kollegen Hilfe bekommen und dabei hat es sich rausgestellt, dass die Opnsense die Anfragen teilweise lokal auflösen wollte bzw. er dort keine Antwort bekommen hat.

Die Lösung war (siehe auch Anhang) :

Dienste -> Unbound DNS -> Allgemein -> DNS Abfrage-Weiterleitung (Häckchen setzen) Weiterleitungsmodus aktivieren

Jetzt funktioniert nicht nur das auflösen der Anfragen schneller, sondern auch das VOIP und die deutsche Glasfaser Seite ist wieder erreichbar.

^^ die Freischaltungen waren tatsächlich nur zum testen da und der Hinweis mit Vlan 1 war gut, dass musste ich noch ändern :)
Print
Go Up Pages1
User actions