Internet/Webseiten erst nach ca 30 Sekunden möglich

[ziegler]

Hallo,

ich habe ein kleines Netzwerk, ein PC über LAN an der Opensense (aktuelle Updates auf des opnsense sind eingespielt). Jetzt ist mir seit einigen Monaten folgendes aufgefallen.

Wenn ich den PC starte und der Desktop startbereit ist, den Browser dann direkt starte, ist ein Seitenaufbau
erst mal nicht möglich. Ich kann also keine Internetseite aufrufen oder mich auf das Webinterface der
opensense schalten. Es wird nichts angezeigt, es dauert immer erst 30 bis 40 Sekunden bis der Seitenaufbau klappt. Danach klappt alles wie es soll.

Jetzt frage ich mich ob das am PC liegt (Linux) oder ob es die opnsense ist. Nur diese ist ja immer 24/7 an.
Deshalb müsste ja die verbindung auch sofort mit dem Browser (firefox) vorhanden sein.
Als DNS nutze ich auf der opnsense unbound. Kann es eventuell damit zusammen hängen?
Muss Unbound erst mal was mit dem Client aushandeln usw.?

Ein ping auf die opnsense ist sofort möglich, auch der update Befehl von Linux (pacman -Syu) über die shell usw.
Nur der Seitenaufbau ist für die ersten 40 Sekunden gestört.

Neue Plugins im Browser habe ich nicht installiert, nutze nur ublockOrigin.
Ich meine das Phänomen ist erst seit der Umstellung auf unboundDNS aufgetreten.

Hat jemand ein ähnliches verhalten wie bei mir?

[franco]

Klingt nach einem typischen DNS Problem: IPv6 wird bevorzugt, aber funktioniert nicht richtig. Einfach am WAN mal das IPv6 abschalten und schauen was passiert.


Grüsse
Franco

[ziegler]

Das ipv6 ist schon abgeschaltet auf WAN

[micneu]

1. ist die sene eine vm oder metal
2. wie ist dein netz aufgebaut, hängt der pc wirklich direkt an der sense (sollte der aufbau anders sein bitte einen grafischen netzwerkplan)?
3. was für ein internet, macht die sense PPPoE, wie genau kopmmst du ins ubnternet, welcher provider?
4. screenshot von deiner WAN konfiguration

[chemlud]

Wenn der Packagemanager sofort funktioniert (braucht ja auch DNS) würde ich eher mal den Rechner bzw. Browser in's Visier nehmen. Irgendwelche (alten) Configs z.B. mit Proxy? Mal einen anderen Browser installiiert?

[ziegler]

1. ist die sene eine vm oder metal
2. wie ist dein netz aufgebaut, hängt der pc wirklich direkt an der sense (sollte der aufbau anders sein bitte einen grafischen netzwerkplan)?
3. was für ein internet, macht die sense PPPoE, wie genau kopmmst du ins ubnternet, welcher provider?
4. screenshot von deiner WAN konfiguration

1. Die Sense ist metal
2. Der PC hängt direkt per LANkabel an der Sense
3. Vodafone Kabel Anschluss --> am WAN der Sense hängt die VodafoneStation im BridgeMode
4. werde ich heute abend hochladen, bin aktuell nicht zuhause

@chemlud
ja, vielleicht im firefox unter Verbindungs-Einstellungen, die Proxyeinstellungen überprüfen.
Da sollte am besten kein Proxy ausgewählt sein.
Vielleicht hat ein Update das verstellt --> da schaue ich heute abend auch mal nach

[chemlud]

...bei Vodafone würde ich mal blind auf irgendwelchen ipv6-Murks tippen..

PS: oder irgendwelchen DNS-Voodoo im Frozila Eiermox konfiguriert?

[ziegler]

Ich habe das noch mal jetzt genauer getestet.

Also wenn der PC gestartet wird, ist auch kein Update über die shell mittels "pacman -Syu" möglich.
Im Browser firefox sind keine Seiten aufrufbar, ich komme auch nicht auf das Webinterface der OPNSense.
Ein Aufrufen des Webinterfaces der VodafoneStation ist auch nicht möglich.
Ich komme aber ohne Probleme auf den AccessPoint. Meinen Netzplan habe ich angehängt, ich denke der zeigt meinen Aufbau ganz gut. Die opnsense ist ein APU Board, 24/7 an.

Die opnsense rufe ich im Browser per DNS Name auf, die Vodafone Station per IP.
Beide Aufrufe klappen ja nicht.

Unbound DNS kann es dann ja eigentlich nicht sein, weil die Vodafone Station per IP angesprochen wird und das auch nicht klappt.

Nach ca. 40 Sekunden erreiche ich alle Geräte wieder über das Webinterface und alles funktioniert "normal".

Ich verstehe das nicht mehr :-(

[Patrick M. Hausen]

Ist da irgendein Switch involviert? Eine ganz traditionelle Spanning-Tree Implementierung ohne Portfast braucht genau 30 Sekunden bis ein Port von "Interface up" in den "forearding" Zustand wechselt.

[ziegler]

Nein, ich habe kein switch, der PC hängt direkt am LAN-Port der opnsense, weil das ist mein einziger PC.
Die andere Geräte wie smartphone oder PS4 sind per WLAN verbunden.

Auf allen Interfaces habe ich  IPv6 Configuration Type auf None gestellt

Ich vermute das es am unboundDNS liegt.
Wenn ich z.B. nach dem PC start eine shell aufmache und ein ping auf www.heise.de mache klappt das nicht.
--> www.heise.de: Temporärer Fehler bei der Namensauflösung

Ich habe die Zeit mal gestoppt --> es sind ca. 85 Sekunden, dann wird der ping aufgelöst.

Ich kann das Opnsense Webinterface nicht per DNS Name direkt nach dem Start aufrufen, aber über die IP (192.168.1.1).

Ich habe mal am PC geschaut:
Meine Netzwerkkarte wird mittels "systemctl status systemd-networkd.service" gestartet.
Direkt nach dem Login erfolgreich gestartet.
--> Active: active (running) since Thu 2023-03-30 20:13:00 CEST; 19s ago

DNS aber nicht funktionsfähig.

Jetzt schaue ich mir den LOG vom unboundDNS auf der opnsense an, da steht folgendes:
2023-03-30T20:14:26   Informational   unbound   [61244:0] info: start of service (unbound 1.17.1).

Startzeit meines Netzwerkdienstes am Client war 20:13:00
Der Unbound startete dann 20:14:26   

Das sind ungefähr die 85 Sekunden die ich auch gemessen habe.

Jetzt meine Frage:
Warum startet der unboundDNS auf der opnsense neu wenn ein Client im Netzwerk startet?
Oder interpretiere ich den LOG falsch?

[Patrick M. Hausen]

Lass mich raten: du hast den Unbound ausdrücklich auf einzelne Interfaces gebunden? Nun, wenn das Interface down ist, kann der Unbound nicht laufen. Stell ihn auf "All" und lass die Firewall-Regeln dafür sorgen, dass von außen niemand Unsinn treibt. Dann ist er auch immer sofort da.

Warum fummeln immer alle an den Interface-Einstellungen rum? Hatten wir gerade auch wieder beim Web UI. Da steht nicht umsonst "All (recommended)" im UI. 

[ziegler]

Wenn gemeint ist:  Services --> Unbound DNS --> General

da habe ich unter Network Interfaces kein ALL
Ich kann da einzelene Interfaces auswählen, LAN, WAN und WLAN

Ausgewählt habe ich da LAN und WLAN

[Patrick M. Hausen]

Wähle alles ab, dann steht da "All".

[ziegler]

ok, muss ich dann noch eine Regel in der firewall erstellen oder reicht das dann so?
Weil ich mir da nicht sicher war wegen der WAN Schnittstelle habe ich den unbound damals nur auf LAN und WLAN begrenzt.

Aber jetzt wird mir so einiges klarer weil der unbound erst mal down war.

[Patrick M. Hausen]

Wenn du auf WAN nach wie vor ein "deny all" hast, dann reicht das so. Du hättest für LAN und WLAN auch mit diesen expliziten Zuweisungen eine Firewall-Regel gebraucht, die den Zugriff erlaubt. Folglich hast du die schon.

Mal zur Erklärung: "All" ist in der IP-Welt speziell. Die Adresse heißt symbolisch INADDR_ANY und ist für IPv4 0.0.0.0 und für IPv6 ::

Wenn ein Service an diese Adresse einen Socket bindet, dann ist der immer "da".

Sagst du dem Service dagegen "nimm nur LAN", dann bindet er den Socket an die Adresse (z.B.) 192.168.1.1. Fährst du nun den PC runter, geht auch das Interface bei der OPNsense auf "down". Und damit ist die Adresse nicht mehr da. Und damit der Service dann natürlich auch nicht mehr.

Deshalb sollte man alle Dienste einfach wie auch voreingestellt auf "All" stehen lassen, es sei denn, man weiß sehr genau, was man tut und warum.

Gruß
Patrick