Windows wechselt zwischen lokalem und IPV6-ISP-DNS hin und her.

[luck3rhoch3]

Hi,

habe OPNSense mit einem DSL-Modem am laufen. Bisher hat eigentlich alles gut geklappt, allerdings wechselt mein Windows-PC ständig den DNS, was zu fehlerhafter oder langsamer Hostnamenauflösung intern führt. Ich denke das Problem betrifft alle IPv6-fähigen Geräte.

nslookup gibt dann *****************(ipv6-adresse die bei allen Interfaces angezeigt wird)*******.dip0.t-ipconnect.de aus.

Hier die WAN-Config:

You cannot view this attachment.

Hier die Konfig eines VLANS:
You cannot view this attachment.


So sieht der nslookup aus:

C:\Users\skald>nslookup google.de
Server:  p200300e****************.dip0.t-ipconnect.de
Address:  2003:eb:cf31:***********************

Nicht autorisierende Antwort:
Name:    google.de
Addresses:  2a00:1450:4016:808::2003
          142.251.36.163


Habe in einem anderen Beitrag über Router Advertisements gelesen, aber ich bin mir nicht ganz sicher, ob das nicht doch nur eine Notlösung ist:

You cannot view this attachment.

Damit funktioniert die Auflösung von lokalen Hostnamen immer.

Mache ich hier evtl. etwas falsch?

[Patrick M. Hausen]

Wieso sollte das eine Notlösung sein? Du musst deinen Clients doch irgendwie sagen, welche DNS-Server sie benutzen sollen. Für IPv4 machst du das per DHCP und für IPv6 per RA.

Wenn du nichts konfigurierst, gibt die OPNsense den Server weiter, den sie selbst am WAN vom ISP bekommen hat.

[luck3rhoch3]

In jedem einzelnen Tutorial das ich mir angesehen habe und auch im OPNsense Wiki wurde auf diesen Punkt nicht eingegangen bzw. sogar erwähnt, dass keine weiteren Konfigurationen diesbezüglich notwendig sind.

Dachte, dass die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN is unchecked." reichen würde.

Deshalb wollte ich mich nochmal vergewissern, dass ich nichts falsch gemacht habe. :D

Dankeschön 😇

[Patrick M. Hausen]

Es passiert das, was du einstellst. Wenn du willst, dass deine Clients den DNS-Server auf der OPNsrnse benutzen, musst du ihnen das sagen. Kann ein Tutorial-Produzent ja nicht wissen, was du willst.

Das sind alles Policy-Entscheidungen, es gibt keinen technischen Grund, zwingend das eine oder das andere zu wollen.

[luck3rhoch3]

Abend,

habe inzwischen EAP-APs im Einsatz und diese scheinen wohl ein Problem mit Router Advertisement zu haben. Wenn sich clients erstmalig oder nach längerer Zeit wieder verbinden, ggf. auch noch in Kombination mit Randomized MACs, dauert es 10 bis 20 Sekunden, bis der IPv6-DNS zugewiesen ist.

Alles was ich bisher zu Telekom DSL und WAN-Konfiguration gefunden habe, hat darauf abgezielt einfach nur Track WAN einzustellen und nur ein Prefix per DHCPv6 zu beziehen.

Ich habe das RA jetzt nochmal rausgenommen und komischerweise funktioniert nun doch noch alles (also vor allem die interne Namensauflösung). Entweder der Windows PC fängt erst später zu spinnen an, oder es lag am Reboot von PC und OPNSense, nachdem ich die Einstellungen entsprechend gesetzt habe.

Edit: Konnte es gerade reproduzieren. Die DNS-Probleme treten auf, wenn ich OPNSense reboote, aber den Windows PC nicht bzw. den Ethernet-Adapter nicht resette. Nach einem Neustart/Reset funktioniert der DNS wieder.

[Patrick M. Hausen]

Ich spare mir den ganzen Streß und mache DNS nur über IPv4. Also von den Clients bis zur OPNsense. Hast du Hosts, die nur IPv6 haben oder sind wie bei mir alle Dual-Stack?

[luck3rhoch3]

Alle meine Geräte sind IPv4-fähig bzw. Dual-Stack.

Heißt ein ausschließlicher DNS über IPV4, dass die Geräte keinen Internetzugriff per IPV6 haben oder kann man das entsprechend in OPNSense konfigurieren?

Ich weiß, dass ich IPV6 wahrscheinlich komplett deaktivieren könnte, aber irgendwie wehre ich mich dagegen... Inzwischen sind manche Dienste ja nur noch per IPv6 erreichbar (ein Beispiel das mir dazu gerade einfällt, das mich zwar nicht akut betrifft, wäre ein Fernzugriff auf eine Fritzbox über deren MyFritz!Net-Server).

[meyergru]

Kleiner Hinweis: Patrick meint nur "DNS über IPv4", nicht "Verzicht auf IPv6". DNS liefert - unabhängig, ob per IPv4 oder IPv6 angefragt, ggf. beide Adresstypen. Wenn Du also Dual-Stack im LAN nutzt, musst Du keineswegs auch DNS über IPv6 bedienen. Auf diese Weise kann man bei IPv6 komplett auf DHCPv6 verzichten (weil man das so nicht für die Verteilung von DNS-Servern benötigt) und nur per SLAAC bedienen. Das bietet sogar den Vorteil, mit jedem IPv6- bzw. Dual-Stack-Client zu funktionieren.

Lies mal dies.

[Patrick M. Hausen]

DNS nur über IPv4 heißt, dass die DNS-Anfragen und Antworten nur über IPv4 laufen. Die Kommunikation selbst ist davon nicht betroffen.

Client fragt DNS-Server nach einem AAAA-Record ("happy eyeballs", IPv6 zuerst). Client bekommt Anwort. Client öffnet Verbindung über IPv6.

Nochmal anders: das Transport-Protokoll für das DNS selbst ist vollkommen wurst und hat nichts mit dem Inhalt der Queries und Replies oder mit dem Transportprotokoll für andere Dienste zu tun. Man braucht kein DNS über IPv6, um DNS für IPv6 zu bekommen.

[luck3rhoch3]

Für SLAAC muss ich quasi RAs nutzen, diese auf "unmanaged" stellen und dort einfach keinen DNS eintragen?

Falls ja, werde ich das mal probieren und prüfen ob die Omada APs dann keine Probleme mehr machen.

[Patrick M. Hausen]

Für SLAAC muss ich quasi RAs nutzen, diese auf "unmanaged" stellen und dort einfach keinen DNS eintragen?

Am besten noch den Haken setzen bei "Do not send any DNS configuration to clients".

[luck3rhoch3]

Scheint zu klappen. Die Geräte erhalten gar keinen IPV6-DNS mehr, aber die Auflösung von ipv6 Domains (z. B. Google.de) klappt problemlos.

Auch die Smartphones verbinden sich jetzt mit den Omada APs innerhalb von Sekunden und haben auch ipv6-Konnektivität.

Danke euch :)

[luck3rhoch3]

Abend/Morgen,

mein Problem scheint wohl nicht zu sein, dass ein DNS vom ISP verwendet wird, sondern dass Unbound alle IPs eines Clients auflöst und da OPNSense ja auf allen Interfaces lauscht, werden mir dessen IPs von allen 7 VLANs mitgeteilt. Wenn ich im Browser dann opnsense über den Hostnamen aufrufe, wählt er zufällig eine IP und die Firewall blockt den Zugriff entsprechend, wenn es nicht das VLAN ist, in dem ich mich befinde.

ein "nslookup opnsense" ergibt bei mir 14 IPs, 7 IPv4 und 7 IPv6.

Gibt es eine Lösung hierfür?

[Patrick M. Hausen]

Wenn der Zugriff auf das Management-Interface nur von einem VLAN aus erfolgen soll, dann:

Services > Unbound DNS > General >  Do not register system A/AAAA records

Services > Unbound DNS > General >  Do not register IPv6 Link-Local addresses

Und dann bei Services > Unbound DNS > Overrides den einen Eintrag hinzufügen, den man haben will.

Wenn der Zugriff von allen VLANs aus erfolgen soll, dann in den Regeln "VLAN address" durch "This Firewall" ersetzen.

[meyergru]

Abend/Morgen,

mein Problem scheint wohl nicht zu sein, dass ein DNS vom ISP verwendet wird, sondern dass Unbound alle IPs eines Clients auflöst und da OPNSense ja auf allen Interfaces lauscht, werden mir dessen IPs von allen 7 VLANs mitgeteilt. Wenn ich im Browser dann opnsense über den Hostnamen aufrufe, wählt er zufällig eine IP und die Firewall blockt den Zugriff entsprechend, wenn es nicht das VLAN ist, in dem ich mich befinde.

ein "nslookup opnsense" ergibt bei mir 14 IPs, 7 IPv4 und 7 IPv6.

Gibt es eine Lösung hierfür?

Ja. Services: Unbound DNS: General -> "Do not register system A/AAAA records" und stattdessen den bevorzugten Eintrag in den Overrides manuell eintragen.

P.S.: Hatte Patrick ja schon geschrieben...