Probleme mit DNS + VLAN + Managed Switch

Started by mfreudenberg, Today at 07:04:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 07:04:58 PM
Hallo Zusammen,

Das ist mein erster Post hier. Ich habe versucht einen passenden Beitrag zu finden, aber nichts, was zu 100% passt. Daher mein Post. Ich bin noch kompletter OPNsense Neuling, betreibe aber schon seit Jahren ein Homelab mit einer Fritz!Box. Nun wollte ich mein Homelab mit einem managed Switch und OPNSense auf das nächste Level heben.

Ich versuche seit Tagen mein OPNSense mit meinem managed Switch zum laufen zu bekommen. Leider habe ich ein Problem mit der DNS-Auflösung. Ich erhalte zwar innerhalb der VLANs eine IP-Adresse via DHCP, aber die Namensauflösung klappt leider nicht. Ich kann die VLAN-Adresse des OPNSense anpingen, aber ein nslookup schlägt fehl. Ebenfalls ein `nc -vzw 4 <ip-des-opnsense> 53` läuft in einen timeout. Ich nutze für das Debugging ein Arch-Linux Laptop, der sowohl via WLAN (via Port 5), als auch via LAN (Port 3) an den Switch angebunden werden kann. Beim AP handelt es sich um einen TP-Link EAP653, der auch VLAN-Fähig ist und die passenden VLANs konfiguriert hat.

Ich habe ein Zyxel XGS1935 und eine OPNSense in einer VM auf einem Proxmox-Server installiert. Anbei eine kleine Skizze des Netzwerks


Ich habe die folgenden VLANs im Switch konfiguriert:

VLAN1  Management
VLAN20 Heimautomation
VLAN50 Clients

Im folgenden gebe ich nur die Konfigurationsdetails für das VLAN50 aus. Die anderen VLANs identisch konfiguriert und zeigen gleiche Symptome.

In OPNSense habe ich die folgenden VLANs eingerichtet:

Code Select
vlan0.01 [MGMT] vtnet1 (mac-adresse) [LAN] 1 Best Effort (0, default)
vlan0.50 [Clients] vtnet1 (mac-adresse) [LAN] 50 Best Effort (0, default) Internet
vlan01.20 [Heimautomation] vtnet1 (mac-adresse) [LAN] 20 Best Effort (0, default) Heimautomation



Hier beispielhaft die Konfiguration für das Client-Interface (VLAN50) in OPN-Sense.

Code Select
## Basic Configuration
Enable [x] Enable Interface
Lock [x] Prevent interface removal
Identifier opt3
Device vlan0.50
Description Clients

## Generic configuration
Block private networks [ ]
Block bogon networks [ ]
IPv4 Configuration Type Static IPv4
IPv6 Configuration Type None
MAC address [...]
Promiscuous mode [ ]
MTU [...]
MSS [...]
Dynamic gateway policy [ ] This interface does not require an intermediate system to act as a gateway

## Static IPv4 configuration
IPv4 address 172.17.50.253
IPv4 gateway rules Disabled

Hier die Firewall-Regeln für das Client-VLAN50:

Code Select
IPv4 TCP Clients net * Clients address 443 (HTTPS) * * Allow OPNSense HTTPS-Webfrontend from Clients-Net (debugging)
IPv4 * Clients net * * * * * -
IPv4 TCP Clients net * WAN net 443 (HTTPS) * * -
IPv4 TCP/UDP Clients net * WAN net 53 (DNS) * * -
IPv4 TCP/UDP Clients net * Clients address 53 (DNS) * * Allow access to DNS-Servers on the Internet
IPv4 * Clients net * ! PrivateNetworks  * * * Default allow LAN to any rule

Zum Schluss noch die Switch-Konfiguration

VLAN-Setup für VLAN50

Code Select
| Port | VLAN-Member | Tagging    |
| ---- | ----------- | ---------- |
| 1    | 50          | Tx Tagging |
| 2    | -           | -          |
| 3    | 50          | -          |
| 4    | 50          | -          |
| 5    | 50          | Tx Tagging |

Port-Belegungen für VLAN50
Code Select
VLAN50
---
Ports: 2 4 6
Ports: 1 3 5
T/U: - U T
T/U: T U T

Habt ihr eine Idee, was das Problem sein könnte, oder wo ich suchen kann?

Ich habe das Gefühl, dass der Switch korrekt konfiguriert ist. Immerhin kommt ein Ping zum OPNSense durch.

Danke und Grüße,
Michael;
Today at 07:28:41 PM #1
Hallo,

Quote from: mfreudenberg on Today at 07:04:58 PMIch habe das Gefühl, dass der Switch korrekt konfiguriert ist. Immerhin kommt ein Ping zum OPNSense durch.
dann versuch es mal etwas weiter.
Du hast am Client Interface aktuell alles erlaubt. Mach mal einen Ping auf eine andere Interface IP und ins Internet, bspw. 1.1.1.1.

Wenn alles okay, verfolge das DNS Problem.
Welcher DNS Server wird am Client verwendet? Mach einen simplen nslookup / dig, um andere potentielle Ursachen auszuschließen.
Welcher DNS Server wird angesprochen?

Wenn ein lokaler, versuche den Lookup mit 1.1.1.1
Today at 09:23:05 PM #2
Ping-Tests
Ping auf die Switch-IP geht
Code Select
PING 172.17.50.254 (172.17.50.254) 56(84) Bytes an Daten.
64 Bytes von 172.17.50.254: icmp_seq=1 ttl=254 Zeit=6.30 ms
64 Bytes von 172.17.50.254: icmp_seq=2 ttl=254 Zeit=11.1 ms
64 Bytes von 172.17.50.254: icmp_seq=3 ttl=254 Zeit=6.43 ms
64 Bytes von 172.17.50.254: icmp_seq=4 ttl=254 Zeit=4.74 ms

Ping auf die OPNSense-Client-IP geht (mit pfctl -d)
Code Select
PING 172.17.50.253 (172.17.50.253) 56(84) Bytes an Daten.
64 Bytes von 172.17.50.253: icmp_seq=1 ttl=64 Zeit=2.54 ms
64 Bytes von 172.17.50.253: icmp_seq=2 ttl=64 Zeit=2.34 ms
64 Bytes von 172.17.50.253: icmp_seq=3 ttl=64 Zeit=1.91 ms

Ping auf OPNSense-WAN Adresse geht (mit pfctl -d)
Code Select
PING 192.168.127.9 (192.168.127.9) 56(84) Bytes an Daten.
64 Bytes von 192.168.127.9: icmp_seq=1 ttl=64 Zeit=35.9 ms
64 Bytes von 192.168.127.9: icmp_seq=2 ttl=64 Zeit=5.31 ms
64 Bytes von 192.168.127.9: icmp_seq=3 ttl=64 Zeit=5.87 ms

Ping auf Fritz!Box geht (mit pfctl -d)
Code Select
PING 192.168.127.1 (192.168.127.1) 56(84) Bytes an Daten.
64 Bytes von 192.168.127.1: icmp_seq=1 ttl=63 Zeit=5.41 ms
64 Bytes von 192.168.127.1: icmp_seq=2 ttl=63 Zeit=5.03 ms
64 Bytes von 192.168.127.1: icmp_seq=3 ttl=63 Zeit=5.21 ms

Ping auf 1.1.1.1 geht scheinbar nicht
Code Select
PING 1.1.1.1 (1.1.1.1) 56(84) Bytes an Daten.
^C
--- 1.1.1.1 Ping-Statistiken ---
62 Pakete übertragen, 0 empfangen, 100% packet loss, time 62493ms

Diverse nslookup's
Der Client verwendet den OPNSense-DNS 172.17.50.253 (wird via DHCP bereitgestellt)
Code Select
nslookup heise.de
;; Got SERVFAIL reply from 127.0.0.53
Server: 127.0.0.53
Address: 127.0.0.53#53

---

nslookup heise.de 172.17.50.253
;; Got SERVFAIL reply from 172.17.50.253
Server: 172.17.50.253
Address: 172.17.50.253#53

** server can't find heise.de: SERVFAIL

---

nslookup heise.de 1.1.1.1     
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; no servers could be reached
Today at 09:38:25 PM #3
Da scheinen zumindest 2 Probleme vorzuliegen.

Der Ping nach draußen (1.1.1.1) sollte auf der OPNsense nur die Firewall- und die Outbound NAT Regel benötigen. Die FW-Regel existiert, so überprüfe mal das Outbound NAT.

Wenn seit der Einrichtung des VLANs noch nicht geschehen, würde ich auch eine  Reboot versuchen.

Welches DNS nutzt du auf OPNsense?
Today at 10:24:16 PM #4
Ich habe sowohl den OPNSense als auch den Switch neu gestartet (damit implizit auch die AP's).

Der DNS, den ich in OPNSense eingetragen habe ist die Fritz!Box. Im Fritz!Box-LAN habe ich auch noch einen Pi-hole laufen, der eigentlich keine Probleme machen sollte.

Edit: Der Outbound-NAT steht auf "Hybrid". Hatte aber auch mal automatic probiert.
Print
Go Up Pages1
User actions