pfSense DNS Unbound onbruikbaar via PPPoE

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 04 Feb 2019, 22:04

Setup:
Fritz!Box 7360
pfSense als router/firewall (zet eigen PPPoE verbinding op)
Unbound DNS ingesteld als resolver (geen forwarding)

Al een hele tijd heb ik het probleem dat het niet lukt om Unbound te gebruiken in pfSense, resolven lukt niet of duurt extreem lang (soms enkele minuten per query als de Unbound service net herstart is),... Vandaar dat ik het wat grondiger heb bekeken met onderstaande observaties als resultaat.

1) Unbound DNS service via pfSense lukt niet, precies of er komt gewoon geen reply vanuit de root name servers (timeouts).
2) Als ik rechtstreeks verbind met de 7360 via bv. een laptop en dus de 7360 is de router/firewall dan lukt het wel om unbound te gebruiken. Daarvoor heb ik de unbound service geïnstalleerd op m'n Windows laptop. In dit geval is resolven perfect mogelijk.
3) Als ik een PPPoE sessie aanmaak via die laptop en dus eigenlijk niet meer binnen het lokale netwerk van de 7360 zit, dan lukt resolven niet. Net zoals met pfSense.
4) Als ik de unbound service start zoals in geval 2) en daarna de PPPoE verbinding opzet dan lukt resolven wel terug, tenminste totdat ik de unbound service stop en herstart. Dan lukt het terug niet meer.

Er lijkt mij iets vreemds aan de hand te zijn, maar ik ben op een punt gekomen dat ik niet meer weet hoe ik het zou kunnen oplossen. Iemand nog tips? Zit er misschien een beperking aan een 2de PPPoE sessie (naast die van de 7360 zelf) bij EDPNET? Of een setting in de Fritz!Box die ik over het hoofd zie?

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3510
Lid geworden op: 10 Mar 2010
Bedankt: 353 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 50 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor Splitter » 04 Feb 2019, 23:04

zeker dat je ook:

1) in pfsense een firewall rule hebt voor dns verkeer toe te laten?
2) de juiste (lokale) dns servers op je pc hebt voor de lokale dns?
3) de juiste network interfaces en forwarding hebt ingesteld?
ooit zal hier iets nuttigs staan

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 05 Feb 2019, 06:56

1) Wel, dat ben ik niet 100% zeker. Maar resolven via de DNS forwarder dnsmasq (richting DNS servers van EDPNET of Google...) lukt prima. Alleen weet ik niet of er voor unbound nog extra rules nodig zijn.
2) pfSense stuurt via DHCP de lokale DNS server mee dus elke client gebruikt die
3) Ik wil net geen forwarding gebruiken, vandaar dat er geen andere externe DNS servers geconfigureerd staan in pfSense

Sowieso heb ik de indruk dat het probleem zich niet in pfSense bevindt aangezien enkel unbound installeren als service op een laptop een gelijkaardig probleem vertoont via PPPoE (tests gedaan mbhv dig @127.0.0.1).

Gebruikersavatar
splinterbyte
Elite Poster
Elite Poster
Berichten: 878
Lid geworden op: 16 Jun 2006
Locatie: Zuiderkempen
Bedankt: 18 keer
Uitgedeelde bedankjes: 54 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor splinterbyte » 05 Feb 2019, 09:15

welke gateway gebruikt de dns resolver service in pfsense?

Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 522
Lid geworden op: 03 Feb 2012
Bedankt: 58 keer
Uitgedeelde bedankjes: 27 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor serialchiller » 05 Feb 2019, 09:41

Ik wil geen open deur intrappen, maar "did you rtfm?"

https://www.netgate.com/docs/pfsense/dns/unbound-dns-resolver.html

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 05 Feb 2019, 11:22

Die manual heb ik inderdaad al meerdere keren doorgenomen :-D Van basic resolver zonder DNSSEC tot resolver met DNSSEC, ik heb alle opties al geprobeerd. Eenzelfde config met unbound als service heb ik dan ook op m'n laptop geïnstalleerd met dus hetzelfde resultaat als die verbonden is via PPPoE (rechtstreeks op Fritz!Box dus zonder pfSense ertussen). Vandaar dat ik vermoed dat het niet aan pfSense ligt.

@splinterbyte De DNS resolver service staat ingesteld om te luisteren op alle interfaces en om de WAN interface te gebruiken als outgoing.

Fritz!Box draait trouwens v6.83

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3510
Lid geworden op: 10 Mar 2010
Bedankt: 353 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 50 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor Splitter » 05 Feb 2019, 12:49

ZZD schreef:1) Alleen weet ik niet of er voor unbound nog extra rules nodig zijn.
2) pfSense stuurt via DHCP de lokale DNS server mee dus elke client gebruikt die
3) Ik wil net geen forwarding gebruiken, vandaar dat er geen andere externe DNS servers geconfigureerd staan in pfSense


je gaat altijd forwarding nodig hebben (of weet jouw geinstalleerde unbound ELK ip van ELKE site? :) - zonder forwarding geen resolving voor domeinen die je niet zelf kent)
die van edp zijn goed genoeg, die van google of cloudflare beter - staat in principe ergens ingesteld in je defaults

wat betreft de rules: je moet ook wel degelijk lokaal dns verkeer toelaten (dus van je lan naar je firewall)
ooit zal hier iets nuttigs staan

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 05 Feb 2019, 13:10

Dat weet unbound inderdaad niet, maar daarom contacteert die 1 of meerdere van de 13 root name servers (https://en.wikipedia.org/wiki/Root_name_server). Die geven dan meer specifieke nameservers tot je uiteindelijk het IP van je site terugkrijgt. Dus er komt geen andere DNS server aan te pas.

Wat die rules betreft, dat is denk ik in orde aangezien als ik de DNS forwarder (dnsmasq) ipv unbound gebruik in pfSense, ik helemaal geen probleem heb met m'n clients. Of is dat een denkfout?

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3510
Lid geworden op: 10 Mar 2010
Bedankt: 353 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 50 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor Splitter » 05 Feb 2019, 13:32

lijkt me sterk dat je rechtstreeks een root server zou contacteren, al kan je het altijd zo instellen (maar waarom zou je ?)

als dnsmasq WEL werkt is voor je clients, is er idd geen firewall issue.
maar dan lijkt het dus gewoon een instelling te zijn die niet zal kloppen in unbound.

waar heb je dan specifiek ingesteld dat unbound de root servers zou moeten contacteren?

edit: je hebt bij unbound trouwens ook een ACL, dus mogelijks eens kijken of je daar je interne range toelaat om de service te gebruiken?
dat, en eventueel eens een record aanmaken op je pfsense (test.local ofzo) en kijken of die wel kan resolven. dan weet je ook weer wat meer.
Laatst gewijzigd door Splitter op 05 Feb 2019, 13:36, 1 keer totaal gewijzigd.
ooit zal hier iets nuttigs staan

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7070
Lid geworden op: 28 Jan 2012
Bedankt: 531 keer
Uitgedeelde bedankjes: 116 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ITnetadmin » 05 Feb 2019, 13:34

Splitter schreef:lijkt me sterk dat je rechtstreeks een root server zou contacteren, al kan je het altijd zo instellen (maar waarom zou je ?)
waar heb je dan specifiek ingesteld dat unbound de root servers zou moeten contacteren?


Forwarding heb je idd niet nodig.
Zonder gaat je dns server gewoon rechtstreeks de root servers queryen.
Die 13 IP adressen (vroeger waren er 13 root servers, nu allang veel meer, geconfigureerd in een soort round robin failover) staan hardcoded in elke dns software.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3510
Lid geworden op: 10 Mar 2010
Bedankt: 353 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 50 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor Splitter » 05 Feb 2019, 13:38

ITnetadmin schreef:Forwarding heb je idd niet nodig.
Zonder gaat je dns server gewoon rechtstreeks de root servers queryen.
Die 13 IP adressen (vroeger waren er 13 root servers, nu allang veel meer, geconfigureerd in een soort round robin failover) staan hardcoded in elke dns software.


hardcoded? ik dacht dat je (vroeger althans) je nameservers moest seeden met een . zone ?
geen idee hoe het zit met unbound, omdat ik dnsmasq en dnscrypt gebruik, maar hardcoded lijkt me wat vreemd (maargoed, ik hou ook gewoon niet van hardcoded zaken in netwerkzaken)
ooit zal hier iets nuttigs staan

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7070
Lid geworden op: 28 Jan 2012
Bedankt: 531 keer
Uitgedeelde bedankjes: 116 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ITnetadmin » 05 Feb 2019, 13:45

Ik ben geen dsn expert, maar ik heb tot nu toe met nog geen dns gewerkt die de root servers niet hardcoded in zijn config had steken.
Het is een beetje een bootstrap probleem he, je moet toch érgens weten waar te beginnen.
Als die 13 IPs ooit uitvallen ligt het ganse internet op zijn gat.

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 05 Feb 2019, 13:51

Zitten inderdaad hardcoded in unbound, maar de lijst wordt regelmatig bijgewerkt (als er uberhaupt updates voor zijn…). Sowieso kan je ook een root.hints file meegeven met die lijst.

Een unbound instelling kan inderdaad ook nog. Maar dan snap ik niet waarom die exacte configuratie wél werkt op m'n laptop als die verbonden is aan de Fritz!Box (met de Fritz!Box die dus PPPoE sessie opzet). En als ik zelf een PPPoE sessie opzet op m'n laptop dan werkt die configuratie plots niet meer. Precies of er worden dingen geblocked bij zelf een PPPoE sessie op te zetten.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7070
Lid geworden op: 28 Jan 2012
Bedankt: 531 keer
Uitgedeelde bedankjes: 116 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ITnetadmin » 05 Feb 2019, 13:53

Heb je t al ns gewiresharked?

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 05 Feb 2019, 14:04

Ja, dat heb ik gisteren gedaan, maar ik heb nog geen screenshots/captures opgeslagen. Wat ik mij herinnerde was dat het device (bv. m'n laptop) waarop de unbound service draait wel de query verstuurt richting de root servers, maar gewoon niks terugkrijgt. Dat gaat even door omdat ie opnieuw probeert, maar uiteindelijk volgt er een timeout.

Waar ik nu ook aan denk, de destination port over UDP is een random port? Zou het kunnen dat voor het krijgen van een reply die poorten geblocked worden (geen idee waar dan...Fritz!Box? EDPNET?...)?

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7070
Lid geworden op: 28 Jan 2012
Bedankt: 531 keer
Uitgedeelde bedankjes: 116 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ITnetadmin » 05 Feb 2019, 20:07

"Normaal" worden replies niet geblocked, omdat de nat table in de router weet wat ermee moet gedaan worden.
Je zou moeten kunnen wiresharken voor de router, maar bij een telefoonlijn is dat natuurlijk niet evident.
Toch vermoed ik dat de router ergens "ambetant" doet.

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 06 Feb 2019, 10:45

Ik heb hetzelfde vermoeden ja. Toevallig ben ik gisteren nog deze link tegengekomen: https://en.avm.de/service/fritzbox/fritzbox-7360/knowledge-base/publication/show/3232_Configuring-PPPoE-Passthrough-in-the-FRITZ-Box/

Vooral dit stukje vond ik interessant: "The FRITZ!Box's global filter settings under "Internet > Filters > Lists" apply to all PPPoE internet connections."
Daar moet ik vanavond eens naar kijken. Daarnaast ga ik ook m'n 7360 updaten naar v6.85, die is blijkbaar ook al even beschikbaar.

Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 522
Lid geworden op: 03 Feb 2012
Bedankt: 58 keer
Uitgedeelde bedankjes: 27 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor serialchiller » 06 Feb 2019, 12:31

opgelet met de update van de Fritz! 6.52 lijkt volgens de ftp van AVM momenteel de geschikte/goedgekeurde firmware voor BE. (7360 v2)

http://ftp.avm.de/fritzbox/fritzbox-7360-v2/

Er is hier op het forum al genoeg digitale inkt gevloeid over Fritzboxen en hun firmware/DSL-driver die moet gewhitelist zijn voor het Proximus-netwerk. Informeer u!

ZZD
Starter
Starter
Berichten: 21
Lid geworden op: 02 Jan 2015
Bedankt: 2 keer

Re: pfSense DNS Unbound onbruikbaar via PPPoE

Berichtdoor ZZD » 10 Feb 2019, 15:56

Een update van mijn kant nog:

1) Updaten naar v6.85 hielp niet, idem voor een volledige recovery image te flashen en vanaf nul te beginnen
2) Bij global filtering heb 'k alle filters gedisabled, maar dat deed ook niks
2) Bij mijn ouders met een BBOX3 lukt het runnen van Unbound wél via een PPPoE verbinding

Dus voorlopig heb ik die Fritz tijdelijk verwisseld voor de BBOX3 en daarmee kon ik direct resolven in pfSense :-D

Ondertussen heb ik ook een support ticket aangemaakt bij AVM om te vragen of zij dit kunnen verklaren. Voorlopig heb ik nog geen relevant antwoord ontvangen van hen. Maar als dat er wel komt zal ik het hier posten :-) Merci aan iedereen om mee te helpen denken!


Terug naar “EDPnet (LaTribu)”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast