Umzug von Fritzbox zu USG - DNS auflösung mit Unbound geht nicht mehr

Es gibt 103 Antworten in diesem Thema, welches 21.568 mal aufgerufen wurde. Der letzte Beitrag () ist von xinput.

    Zitat von RobiWan

    Wie soll es aber tun, wenn es auf 127.0.0.1 festgenagelt ist? Geht nicht.

    Warum nicht ? Das ist der Listender Port der auf Anfragen lauscht. Wenn der Dienst der Meinung ist

    rauszutlefonieren wird das nicht darüber geschehen. Noch nie aufgefallen ? Anderes Beispiel auch DNS:

    Auf diesen Moderen SystemD Systemen wo der systemd-resolved läuft ? der horcht auf „127.0.0.53“ was auch localhost ist.

    B.) Millionen Installation sind mit dem dem localhost interface konfiguert und es ist so niedergeschrieben.

    Danke HOKTAR.

    Es geht also raus und kommt was zurück, jedenfalls mit dig.


    Code
    tcpdump -i eth0 -s 0 -w output.pcap


    eth0 ersetzen auch dein Netzwerk interface (tcpdump -D gibt ne Liste aus könnte z.B auch enp0s3 heißen)

    andere Konsole dann bitte ein dig pi-hole.net @127.0.0.1 -p 5335

    danach wieder zurück und den dump beenden (crtl-c).

    Die Datei enthält SÄMTLICHEN Traffic Inder zeit von diesen RECHNER.

    also nicht unbedingt geheime Mail abrufen oder so....

    Analyse mit Wireshark, stellt halt hier rein (gezippt) sollte das nicht groß sein...


    Dann kann man schauen was wo und vokalem wie rausgeht und ob wieder

    was zurückkommt.


    Ende vom Lied ist bestimmt das IDS/DPI System das da zwischen Fummel

    oder ne FW Einstellung.....

    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von gierig mit diesem Beitrag zusammengefügt.

    Danke 1
    Zitat von gierig

    Wenn der Dienst der Meinung ist

    rauszutlefonieren wird das nicht darüber geschehen.

    Wenn in der Konfiguration kein anderes Interface/ IP angegeben ist, wird sich die Software nicht einfach "irgendetwas" was im System vorhanden nehmen.

    In dem Fall gibt es durchaus Parameter "outgoing-interface" mit dem man es explizit setzen kann. Der TO hatte es aber nicht gesetzt und das einzige Interface was die Software kannte war 127.0.0.1

    Komisch, dass nach der Umstellung auf "alle Interfaces" plötzlich mit dig was passiert - wo doch die Fritze alles wegfrisst oder?

    Übrigens, weil ich es nicht lassen wollte, hatte ich gestern, weil ich im Moment sehr viel Zeit habe -auf meinem unbenutzten Raspi das zeug Installiert - nicht docker, weil für kurzen Test mir zu viel Aufwand und ich habe keine USG sondern pfSense und als fritze 7530 (v. 7.28) spaßeshalber umgestellt. Nach ca. 1 Stunde lief ja auch alles.

    Da ich auf mein Glasfaser warte und dann auf der Sense pfBlockerNG kommt, habe ich es Abends wieder zurück gebaut.


    Zitat von gierig

    Ende vom Lied ist bestimmt das IDS/DPI System das da zwischen Fummel

    oder ne FW Einstellung.....

    Wenigstens scheinst Du zumindest inzwischen an diese "fritze verwirft das alles" Theorie nicht weiter zu glauben oder nie geglaubt.

    Zitat von RobiWan

    Wenigstens scheinst Du zumindest inzwischen an diese "fritze verwirft das alles" Theorie nicht weiter zu glauben oder nie geglaubt.

    Sagen wir durchaus für möglich auch wenn unwahrscheinlich. Dieser PPPOE Passthrough ist ja auch nicht

    unbedingt von AVM angefacht als „Haupt Einwahl“ Punkt zu dienen auch wenn es prima funktioniert...

    aber nun meine letze Fritzbox ist mehr als 10 Jahre her....Aber der „dig NS google.com @rootserver“

    Lief durch also sollte ein Receiver resolver erfolg haben.


    Zitat von RobiWan

    Wenn in der Konfiguration kein anderes Interface/ IP angegeben ist, wird sich die Software nicht einfach "irgendetwas" was im System vorhanden nehmen.

    Da möchte ich Wiedersprechen. Energisch. also WIDERSPRUCH. Natürlich nicht „Irgentwas“ sondern

    das was laut Routing Tabelle nötig ist um das Ziel zu erreichen. Nach Extern dann halt typischer weise das Default gateway, das von Natur an die NIC gebunden


    Code
    interface: <ip address[@port]> 
Interface to use to connect to the network. This interface is listened to for queries from clients, and answers to clients are given from it.


    Code
    outgoing-interface: <ip address or ip6 netblock> 
Interface to use to connect to the network. This interface is used to send queries to authoritative servers and receive their replies. Can be given multiple times to work on several inter- faces. If none are given the default (all)

    Ja man kann explizit sagen benutze nur das Interface zum Raustelefonieren. Oder unbound sucht sich was

    passendes (Routing Tabelle) aus wenns nicht extra angegeben ist.



    Aber wildes schlagen und antäuschen von Schwanzvergleichen hilft ja nun nicht wirklich :smiling_face:

    Ich finde es ja lobenswert das Problem lösen zu wollen, es haben aber anscheinend über Jahre Andere auch nicht hinbekommen, sonst würde man ja eine Lösung im Netz finden. Ganz ehrlich die Stunden die da jetzt schon rein geflossen sind, wären mir zu schade und mit dieser Aussage möchte ich wirklich niemandem auf die Füße treten.


    Ein Punkt noch, Unbound hört nur auf localhost und das ist auch korrekt so, ausgehend sendet er auf allen (so ist die Standardkonfiguration).

    Danke Hoktar.


    Gerade mal ZWEI DNS Anfragen die das System (und lokale Netz) verlasen wollen aber

    nie beantwortet werden.


    Beide fragen nach den ROOT NS Server und fragen auch einen ROOT Server dafür.

    Das sieht erstmal ok aus…

    ABER es kommt nichts zurück.


    Magst du mal ein dig ns @193.0.14.129 auf der Kiste mit der entdnummer .12 machen ?


    Aktuell sieht es so aus als wenn der Request zur USG (die 192.168.2.1) geht und dann versiegt

    oder halt seinen Weg nicht zurück findet.


    NEXT Step wäre dann ggf einen tcpDumpo auf der USG zu machen.


    mit ssh drauf auf die usg

    sudo tcpdump -npi eth0 -w dumpFromUSG.pcap (eth0 ist das wan auf der usg, wen du ne pro hast is das ein anderes)


    Achtung hier kommt aller traffic zusammen von allen und jeden... oder Filter setzen oder die anderen solange abklemmen

    (halt wegen sensiblen Daten)

    Einmal editiert, zuletzt von gierig ()

    Danke Hoktar,


    ggf bitt neu einwählen deine IP ist nun bekannt :smiling_face:

    anbei kleiner Ausschnitte die letzen beiden Zeilen ne DNS anfrage so wie es sein sollte

    anfrage geht raus irgendwas kommt zurück.


    Der Rest:

    Root NS anfragen die rausgehen aber nie beantwortet werden.

    Das verlässt also die USG in Richtung Internet und kommt

    aber nie an oder wieder zurück.


    Wenn du keine Firewall an hast die da blockt (ggf. noch mal testen mit IDS und DPI aus)

    dann ist es der Teil nach der USG... die Fritte.. was unweigerlich dazu führt

    dem Internet mehr glauben zu schenken das die Fritte im "PPPoE Pass Mode" mehr

    Dinge filtert als sie was angeht.

    btw. Weist du was 192.168.2.156 ist und warum die PRIVATe IP ohne NAT raus will ?

    Ziel is nen AWS EC2 webserver... das fehlende NATing ist aber eher seltsam.

    die Private IP wird spätestens bei deinen Provider geblockt...


    Oder hast du auf der USG lustige dinge eingestellt ?

    Zitat von gierig

    btw. Weist du was 192.168.2.156 ist und warum die PRIVATe IP ohne NAT raus will ?

    Na, dieses böse Luder von Alexa. Will nachhause Telefonieren. Ist das normal das die Echo´s das so machen???


    In der USG habe ich außer ein paar Portweiterleitungen nichts eingestellt, bisschen VPN und Web. Sonst steht auch nichts in der Firewall.

    Zitat von Hoktar

    Ist das normal das die Echo´s das so machen

    Nach Hause Telefonieren is quasi deren Haupt Eigenschaft. Was denkst du warum die Kiste dich so gut versteht

    und die ganzen lustigen Sachen macht die man mir ihr anstellen kann.... vor Ort is dasn nicht viel mehr

    als ein Neztwerkanschluss mit Lautsprecher und Mikrofon.


    Aber das versucht wird mit der Internen rauszufinden und nicht mit der WAN ip ist kein Fehler von

    Alexa und CO das macht schon die USG ganz alleine.. sollte sie nicht, können falsche redirect bei den

    ganzen interface sein (wenn von mit von der Party)..evt auch nur die ersten Pakete...

    wollte es nur anmerken.

    Back to DNS Issue:

    Wenn du da nichts bestimmest hast (normale Abfragen gehen ja) und auch IPS/IDS da keine

    Streiche spielen (wüste nicht warum, bei mir gehts).... dann bleibt quasi nur die Fritte übrig und

    damit das von jkasten am Montag beschriebene verhalten...


    Wahnsinn aber so schaut es aus...

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von gierig mit diesem Beitrag zusammengefügt.

    Zitat von gierig

    IPS/IDS da keine

    Streiche spielen

    Habe ich nicht aktiv und kann daher nicht dazwischen funken.


    Es wird wohl so sein. Frite im PPPoE mode, nix mit Unbound.



    Kurz ein bisschen OT: Vor der USG, hatte ich die Fritzbox als Router und habe darin allen Geräten die Ports 53 und 853 (Ausnahme natürlich dem Container mit Pihole und Unbound) gesperrt. Wie genau muss ich das in der USG in der Firewall einstellen?

    Verzeiht wenn ich das fast 1 Monat alte Thema wieder aufwärme, jedoch dachte ich dass ich ggf. meinen Senf dazu gebe.


    Ich selbst habe gestern meinen Unifi Dream Router bekommen und ähnlich wie der TO hinter meine Fritzbox 6591 im Bridge mode gehangen.

    Ich selbst nutze ebenfalls unbound im Netzwerk und siehe da... das gleiche problem. Unbound kriegt keine Response von den Root Name Servern.
    Dementsprechend kann man mit Ziemlicher sicherheit sagen dass es an der Fritzbox liegt.


    Ich versuche nun ein Modem von Vodafone zu bekommen in der Hoffnung das Problem damit zu eliminieren. Habe jetzt erstmal wieder den UDR abgebaut und betreibe alles wieder über die Fritzbox.


    Just my 2 Cents.

    Ich fühle mit dir Hoktar.

    Zitat von xinput

    Dementsprechend kann man mit Ziemlicher sicherheit sagen dass es an der Fritzbox liegt.

    Dem widerspreche ich aber mal gewaltig:


    FB6591 ( Ex-Unitymedia NRW ) -> BridgeModus -> UDMPro -> Proxmox-Cluster -> 2x Linux-Container mit Pihole + Unbound und dies funktioniert einwandfrei.

    Zitat von Tuxtom007

    Dem widerspreche ich aber mal gewaltig:


    FB6591 ( Ex-Unitymedia NRW ) -> BridgeModus -> UDMPro -> Proxmox-Cluster -> 2x Linux-Container mit Pihole + Unbound und dies funktioniert einwandfrei.


    Widerspruch akzeptiert.

    Du hast natürlich recht. Es funktioniert. Ich revidiere meine obere Aussage und korrigiere mich: es lag nicht an der fritzbox.

    Auf meiner Seite war es ein Layer 8 Problem.

    Gefällt mir 1

    Bridge geht, PPPOE nicht. Das darf man nicht verwechseln.

    Gefällt mir 1
    Zitat von jkasten

    Bridge geht, PPPOE nicht. Das darf man nicht verwechseln.

    Genau, PPPOE ist das Problem bei der FritzBox


    Beim Bridgemoudus ist die Fritzbox nur noch reines Modem und leitet alles direkt unbearbeitet durch.

    Danke für euren Input. Mir fehlte vermutlich der Kaffee weshalb mir ein Fehler unterlaufen ist und dadurch dass das Verhalten exakt wie das des TO war, vermutete ich dass die Fritzbox schuld ist.

    Tja, Fehler wurde ja gefunden und behoben.


    EDIT: ich weiß nicht ob das dem TO hilft, aber durch meine Recherchen zu diesem Problem bin ich auf einen Beitrag gestoßen, der ggf. das Problem mit PPPOE lösen kann. Einen Versuch ist es zumindest wert.

    Einfach die Aktuelle Konfiguration der Fritzbox sichern und die export datei dann mit dem Texteditor der Wahl öffnen.

    Folgende Zeilen unter dem Punkt "pppoefw" ändern:

    dnsfilter_for_active_directory = yes; ändern zu dnsfilter_for_active_directory = no;

    und

    filter_netbios = yes; ändern zu filter_netbios = no;

    anschließend über das Fritzbox JS Tool eine neue Checksum erstellen, und diese am ende Der config mit der bestehenden ersetzen.

    Die Export file speichern und wieder in die Fritzbox hochladen, anschließend testen.


    Hoktar : Falls du nach wie vor das Problem hast und dir das nicht zu viel Aufwand ist, kannst du das ja mal austesten.


    In diesem Sinne, angenehmes Wochenende zusammen!

    2 Mal editiert, zuletzt von xinput ()

    Gefällt mir 3

    So, nun habe ich mich angemeldet, nur um mich für den letzten Beitrag zu bedanken!

    Ich habe mir den UDR zugelegt und alles neu eingerichtet mit PPPoE über die Fritzbox 7590 und einer piHole/ Unbound Installation auf einem Raspberry Pi. Anfangs hatte alles funktioniert und von heute auf morgen streikte Unbound. Ich habe über einen Tag damit verbracht dem Fehler auf den Grund zu gehen und bin dann hier fündig geworden.

    Konfiguration exportiert, angepasst und wieder eingespielt. Siehe da, Unbound funktioniert wieder!

    Daher vielen lieben Dank für die Anweisung, die war Gold wert!

    Sry, für die späte Antwort. Ich habe keine Benachrichtigung von diesem Thema bekommen.

    Werde das bei diese Woche noch testen und auch berichten. Wenn das klappt bin ich super Glücklich.

    Gib mal Rückmeldung ob das klappt, dann wäre das was fürs Wiki!