pfSense DNS Unbound onbruikbaar via PPPoE

[ZZD]

Setup:
Fritz!Box 7360
pfSense als router/firewall (zet eigen PPPoE verbinding op)
Unbound DNS ingesteld als resolver (geen forwarding)

Al een hele tijd heb ik het probleem dat het niet lukt om Unbound te gebruiken in pfSense, resolven lukt niet of duurt extreem lang (soms enkele minuten per query als de Unbound service net herstart is),... Vandaar dat ik het wat grondiger heb bekeken met onderstaande observaties als resultaat.

1) Unbound DNS service via pfSense lukt niet, precies of er komt gewoon geen reply vanuit de root name servers (timeouts).
2) Als ik rechtstreeks verbind met de 7360 via bv. een laptop en dus de 7360 is de router/firewall dan lukt het wel om unbound te gebruiken. Daarvoor heb ik de unbound service geïnstalleerd op m'n Windows laptop. In dit geval is resolven perfect mogelijk.
3) Als ik een PPPoE sessie aanmaak via die laptop en dus eigenlijk niet meer binnen het lokale netwerk van de 7360 zit, dan lukt resolven niet. Net zoals met pfSense.
4) Als ik de unbound service start zoals in geval 2) en daarna de PPPoE verbinding opzet dan lukt resolven wel terug, tenminste totdat ik de unbound service stop en herstart. Dan lukt het terug niet meer.

Er lijkt mij iets vreemds aan de hand te zijn, maar ik ben op een punt gekomen dat ik niet meer weet hoe ik het zou kunnen oplossen. Iemand nog tips? Zit er misschien een beperking aan een 2de PPPoE sessie (naast die van de 7360 zelf) bij EDPNET? Of een setting in de Fritz!Box die ik over het hoofd zie?

[Splitter]

zeker dat je ook:

1) in pfsense een firewall rule hebt voor dns verkeer toe te laten?
2) de juiste (lokale) dns servers op je pc hebt voor de lokale dns?
3) de juiste network interfaces en forwarding hebt ingesteld?

[ZZD]

1) Wel, dat ben ik niet 100% zeker. Maar resolven via de DNS forwarder dnsmasq (richting DNS servers van EDPNET of Google...) lukt prima. Alleen weet ik niet of er voor unbound nog extra rules nodig zijn.
2) pfSense stuurt via DHCP de lokale DNS server mee dus elke client gebruikt die
3) Ik wil net geen forwarding gebruiken, vandaar dat er geen andere externe DNS servers geconfigureerd staan in pfSense

Sowieso heb ik de indruk dat het probleem zich niet in pfSense bevindt aangezien enkel unbound installeren als service op een laptop een gelijkaardig probleem vertoont via PPPoE (tests gedaan mbhv dig @127.0.0.1).

[splinterbyte]

welke gateway gebruikt de dns resolver service in pfsense?

[serialchiller]

Ik wil geen open deur intrappen, maar "did you rtfm?"

https://www.netgate.com/docs/pfsense/dn ... olver.html

[ZZD]

Die manual heb ik inderdaad al meerdere keren doorgenomen Van basic resolver zonder DNSSEC tot resolver met DNSSEC, ik heb alle opties al geprobeerd. Eenzelfde config met unbound als service heb ik dan ook op m'n laptop geïnstalleerd met dus hetzelfde resultaat als die verbonden is via PPPoE (rechtstreeks op Fritz!Box dus zonder pfSense ertussen). Vandaar dat ik vermoed dat het niet aan pfSense ligt.

@splinterbyte De DNS resolver service staat ingesteld om te luisteren op alle interfaces en om de WAN interface te gebruiken als outgoing.

Fritz!Box draait trouwens v6.83

[Splitter]

1) Alleen weet ik niet of er voor unbound nog extra rules nodig zijn.
2) pfSense stuurt via DHCP de lokale DNS server mee dus elke client gebruikt die
3) Ik wil net geen forwarding gebruiken, vandaar dat er geen andere externe DNS servers geconfigureerd staan in pfSense

je gaat altijd forwarding nodig hebben (of weet jouw geinstalleerde unbound ELK ip van ELKE site? - zonder forwarding geen resolving voor domeinen die je niet zelf kent)
die van edp zijn goed genoeg, die van google of cloudflare beter - staat in principe ergens ingesteld in je defaults

wat betreft de rules: je moet ook wel degelijk lokaal dns verkeer toelaten (dus van je lan naar je firewall)

[ZZD]

Dat weet unbound inderdaad niet, maar daarom contacteert die 1 of meerdere van de 13 root name servers (https://en.wikipedia.org/wiki/Root_name_server). Die geven dan meer specifieke nameservers tot je uiteindelijk het IP van je site terugkrijgt. Dus er komt geen andere DNS server aan te pas.

Wat die rules betreft, dat is denk ik in orde aangezien als ik de DNS forwarder (dnsmasq) ipv unbound gebruik in pfSense, ik helemaal geen probleem heb met m'n clients. Of is dat een denkfout?

[Splitter]

lijkt me sterk dat je rechtstreeks een root server zou contacteren, al kan je het altijd zo instellen (maar waarom zou je ?)

als dnsmasq WEL werkt is voor je clients, is er idd geen firewall issue.
maar dan lijkt het dus gewoon een instelling te zijn die niet zal kloppen in unbound.

waar heb je dan specifiek ingesteld dat unbound de root servers zou moeten contacteren?

edit: je hebt bij unbound trouwens ook een ACL, dus mogelijks eens kijken of je daar je interne range toelaat om de service te gebruiken?
dat, en eventueel eens een record aanmaken op je pfsense (test.local ofzo) en kijken of die wel kan resolven. dan weet je ook weer wat meer.

[ITnetadmin]

lijkt me sterk dat je rechtstreeks een root server zou contacteren, al kan je het altijd zo instellen (maar waarom zou je ?)
waar heb je dan specifiek ingesteld dat unbound de root servers zou moeten contacteren?

Forwarding heb je idd niet nodig.
Zonder gaat je dns server gewoon rechtstreeks de root servers queryen.
Die 13 IP adressen (vroeger waren er 13 root servers, nu allang veel meer, geconfigureerd in een soort round robin failover) staan hardcoded in elke dns software.

[Splitter]

Forwarding heb je idd niet nodig.
Zonder gaat je dns server gewoon rechtstreeks de root servers queryen.
Die 13 IP adressen (vroeger waren er 13 root servers, nu allang veel meer, geconfigureerd in een soort round robin failover) staan hardcoded in elke dns software.

hardcoded? ik dacht dat je (vroeger althans) je nameservers moest seeden met een . zone ?
geen idee hoe het zit met unbound, omdat ik dnsmasq en dnscrypt gebruik, maar hardcoded lijkt me wat vreemd (maargoed, ik hou ook gewoon niet van hardcoded zaken in netwerkzaken)

[ITnetadmin]

Ik ben geen dsn expert, maar ik heb tot nu toe met nog geen dns gewerkt die de root servers niet hardcoded in zijn config had steken.
Het is een beetje een bootstrap probleem he, je moet toch érgens weten waar te beginnen.
Als die 13 IPs ooit uitvallen ligt het ganse internet op zijn gat.

[ZZD]

Zitten inderdaad hardcoded in unbound, maar de lijst wordt regelmatig bijgewerkt (als er uberhaupt updates voor zijn…). Sowieso kan je ook een root.hints file meegeven met die lijst.

Een unbound instelling kan inderdaad ook nog. Maar dan snap ik niet waarom die exacte configuratie wél werkt op m'n laptop als die verbonden is aan de Fritz!Box (met de Fritz!Box die dus PPPoE sessie opzet). En als ik zelf een PPPoE sessie opzet op m'n laptop dan werkt die configuratie plots niet meer. Precies of er worden dingen geblocked bij zelf een PPPoE sessie op te zetten.

[ITnetadmin]

Heb je t al ns gewiresharked?

[ZZD]

Ja, dat heb ik gisteren gedaan, maar ik heb nog geen screenshots/captures opgeslagen. Wat ik mij herinnerde was dat het device (bv. m'n laptop) waarop de unbound service draait wel de query verstuurt richting de root servers, maar gewoon niks terugkrijgt. Dat gaat even door omdat ie opnieuw probeert, maar uiteindelijk volgt er een timeout.

Waar ik nu ook aan denk, de destination port over UDP is een random port? Zou het kunnen dat voor het krijgen van een reply die poorten geblocked worden (geen idee waar dan...Fritz!Box? EDPNET?...)?

[ITnetadmin]

"Normaal" worden replies niet geblocked, omdat de nat table in de router weet wat ermee moet gedaan worden.
Je zou moeten kunnen wiresharken voor de router, maar bij een telefoonlijn is dat natuurlijk niet evident.
Toch vermoed ik dat de router ergens "ambetant" doet.

[ZZD]

Ik heb hetzelfde vermoeden ja. Toevallig ben ik gisteren nog deze link tegengekomen: https://en.avm.de/service/fritzbox/frit ... FRITZ-Box/

Vooral dit stukje vond ik interessant: "The FRITZ!Box's global filter settings under "Internet > Filters > Lists" apply to all PPPoE internet connections."
Daar moet ik vanavond eens naar kijken. Daarnaast ga ik ook m'n 7360 updaten naar v6.85, die is blijkbaar ook al even beschikbaar.

[serialchiller]

opgelet met de update van de Fritz! 6.52 lijkt volgens de ftp van AVM momenteel de geschikte/goedgekeurde firmware voor BE. (7360 v2)

http://ftp.avm.de/fritzbox/fritzbox-7360-v2/

Er is hier op het forum al genoeg digitale inkt gevloeid over Fritzboxen en hun firmware/DSL-driver die moet gewhitelist zijn voor het Proximus-netwerk. Informeer u!

[ZZD]

Een update van mijn kant nog:

1) Updaten naar v6.85 hielp niet, idem voor een volledige recovery image te flashen en vanaf nul te beginnen
2) Bij global filtering heb 'k alle filters gedisabled, maar dat deed ook niks
2) Bij mijn ouders met een BBOX3 lukt het runnen van Unbound wél via een PPPoE verbinding

Dus voorlopig heb ik die Fritz tijdelijk verwisseld voor de BBOX3 en daarmee kon ik direct resolven in pfSense

Ondertussen heb ik ook een support ticket aangemaakt bij AVM om te vragen of zij dit kunnen verklaren. Voorlopig heb ik nog geen relevant antwoord ontvangen van hen. Maar als dat er wel komt zal ik het hier posten Merci aan iedereen om mee te helpen denken!

[Edward Valckx]

Hallo,

Heb je hier ondertussen al meer nieuws over?

Ik liep namelijk net tegen hetzelfde probleem aan! En door te zoeken op het Internet, kwam ik op deze draad terecht... Fritz!box 7530 als modem, pfSense erachter die een PPPoE verbinding opzet naar EDPnet, en pfSense kan niet resolven!

Dit weekend zal ik ook eens met een BBox als modem proberen. Dat zou dus betekenen dat de PPPoE passthrough van de Fritz!Box een probleem heeft.

Bedankt.

[ZZD]

Het support ticket werd toen afgesloten met onderstaand bericht. Als je hetzelfde probleem hebt kan je proberen van ook een ticket in te schieten, misschien heb je meer geluk met een 7530.

Thank you for your reply.

As FRITZ!Box 7360 has EOM status (end of maintenance), I would not expect further firmware updates for this aged FRITZ!Box model which has been present in the market for many years now.

Thus, our engeneers will not investigate new issues so far unknown for this FRITZ!Box model and no further updates will have to be expected.

[Edward Valckx]

Zonet een BBox3 geprobeerd als modem, alles werkte meteen goed!