Mal wieder eine DNS-Frage ...!

Hi.
Ich bin mal wieder über eine DNS-Frage gestolpert …

Wenn man im WebUI unter System → Samba DNS nachschaut, erhalte ich dort zunächst Zoneninformationen und darunter ein paar Einträge unter „Subdomains“.

Ich habe mich gefragt, warum dort nur so wenige Einträge auftauchen (hier sind’s gerade mal 12 Einträge für unterschiedliche Rechner (die es alle in der devices.csv gibt).

Wenn ich dagegen auf der Konsole den Befehl
samba-tool dns query server <meine zone> @ ALL -U global-admin
(im Samba-Wiki hier gefunden: DNS Administration - SambaWiki)
verwende, sehe ich sämtliche DNS-Einträge, die der Server selbst kennt (also dieses Mal alle Einträge aus der devices.csv).
Warum gibt es da einen Unterschied?

Und wo ich schon dabei bin: Die TTL beträgt hier nur 900 Sekunden. Ich ändere an den Settings nichts aber wüsste doch gerne, ob das so ok ist, da mir das so kurz vorkommt??

Danke für einen Wink mit dem Zaunpfahl und viele Grüße,
Michael

Hallo Michael,

Die DNS aus devices.csv sind ignoriert, damit es übersichtlicht bleibt.

Gruß

Arnaud

OK, aber woher kommen die Einträge dann? Manuell habe ich sie nicht angelegt

Automatisch erzeugt wenn die devices importiert sind

Gruß

Arnaud

Hallo Arnaud.
Sorry – aber dann verstehe ich immernoch nicht, was hier automatisch angezeigt und was automatisch weggelassen wird?!

Oder ist es bewusst so angelegt, dass nur ein paar Einträge aus der devices.csv angzeigt werden, um sowas wie „Muster-Einträge“ zu haben??

Viele Grüße,
Michael

Hallo Michael,

Ein Devices aus devices.csv, z.B. laptop-michael, erhält nach dem Import automatisch einen DNS Eintrag laptop-michael.linuxmuster.lan. Alle solche Einträge werden bei der Webui nicht angezeigt, der Rest schon (inkl. Geräte aus dem DHCP-Bereich).

Gruß

Arnaud

Hallo Arnaud,
das kann ich so leider nicht bestätigen.
Ich habe hier im WebUI z.B. den Eintrag:
k509-besprechungsraum A 900 10.30.51.61
(hier alles klein geschrieben!)

Wenn ich in der devices.csv nachsehe, sehe ich dort einen Eintrag für das Gerät:
fachraum;K509-Besprechungsraum;win10grub;00:23:21:64:A2:B7;10.30.51.61;---;---;;faculty-teachercomputer;---;1;;;;MIGRATION;;
(hier beide Anfangsbuchstaben groß geschrieben)

Wenn ich dann aber in der Datei subnets.csv nachsehe, sehe ich:

# Subnet fachraum (VLAN.51)
10.30.51.0/24;10.30.51.254;;;MIGRATION;

→ dort läuft also gar kein DHCP-Bereich für die Rechneraufnahme

Dennoch wird der Eintrag wie auch ein paar andere angezeigt. Es muss also noch einen anderen Filter geben, warum ausgerechnet dieser Rechner (wie auch noch ein paar andere, die ebenfalls einen Eintrag in der devices.csv besitzen) angezeigt wird?!?

Viele Grüße,
Michael

Hallo Michael,

Es stimmt, der Grund ist, dass mein Test case sensitive ist. Aber beim DNS/Hostname sollte es case insensitive sein. Ich werde es korrigiert. Ich bin eigentlich nie auf die Idee gekommen, große Buchstaben für Hostname zu verwenden, da es sowieso keine Wirkung hat

Gruß

Arnaud

Ich bin gerade die devices.csv nochmal durchgegangen und habe alle Großbuchstaben, die sich da im Laufe der Zeit versehentlich bei den Hostnames eingeschlichen haben, durch Kleinbuchstaben ersetzt. (Das ist vor allem bei solchen Clients vorgekommen, die z.B. X200 oder ähnlich heißen. Also in solchen Fällen: Hardwarename = Hostname … )

Nach TTL 900 sollten die Einträge nun also alle aus der Übersicht verschwinden

Hallo,

bei mir auf dem LMN7.1-Server stehen unter „Samba DNS“ neben dem Server nur noch 7 Clients aus der Geräte-Liste der Geräteverwaltung. Alle haben die Rolle Schüler-PC und Linbo-PXE.

Entschuldigung, aber wo liegt der Sinn auf einer Übersichtsseite für DNS-Einträge die Einträge zu filtern? Da schaue ich doch gerade nach, wenn ich wissen will, was im DNS steht und was eben auch nicht drin steht und wo ein Eintrag herkommt. „Damit es übersichtlich bleibt“ ist da für mich kein Argument, denn dafür gibt es eine Suchfunktion im Browser und die Übersicht könnte Filter und Spalten-Sortierung analog zur Linbo-Geräteliste haben.

Dass Groß-/Kleinschreibung im LMN-Projekt immer wieder ein Problem ist, ist für mich ein Rätsel. Meistens werden Regex-Filter benutzt, da kann man doch ohne weiteres ein Parameter für „case insensitive“ mitgeben. Dasselbe gilt für Aufrufe diverser Tools auf dem Server (bspw. grep -i).

MfG Buster

Hi,

Das sollte nicht so sein, aber das habe vor ein paar Jahre geschrieben, ohne Änderung seitdem, und es gibt inszwischen neue Fälle.

Wenn man Samba mit einem echten Domän konfiguriert (d.h. z.B. etwas anderes als linuxmuster.lan), muss man die interne, sowie die externe DNS konfigurieren. Dieser Plugin habe ich erst mal für uns geschrieben, und ich brauche dafür nicht die DNS aus dem devices.csv automatisch generiert sind.
Klar, kann man anders oder besser machen, mit z.B. einem Tab für externe DNS und einem für andere. Da ich es nicht brauche, habe ich die Zeit dafür nicht verbracht, und werde auch nicht machen.

Und es gibt nocht viele andere Möglichkeiten, klar, das kennen wir alle. Es geht nicht um die richtige Option mit einem Tool zu verwenden, es geht um daran zu denken dass User groß Buchstaben im Hostname im devices.csv schreiben. Das habe ich schon gesagt, daran hätte ich nicht gedacht.

Gruß

Arnaud

Das haben wir bei uns daaaamals bei der Erstinstallation so gemacht. Kannst du nochmal genau sagen, an welchen Stellen in diesem Fall „intern“ und „extern“ unterschieden werden muss?

Ich denke weiterhin, dass wir hier ein DNS-Problem haben, das nur schwer zu orten ist, da es nicht immer auftritt. Daher wäre ich froh, wenn ich einen Anhaltspunkt hätte.
Es tritt übrigens vermehrt auf, wenn im WLAN viel los ist. Das würde zu diesem Beitrag passen:

Danke, @ardnaud
Viele Grüße,
Michael

Hi Michael,

Intern bedeutet die FQDN intern im Schulnetz, und extern alle andere im Internet (z.B. Mailserver bei Hetzner).

Es geht ganz einfach mit samba-tool dns query 10.0.0.1 MYDOMAIN.COM @ ALL -U global-admin

Gruß

Arnaud

Ja, so haben wir das. Es geht also in diesem Fall ausschließlich um Einstellungen am v7-Server und nicht um die OPNSense, ja?

Hallo Michael,
ich lese hier seit einiger Zeit mit und stelle jetzt erst fest, dass wir offensichtlich ein ähnliches Problem haben. Also keine Lösung meinerseits, aber der Hinweis, dass du offensichtlich nicht alleine bist.

Ich denke weiterhin, dass wir hier ein DNS-Problem haben, das nur schwer zu orten ist, da es nicht immer auftritt. Daher wäre ich froh, wenn ich einen Anhaltspunkt hätte.
Es tritt übrigens vermehrt auf, wenn im WLAN viel los ist. Das würde zu diesem Beitrag passen:

Bei uns ist es genau das Selbe: Je ausgelasteter das WLAN, desto mehr gehen die DNS-Antwortzeiten in die Knie - und zwar in ALLEN Netzen. Es hat den Anschein, dass irgendwo nicht gescheit gechachet wird oder der Cache viel zu schnell volläuft. Wir tappen auch seit Wochen im Dunkeln.

LG
Daniel

Hallo. Das ist einerseits beruhigend – andererseits suchen wir auch schon lange, was hier die Ursache sein kann.

Bei uns kommt hinzu, dass wir intern wie extern den gleichen FQDN verwenden und daher dem DNS-Server ein paar Umleitungen beigebracht haben, wie z.B.
nextcloud.unsere-schule.de → interne IP 172.17… bei uns in der DMZ usw.

Auf diese Weise soll natürlich verhindert werden, dass die Geräte, die sich vormittags innerhalb der Schule bewegen, beim Zugriff auf die Nextcloud alle zuerst nach draußen geroutet werden – nur um dann wieder zurück zu kommen (denn die Nextcloud läuft bei uns).

Das gleiche Spielchen gilt auch für das MDM und genau hier haben wir das Problem am häufigsten beobachtet: Es kommt vormittags, wenn > 1000 Geräte im WLAN sind, des öfteren vor, dass es klemmt. Im Zweifel hilft es meistens, wenn man als Lehrer das WLAN wechselt und direkt danach in das alte WLAN zurückkehrt. (Wir haben ein WLAN nur für Lehrer und eins für „alle“).

Danach läuft es meistens direkt besser. Ob das wirklich ein DNS-Problem ist, läßt sich schwer beurteilen – natürlich haben wir auch schon alle möglichen WLAN-Optimierungen ausprobiert. 100%ig erfolgreich waren die aber nicht. Es ist leider nervig und zeitraubend, wenn man im Unterricht mit dem Tablet zunächst die Verbindung zum WLAN neu herstellen muss, bevor man anderes tun kann. Manchmal ist es auch so, dass beim Roaming zwischen den einzelnen Accesspoints die Verbindung klemmt. Dann kommt man in einen neuen Raum und wird auf dem Weg durch das Gebäude automatisch von einem AP zu nächsten durchgereicht – aber wenn’s dann losgehen soll, sieht es fast so aus, als sei man gar nicht mehr online. Dann wird beispielsweise auch anstelle des internen Dienstes mdm.meine-schule.de versucht, die Seite live.relution.io aufzurufen. Aus diesem Grund bin ich überhaupt erst auf die Idee gekommen, dass es vielleicht ein DNS-Problem ist. Allerdings habe ich an allen mir bekannten Stellen nachgesehen, ob die Namensauflösung richtig läuft … und das tut sie! Wenn Du aber meinst, dass es evtl nur im Fall einer maximalen Auslastung auftritt, könnte das ins Bild passen. Nur: Wonach suchen - und wo? Unsere OPNSense läuft bare-metal auf einer DEC3850. Die dürfte locker stark genug sein.

Vielleicht kommen wir der Sache ja noch auf die Schliche… evtl nochmal die DNS-Einstellungen in der OPNSense abgleichen??

Oder gibt es weitere Ideen, wonach man in solchen Fällen suchen soll?
Viele Grüße,
Michael

Hallo Michael,
bei uns ist endlich Licht ins Dunkel gekommen:
Die Firewall unseres Providers hat uns blockiert.
Unser Schüler WLAN läuft über die opnsense, als DNS fungiert ein pihole. Mit wachsender Client Anzahl ist die Masse der DNS Anfragen per UDP nach außen stetig gewachsen (mehrere zig tausend Anfragen über die IP der opnsense, der Cache des piholes lag „nur“ bei 10000) bis die Firewall des Dienstleisters unsere externe ip zeitweise blockiert hat, weil sie es ein DDos Attacke durch die IP unserer opnsense gehalten hat.
Nach einer Zeit wurde die Blockierung wieder gelöst, bis das Limit erneut erreicht wurde. Also wellenartiges Blockieren und wieder Freigeben.
Da wir natürlich mit dem gesamten Netzwerk am der gleichen Internet Leitung hängen hatte diese Blockierung auch Auswirkungen auf die anderen Netzwerke…

LG
Daniel

Hallo Daniel.

Das ist bei uns ganz genauso! Wo kann man denn die Größe des Caches festlegen? Ich hatte zwischendurch auch schon öfter das Pi-Hole im Visier, da es möglicherweise für so viele Clients gar nicht ausgelegt ist?!? Wenn man danach sucht, findet man viele Treffer zum Thema aber bisher habe ich keine definitiven Antworten gefunden.
Das würde ich gerne als erstes ausprobieren, ob eine Einstellung am Pi-Hole hier was bringt.
Wie seid ihr also vorgegangen, um das Problem zu lösen?
Einfach nur so??

Wenn man den Eintrag ändert und das Pi-Hole neu startet, meldet es übrigens das hier:

DNSMASQ_WARN|Warning in `dnsmasq` core:
cache size greater than 10000 may cause performance issues, and is unlikely to be useful.|

Habt ihr das trotzdem gemacht bzw in Kauf genommen??

Viele Grüße,
MIchael

Hallo Michael,
wir haben heute folgendes gemacht: In der /etc/pihole/setupVars.conf den CACHE_SIZE auf 100k erhöht.
Wichtig !!: Nach dem Ändern der Config muss man „pihole -r“ absetzen, sonst wird der Wert nicht übernommen (auch wenn er in den Config steht) - ich meine nur ein Neustart reicht nicht aus.
Evtl. mal zusätzlich die Meldungen im Pihole beobachten und in der Datei pihole-FTL.conf ggf. noch das Rate-Limit erhöhen, falls die IP der OpnSense im Pihole gelimited wird.

Die Meldung mit dem cache size habe ich durch das Erhöhen auch - juckt mich aber nicht.
Ob das Pihole, das ja eigentlich eher für Privatanwender gedacht ist, das nun packt, muss ich auch erst noch genauer analysieren. Ich hatte heute aber eine spürbar bessere Performance, konnte aber aus Zeitgründen nicht nachhaltig testen.

Zusätzlich haben wir beim Dienstleister darum gebeten das Limit für UDP-Pakete in der Firewall zu erhöhen. Ich weiß aber nicht, ob die das schon angegeangen sind.

Wenn das alles nichts hilft, müssen wir auf eine andere Lösung umsteigen mit einem DNS-Server, der tatsächlich auch sauber DNS Anfragen jenseits der 50000 sauber cachet oder DNS Anfragen per TCP rausschicken (wobei ich das noch nicht weiß ob sich das umsetzen lässt).

LG
Daniel

Hallo Daniel,
ok, dann werde ich das auch mal so ausprobieren.
Weißt Du zufällig auch, wo die Einstellung bzgl des Limits auf der OPNSense einzustellen ist?

Und dann direkt noch eine Frage:

Wo stelle ich das fest?

Ich habe übrigens auch schon mal mit dem Gedanken gespielt umzusteigen:

Viele Grüße,
Michael