Mal wieder eine DNS-Frage ...!

Hallo Arnaud,
das kann ich so leider nicht bestätigen.
Ich habe hier im WebUI z.B. den Eintrag:
k509-besprechungsraum A 900 10.30.51.61
(hier alles klein geschrieben!)

Wenn ich in der devices.csv nachsehe, sehe ich dort einen Eintrag für das Gerät:
fachraum;K509-Besprechungsraum;win10grub;00:23:21:64:A2:B7;10.30.51.61;---;---;;faculty-teachercomputer;---;1;;;;MIGRATION;;
(hier beide Anfangsbuchstaben groß geschrieben)

Wenn ich dann aber in der Datei subnets.csv nachsehe, sehe ich:

# Subnet fachraum (VLAN.51)
10.30.51.0/24;10.30.51.254;;;MIGRATION;

→ dort läuft also gar kein DHCP-Bereich für die Rechneraufnahme

Dennoch wird der Eintrag wie auch ein paar andere angezeigt. Es muss also noch einen anderen Filter geben, warum ausgerechnet dieser Rechner (wie auch noch ein paar andere, die ebenfalls einen Eintrag in der devices.csv besitzen) angezeigt wird?!?

Viele Grüße,
Michael

Hallo Michael,

Es stimmt, der Grund ist, dass mein Test case sensitive ist. Aber beim DNS/Hostname sollte es case insensitive sein. Ich werde es korrigiert. Ich bin eigentlich nie auf die Idee gekommen, große Buchstaben für Hostname zu verwenden, da es sowieso keine Wirkung hat

Gruß

Arnaud

Ich bin gerade die devices.csv nochmal durchgegangen und habe alle Großbuchstaben, die sich da im Laufe der Zeit versehentlich bei den Hostnames eingeschlichen haben, durch Kleinbuchstaben ersetzt. (Das ist vor allem bei solchen Clients vorgekommen, die z.B. X200 oder ähnlich heißen. Also in solchen Fällen: Hardwarename = Hostname … )

Nach TTL 900 sollten die Einträge nun also alle aus der Übersicht verschwinden

Hallo,

bei mir auf dem LMN7.1-Server stehen unter „Samba DNS“ neben dem Server nur noch 7 Clients aus der Geräte-Liste der Geräteverwaltung. Alle haben die Rolle Schüler-PC und Linbo-PXE.

Entschuldigung, aber wo liegt der Sinn auf einer Übersichtsseite für DNS-Einträge die Einträge zu filtern? Da schaue ich doch gerade nach, wenn ich wissen will, was im DNS steht und was eben auch nicht drin steht und wo ein Eintrag herkommt. „Damit es übersichtlich bleibt“ ist da für mich kein Argument, denn dafür gibt es eine Suchfunktion im Browser und die Übersicht könnte Filter und Spalten-Sortierung analog zur Linbo-Geräteliste haben.

Dass Groß-/Kleinschreibung im LMN-Projekt immer wieder ein Problem ist, ist für mich ein Rätsel. Meistens werden Regex-Filter benutzt, da kann man doch ohne weiteres ein Parameter für „case insensitive“ mitgeben. Dasselbe gilt für Aufrufe diverser Tools auf dem Server (bspw. grep -i).

MfG Buster

Hi,

Das sollte nicht so sein, aber das habe vor ein paar Jahre geschrieben, ohne Änderung seitdem, und es gibt inszwischen neue Fälle.

Wenn man Samba mit einem echten Domän konfiguriert (d.h. z.B. etwas anderes als linuxmuster.lan), muss man die interne, sowie die externe DNS konfigurieren. Dieser Plugin habe ich erst mal für uns geschrieben, und ich brauche dafür nicht die DNS aus dem devices.csv automatisch generiert sind.
Klar, kann man anders oder besser machen, mit z.B. einem Tab für externe DNS und einem für andere. Da ich es nicht brauche, habe ich die Zeit dafür nicht verbracht, und werde auch nicht machen.

Und es gibt nocht viele andere Möglichkeiten, klar, das kennen wir alle. Es geht nicht um die richtige Option mit einem Tool zu verwenden, es geht um daran zu denken dass User groß Buchstaben im Hostname im devices.csv schreiben. Das habe ich schon gesagt, daran hätte ich nicht gedacht.

Gruß

Arnaud

Das haben wir bei uns daaaamals bei der Erstinstallation so gemacht. Kannst du nochmal genau sagen, an welchen Stellen in diesem Fall „intern“ und „extern“ unterschieden werden muss?

Ich denke weiterhin, dass wir hier ein DNS-Problem haben, das nur schwer zu orten ist, da es nicht immer auftritt. Daher wäre ich froh, wenn ich einen Anhaltspunkt hätte.
Es tritt übrigens vermehrt auf, wenn im WLAN viel los ist. Das würde zu diesem Beitrag passen:

Danke, @ardnaud
Viele Grüße,
Michael

Hi Michael,

Intern bedeutet die FQDN intern im Schulnetz, und extern alle andere im Internet (z.B. Mailserver bei Hetzner).

Es geht ganz einfach mit samba-tool dns query 10.0.0.1 MYDOMAIN.COM @ ALL -U global-admin

Gruß

Arnaud

Ja, so haben wir das. Es geht also in diesem Fall ausschließlich um Einstellungen am v7-Server und nicht um die OPNSense, ja?

Hallo Michael,
ich lese hier seit einiger Zeit mit und stelle jetzt erst fest, dass wir offensichtlich ein ähnliches Problem haben. Also keine Lösung meinerseits, aber der Hinweis, dass du offensichtlich nicht alleine bist.

Ich denke weiterhin, dass wir hier ein DNS-Problem haben, das nur schwer zu orten ist, da es nicht immer auftritt. Daher wäre ich froh, wenn ich einen Anhaltspunkt hätte.
Es tritt übrigens vermehrt auf, wenn im WLAN viel los ist. Das würde zu diesem Beitrag passen:

Bei uns ist es genau das Selbe: Je ausgelasteter das WLAN, desto mehr gehen die DNS-Antwortzeiten in die Knie - und zwar in ALLEN Netzen. Es hat den Anschein, dass irgendwo nicht gescheit gechachet wird oder der Cache viel zu schnell volläuft. Wir tappen auch seit Wochen im Dunkeln.

LG
Daniel

Hallo. Das ist einerseits beruhigend – andererseits suchen wir auch schon lange, was hier die Ursache sein kann.

Bei uns kommt hinzu, dass wir intern wie extern den gleichen FQDN verwenden und daher dem DNS-Server ein paar Umleitungen beigebracht haben, wie z.B.
nextcloud.unsere-schule.de → interne IP 172.17… bei uns in der DMZ usw.

Auf diese Weise soll natürlich verhindert werden, dass die Geräte, die sich vormittags innerhalb der Schule bewegen, beim Zugriff auf die Nextcloud alle zuerst nach draußen geroutet werden – nur um dann wieder zurück zu kommen (denn die Nextcloud läuft bei uns).

Das gleiche Spielchen gilt auch für das MDM und genau hier haben wir das Problem am häufigsten beobachtet: Es kommt vormittags, wenn > 1000 Geräte im WLAN sind, des öfteren vor, dass es klemmt. Im Zweifel hilft es meistens, wenn man als Lehrer das WLAN wechselt und direkt danach in das alte WLAN zurückkehrt. (Wir haben ein WLAN nur für Lehrer und eins für „alle“).

Danach läuft es meistens direkt besser. Ob das wirklich ein DNS-Problem ist, läßt sich schwer beurteilen – natürlich haben wir auch schon alle möglichen WLAN-Optimierungen ausprobiert. 100%ig erfolgreich waren die aber nicht. Es ist leider nervig und zeitraubend, wenn man im Unterricht mit dem Tablet zunächst die Verbindung zum WLAN neu herstellen muss, bevor man anderes tun kann. Manchmal ist es auch so, dass beim Roaming zwischen den einzelnen Accesspoints die Verbindung klemmt. Dann kommt man in einen neuen Raum und wird auf dem Weg durch das Gebäude automatisch von einem AP zu nächsten durchgereicht – aber wenn’s dann losgehen soll, sieht es fast so aus, als sei man gar nicht mehr online. Dann wird beispielsweise auch anstelle des internen Dienstes mdm.meine-schule.de versucht, die Seite live.relution.io aufzurufen. Aus diesem Grund bin ich überhaupt erst auf die Idee gekommen, dass es vielleicht ein DNS-Problem ist. Allerdings habe ich an allen mir bekannten Stellen nachgesehen, ob die Namensauflösung richtig läuft … und das tut sie! Wenn Du aber meinst, dass es evtl nur im Fall einer maximalen Auslastung auftritt, könnte das ins Bild passen. Nur: Wonach suchen - und wo? Unsere OPNSense läuft bare-metal auf einer DEC3850. Die dürfte locker stark genug sein.

Vielleicht kommen wir der Sache ja noch auf die Schliche… evtl nochmal die DNS-Einstellungen in der OPNSense abgleichen??

Oder gibt es weitere Ideen, wonach man in solchen Fällen suchen soll?
Viele Grüße,
Michael

Hallo Michael,
bei uns ist endlich Licht ins Dunkel gekommen:
Die Firewall unseres Providers hat uns blockiert.
Unser Schüler WLAN läuft über die opnsense, als DNS fungiert ein pihole. Mit wachsender Client Anzahl ist die Masse der DNS Anfragen per UDP nach außen stetig gewachsen (mehrere zig tausend Anfragen über die IP der opnsense, der Cache des piholes lag „nur“ bei 10000) bis die Firewall des Dienstleisters unsere externe ip zeitweise blockiert hat, weil sie es ein DDos Attacke durch die IP unserer opnsense gehalten hat.
Nach einer Zeit wurde die Blockierung wieder gelöst, bis das Limit erneut erreicht wurde. Also wellenartiges Blockieren und wieder Freigeben.
Da wir natürlich mit dem gesamten Netzwerk am der gleichen Internet Leitung hängen hatte diese Blockierung auch Auswirkungen auf die anderen Netzwerke…

LG
Daniel

Hallo Daniel.

Das ist bei uns ganz genauso! Wo kann man denn die Größe des Caches festlegen? Ich hatte zwischendurch auch schon öfter das Pi-Hole im Visier, da es möglicherweise für so viele Clients gar nicht ausgelegt ist?!? Wenn man danach sucht, findet man viele Treffer zum Thema aber bisher habe ich keine definitiven Antworten gefunden.
Das würde ich gerne als erstes ausprobieren, ob eine Einstellung am Pi-Hole hier was bringt.
Wie seid ihr also vorgegangen, um das Problem zu lösen?
Einfach nur so??

Wenn man den Eintrag ändert und das Pi-Hole neu startet, meldet es übrigens das hier:

DNSMASQ_WARN|Warning in `dnsmasq` core:
cache size greater than 10000 may cause performance issues, and is unlikely to be useful.|

Habt ihr das trotzdem gemacht bzw in Kauf genommen??

Viele Grüße,
MIchael

Hallo Michael,
wir haben heute folgendes gemacht: In der /etc/pihole/setupVars.conf den CACHE_SIZE auf 100k erhöht.
Wichtig !!: Nach dem Ändern der Config muss man „pihole -r“ absetzen, sonst wird der Wert nicht übernommen (auch wenn er in den Config steht) - ich meine nur ein Neustart reicht nicht aus.
Evtl. mal zusätzlich die Meldungen im Pihole beobachten und in der Datei pihole-FTL.conf ggf. noch das Rate-Limit erhöhen, falls die IP der OpnSense im Pihole gelimited wird.

Die Meldung mit dem cache size habe ich durch das Erhöhen auch - juckt mich aber nicht.
Ob das Pihole, das ja eigentlich eher für Privatanwender gedacht ist, das nun packt, muss ich auch erst noch genauer analysieren. Ich hatte heute aber eine spürbar bessere Performance, konnte aber aus Zeitgründen nicht nachhaltig testen.

Zusätzlich haben wir beim Dienstleister darum gebeten das Limit für UDP-Pakete in der Firewall zu erhöhen. Ich weiß aber nicht, ob die das schon angegeangen sind.

Wenn das alles nichts hilft, müssen wir auf eine andere Lösung umsteigen mit einem DNS-Server, der tatsächlich auch sauber DNS Anfragen jenseits der 50000 sauber cachet oder DNS Anfragen per TCP rausschicken (wobei ich das noch nicht weiß ob sich das umsetzen lässt).

LG
Daniel

Hallo Daniel,
ok, dann werde ich das auch mal so ausprobieren.
Weißt Du zufällig auch, wo die Einstellung bzgl des Limits auf der OPNSense einzustellen ist?

Und dann direkt noch eine Frage:

Wo stelle ich das fest?

Ich habe übrigens auch schon mal mit dem Gedanken gespielt umzusteigen:

Viele Grüße,
Michael

Hallo Michael,
das mit dem Limit auf der OpnSense verstehe ich nicht ganz. Es ist ja das pihole, dessen Cache voll läuft und dann wird jede (zusätzliche) DNS Anfrage halt von 100erten Clients über die IP der Opnsense direkt weiter an den Provider oder irgendeinen DNS draußen geschickt. Und dann macht halt die Firewall des Providers dicht, weil sie mit 1000en DNS Anfragen von der IP der opnsense bombardiert wird.
Die Opnsense macht ja eigentlich nur DHCP für die Schüler WLAN Clients. Da weiß ich nichts von einem Limit.

Wenn die IP der Opnsense im Pihole gelimited wird, erhältst du auch eine Warnmeldung ähnlich der für den zu großen Cache „192.168.10.200 has been rate Limited…“

Ich habe mir das auch schon überlegt aber ich denke Adguard ist wie pihole auch halt eher für Privatanwender konzipiert.

LG
Daniel

Hallo Daniel, auch schon so früh an den Tasten?!?

Ok – hatte mich auch schon gewundert. Dann hatte ich das oben falsch interpretiert.
Ich habe den Wert bei uns nun auch mal hochgedreht. Ob es das war, muss sich noch zeigen.

Manchmal vermute ich doch eher, dass ein Roaming-Problem dahinterstecken könnte, denn in manchen Räumen verbinden sich die Tablets aus irgendwelchen Gründen schlechter oder teils erst nach Wechsel des WLANs vernünftig. Aber eben auch nicht alle Geräte und auch nicht immer … nicht so einfach einzukreisen…

Viele Grüße,
Michael

Hallo Michael,

ich habe den Thread nicht ganz gelesen, daher weiß ich nicht, ob meine Anmerkung hier hilfreich ist.
Wir (Seminar) hatten letztes Jahr immer an den Seminartagen, wenn viele Referendare im Haus waren, ein ähnliches Problem: Die Namensauflösung hat dann fast nie funktioniert, aber wenn, dann war anschließend die Übertragungsrate ok. Wir haben dann unseren Speedport (wir haben Telekom-Glasfaser) durch eine Fritzbox mit Glasfasermodem ersetzt, seitdem ist das Problem weg. Der Grund ist mir nicht ganz klar, vielleicht kam der Speedport nicht mit der Anzahl der NAT-Vorgänge klar.

Viele Grüße
Andreas

Hallo Liste,
ein „pihole -r“ hatte nicht gereicht, der geänderte Eintrag wurde nicht übernommen.
Ich musste noch in /etc/dsnmasq.d/ in der Datei " 01-pihole.conf" den zu erhöhenden Wert auch noch ändern. Nach einem Neustart war der Wert dann übernommen.
Bei mir ist das aber eine „private“ Installation, ohne OpenSense etc.

VG (der andere) Andreas

Hallo Andreas (@amu)
Bei uns ist das etwas anders: Die Glasfaserleitung kommt über einen ONT ins Haus und endet direkt in der OPNSense (bare metal). Daher gibt’s da nichts anderes mehr dazwischen, was zusätzlich ausbremsen könnte. Es ist eine DEC3850, die locker leistungsstark genug sein dürfte.
Viele Grüße,
Michael

btw: beim Stöbern bin ich auf das hier gestoßen – also ein Load-Balancer für das Pi-Hole.
Hat das jemand so laufen? Klingt interessant:

https://docs.linuxfabrik.ch/software/pi-hole.html#mehrere-pi-holes-mit-gravity-sync

(Den Punkt darüber „MAXDBDAYS=30“ habe ich gerade umgesetzt. Das hat die Datenbankgröße enorm verkleinert!)