OPNSense-Proxy kann LDAP-Server nicht erreichen (nach Upgrade)

Server Firewall
1

Ich verweise auf die Beiträge

Wir haben unsere OPNSense in kurzen Abständen auf 23.7.12 gebracht. Der Server läuft auf 7.2/Samba 4.15.13. Unsere Clients sind Windows 10, die Proxy-Einstellungen werden per Gruppenrichtlinie verteilt.

Seit dem Upgrade haben wir diverse Problem mit dem Webproxy. Massiv ist, dass mitten während des Unterrichts der Proxy versagt und alle User permanent das Login-Fenster bekommen und nicht ins Internet können.

Auf der Firewall erhalte ich zu diesen Zeitpunkten unter Dienste > Web-Proxy > Cache-Protokoll im Millisekundentakt folgende Fehlermeldungen:

support_ldap.cc(1174): pid=87699 :2024/01/25 09:56:52| kerberos_ldap_group: ERROR: Error while binding to ldap server with Username/Password: Can't contact LDAP server
support_resolv.cc(289): pid=87699 :2024/01/25 09:56:53| kerberos_ldap_group: ERROR: Error while resolving service record _ldap._tcp.JPP.LAN with res_search
support_resolv.cc(71): pid=87699 :2024/01/25 09:56:53| kerberos_ldap_group: ERROR: res_search: Unknown service record: _ldap._tcp.JPP.LAN
support_resolv.cc(183): pid=87699 :2024/01/25 09:56:53| kerberos_ldap_group: ERROR: Error while resolving hostname with getaddrinfo: Name does not resolve
support_sasl.cc(276): pid=87699 :2024/01/25 09:56:53| kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
support_ldap.cc(1088): pid=87699 :2024/01/25 09:56:53| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
support_ldap.cc(649): pid=87699 :2024/01/25 09:56:53| kerberos_ldap_group: ERROR: SSL not supported by ldap library

Vermutlich entstehen die alle, weil der LDAP-Server nicht erreicht werden kann (?)

Fakt ist ja aber, dass der LDAP-Server sehr wohl erreichbar ist, sowohl über den „Tester“ als auch über den Test beim SSO (Kerberos Anmeldung testen).

Ich vermute eine Überlastung, kann mir aber nicht erklären, wo die herkommt. Die Firewall und der Server haben genügend freie Kapazitäten und die Netzauslastung ist völlig im Rahmen.

Hat jemand eine Idee, woran das liegen könnte? Gibt es ähnliche Probleme bei anderen?

Grüße

Lars

2

Hallo,
derzeit kommen meine Antworten nicht mehr in Discourse an. Hier meine Nachricht von Gestern.
LG
Holger
Hallo Lars,

Vermutlich entstehen die alle, weil der LDAP-Server nicht erreicht werden kann (?)

da klingelt was bei mir.
Haben wir das nicht so schonmal gehabt?
Hatten wir da nicht irgend wo in einer configdatei die Anzahl der möglichen Verbindungen hochgesetzt?

Weiß das noch Jemand?

LG

Holger

3

Hallo Lars,

Vermutlich entstehen die alle, weil der LDAP-Server nicht erreicht
werden kann (?)

da klingelt was bei mir.
Haben wir das nicht so schonmal gehabt?
Hatten wir da nicht irgend wo in einer configdatei die Anzahl der
möglichen Verbindungen hochgesetzt?

Weiß das noch Jemand?

LG

Holger

4

Hallo Holger,

das wäre natürlich super, wenn dir das wieder kommt. Im Moment ist der Proxy bei uns eine Zeitbombe, die jederzeit wieder hochgehen kann. Dann hilft meiner Erfahrung nach nur ein Neustart der Firewall.

Ich habe im Proxy noch diese Einstellung gefunden:
grafik

Hilft es vielleicht, diesen Wert hochzusetzen? Wobei es ja eigentlich ein Problem des Servers zu sein scheint, aber da habe ich nichts gefunden…

Wir haben übrigens ca. 180 PCs, die gleichzeitig auf den Proxy zugreifen könnten.

Vielen Dank für jede weitere Hilfe und beste Grüße

Lars

5

Wir haben uns das jetzt nochmal angeschaut. res_search und getaddrinfo weisen ja doch eher auf ein DNS-Problem hin. An der Stelle nochmal die Frage, die noch keiner so recht beantworten konnte:

„Verwenden Sie den lokalen DNS-Dienst nicht als Nameserver für dieses System“ (System > Einstellungen > Allgemein) → Haken rein oder raus???

Wir haben ihn jetzt testweise nochmal reingenommen und somit lauter grüne Haken beim SSO/Kerberos. Das Anlegen einer neuen Keytab hat damit auch funktioniert.

I don’t get it…

Liebe Grüße

Lars