Seltsames DNS-Problem mit BBB aus WLAN

Michael · 12. Januar 2021 um 17:28

Hi.
Ich bin heute auf ein merkwürdiges Problem gestoßen, das ich mir nicht erklären kann:

Unser BBB-Server ist -wie bei so vielen hier- bei hetzner. Wir haben einen A-Record und einen AAAA-Record bei unserem „eigentlichen“ Webserver (da wo die Homepage liegt) eingerichtet, der auch funktioniert. Er zeigt auf die feste IP bei hetzner und alles ist gut … na ja fast alles, denn heute wollte ich BBB aus dem WLAN heraus starten und konnte nicht auf den Server zugreifen.

Seltsamerweise habe ich im WLAN einen falschen DNS-Eintrag. Dort wird die IP des Webservers angezeigt. Aber überall anders ist es richtig und die IP von hetzner wird gezeigt. Es ist sogar so, dass nur ein einziges unserer WLANs davon betroffen ist: Das schulweite WLAN (ehemals „blau“). Alle WLANs in grün machen es ebenfalls richtig. Da frage ich mich: Woran liegt das und wonach soll man da schauen?

Ich habe ping, tracepath und dig ausprobiert und komme jetzt nicht mehr weiter… wie gesagt: Sowohl server als auch firewall und auch Clients in grün lösen den Namen richtig auf. Der Browser-Cache wurde natürlich auch schon geleert.

Da gehen mir die Ideen aus… und Euch?
Ach ja: das gesamte WLAN wird über unifi-APs und einen unifi-Controller geregelt.
Viele Grüße,
Michael

crazy-to-bike · 12. Januar 2021 um 17:41

Hallo,

es wird grundsätzlich empfohlen, BBB nicht über WLAN zu machen. Mehr kann ich leider nicht beisteuern.

Viele Grüße
Steffen

Michael · 12. Januar 2021 um 18:39

ich wollte bisher auch nur vom WLAN aus auf die Greenlight-Oberfläche … dabei ist das ganze ja erst aufgefallen.
Per IP geht es übrigens (dann natürlich mit Zertifikatswarnung)!
Es ist also eindeutig ein DNS-Problem! Aber wo steckt der Fehler?

martin.res · 13. Januar 2021 um 23:26

Hallo Michael,
evtl. wird per dhcp im WLAN ein anderer (primärer) DNS-Server verteilt.
LG
Martin

Michael · 14. Januar 2021 um 14:34

Hallo Martin
Ich glaube mittlerweile, dass es sich um ein IPv6 Problem handeln könnte!?
Ich habe auf dem Tablet im (blauen und anschließend grünen) WLAN mit dem Tool „LAN Droid“ einen DNS-Lookup gemacht … da tauchten andere Ergebnisse auf; je nachdem, in welchem WLAN ich gerade war.
Dennoch weiß ich nicht, wie ich das nun genauer eingrenzen kann?
Viele Grüße,
Michael

zefanja · 14. Januar 2021 um 15:10

Hi,

hast du irgendwo noch einen Eintrag in einer hosts Datei stehen, z.B. auf dem Server bzw. Firewall?

vG Stephan

Michael · 14. Januar 2021 um 15:14

Hallo Stephan.
Nein, ziemlich sicher nicht – da der Eintrag bbb.meine-domain.de ja ganz neu angelegt wurde und vorher gar nicht existierte … es könnte höchstens noch sein, dass evtl irgendwo ein Wildcard-Eintrag steht, doch das müsste ja schon auf dem DNS-Server der Fall sein, oder?
Viele Grüße,
Michael

martin.res · 15. Januar 2021 um 23:25

Hallo Michael,
in Blau ist der dhcp-Server normalerweise die Firewall
in Grün ist der dhcp-Server der linuxmuster.net-Server
Nach meinem Wissen wird in Blau keine IPv6 verteilt.
LG
Martin

Michael · 16. Januar 2021 um 07:43

Hallo Martin.
Ja, das passt. Ich muss noch dazu sagen, dass im Schul-WLAN ein Pi-Hole läuft – doch das kann ich definitiv als Verursacher ausschließen, da sich das Verhalten nicht geändert hat, als ich es deaktiviert hatte. Es liegt auch nicht an IPv6 — aber es wird noch besser:

Ich hatte mich bisher gewundert, dass ein ping bbb.meine-schule.de nicht ankam und immer die IP des HostEurope Servers anstatt des hetzner-Servers geliefert wurde … aber es ist sogar so, dass ich auch ping cthwerqwevcmr.meine-schule.de (also irgendwas) verwenden kann und das dennoch beim HostEurope Server landet.

Und jetzt kommt’s: Wenn ich server.linuxmuster.meine-domain.de oder firewall.linuxmuster.meine-domain.de anpingen will, geht das ebenfalls raus anstatt direkt aufgelöst zu werden.

Als wäre das noch nicht genug: Nehme ich eine VM und hänge sie in das betroffene VLAN, erhält sie eine IP aus dem betroffenen (blauen) WLAN von der OPNSense. Da es nun aber keine WLAN- sondern eine LAN-Verbindung ist, erscheint bei diesem Client nicht das Portal zur Anmeldung sondern man ist sofort online. Soweit alles korrekt … wenn ich nun das o.g. ping oder dig ausführe, ist alles richtig und die hetzner-IP erscheint!! Das kann doch nur bedeuten, dass der Fehler im Unifi-Controller, genauergesagt im Portal für dieses WLAN liegen muss … aber welche Option könnte das sein??

Viele Grüße,
Michael

jrichter · 16. Januar 2021 um 08:02

Hallo Michael,

auf dem Controller kann auch ein DHCP laufen, den solltest Du deaktivieren.

Du kannst ja auch mal auf einem Client nachsehen, welchen DNS-Server er verwendet, bei Windows z. B. mit nslookup www.irgendwas.de.

Beste Grüße

Jörg

Michael · 16. Januar 2021 um 08:09

Hallo Jörg,
meines Wissens geht das bei Unifi & DHCP (direkt) nur, wenn man ein UGS hat, was wir aber nicht haben.

Ich denke, dass die Reihenfolge der DNS-Server im WLAN diese ist:
Client fragt Pi-Hole, Pi-Hole fragt OPNSense, OPNSense fragt öffentliche DNS-Server (9.9.9.9 oder 1.1.1.1).
Das falsche Verhalten tritt nur dann auf, wenn man sich am Portal angemeldet hat… und auch nur in diesem einen WLAN.
Ich finde das weiterhin seltsam…
Viele Grüße,
Michael