uwe.at.home
Goto Top

DNSv6 Problem unter Sophos UTM 110

Hallo,

bei mir zu Hause gibt es sporadisch Probleme bei der Namensauflösung - Beispiel:

 nslookup tel.t-online.de
 Server:  UnKnown
 Address:  <Prefix>:4401::1
 *** tel.t-online.de wurde von UnKnown nicht gefunden: No response from server. 

Und nach ein paar Minuten in derselben Shell:

  nslookup tel.t-online.de
  Server:  UnKnown
  Address:  <Prefix>:4401::1
  Nicht autorisierende Antwort:
  Name:    hh-epp-001.isp.t-ipnet.de
  Address:  217.0.23.132

Der DNSv6-Server läuft auf einer Sophos UTM 110 (Home-Lizenz / Firmwareversion: 9.502-4).
Als VDSL-Modem hängt eine Vigor 130 davor.
Provider ist die Telekom - es ist ein Business-Anschluss mit statischer IP,
weil ich irgendwann einen Mail-(V-)Server mit SFP umziehen möchte, der momentan angemietet ist.

Mir ist in den DNS-Logs der UTM zu dem Zeitpunkt nichts außergewöhnliches aufgefallen.
Wenn die Namensauflösung gerade nicht geht, beantwortet die UTM pings und auch die Internetverbindung steht.
Webseiten können zu dem Zeitpunkt im Browser (am Cache vorbei) auch frisch geladen werden.

Die UTM steht zu Hause und ist in verschiedene Zonen unterteilt (LAN/Intranet, DMZ, Gästenetz/IOT).
Es gibt keinen DC / (Windows-)Domäne. Auf der UTM sind DHCP-Server für IPv4 und IPv6 im Intranet eingerichtet.
DHCP ist so eingerichtet, dass jeder Rechner im Intranet ein Domänen-Suffix verpasst bekommt (xyz.local).
Das Suffix ist auch im DNS-Server gesetzt.

Vom Bauchgefühl her tippe ich momentan darauf, dass irgendwas mit der IPv6-Konfiguration nicht passt,
der Suffix oder die Netzwerkdefinition (zu tel.t-online.de für VOIP-Regeln) Probleme machen - vielleicht auch
meine ICMP/Ping-Blockaden schuld sind.

Mich wundert es nur, dass das Problem so sporadisch ist und sonst alles geht.
Manchmal im Abstand von Stunden, manchmal erst nach ein paar Tagen.

Hat vielleicht jemand schon mal ein ähnliches Problem gehabt und will mir romantische Nächte mit Wireshark ersparen?

Grüße, Uwe


Nachtrag: IP-Settings eines Clients als Bild angehängt
01_schnitstellen
08_dns_forwarders
05_ipv6_prefix
04_ipv6_allgemein
03_netzwerkdefinitionen
11_firewall_icmp
14_ipconfig_client
12_firewall_erweitert
06_ipv6_renumber
02_systemeinstellungen_hostname
09_dhcp
13_nat_maskierung
07_dns
10_firewall_dns

Content-Key: 348592

Url: https://administrator.de/contentid/348592

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: aqui
aqui 09.09.2017 aktualisiert um 12:05:48 Uhr
Goto Top
ein Domänen-Suffix verpasst bekommt (xyz.local).
.local sollte man nie verwenden weil das mit der weltweit für mDNS reservierten Root Domain kollidiert und früher oder später Probleme macht:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Hier sollte man immer .intern oder .lokal verwenden um Konflikte zu vermeiden. Möglicherweise auch bei dir der Grund.
Mitglied: Uwe.at.Home
Uwe.at.Home 12.09.2017 um 19:28:26 Uhr
Goto Top
Hallo acqui,

vielen Dank für Deine Hilfe und sorry, dass ich jetzt erst antworte.

Aber es war schon ein ziemlicher Act, den Suffix überall zu ändern und ich wollte auch erst die DHCP lease - Dauer abwarten.

Es ist jetzt eine Sub-Domain einer von mir öffentlich registrierten Domäne gestetzt ("lokal.xyz.de")
und ich beobachte noch, ob die Namensauflösung jetzt zuverlässig funktioniert.

Wir verwenden im LAN auf der Arbeit auch einen Domänen-Namen, der auf ".local" endet.
Dort gibt es natürlich Domänen-Controller. Bonjour, mDNS, etc. verwenden wir meines Wissens
nicht und ist auch bei allen Druckern/Appliances deaktiviert.

Kann das ".local" trotzdem Probleme machen?

Grüße, Uwe