Immer wieder VPN-Probleme

[Fidibus]

Moin,
ich muss immer wieder feststellen, dass, wenn sich die IP-Adresse meines Vodafone-Anschlusses sich ändert, ich längere Zeit kein VPN nutzen kann, da DuckDNS nicht aktualisiert.
Irgendwann geht es dann.
Ich habe den Verdacht, dass ich vielleicht die FW-Regeln zu eng definiert habe und somit das Gedöhns nicht sauber funktioniert.
Kann jemand helfen?
Aktuell:




Bemerkenswert erscheint mir, dass immer vieder versucht wird, die IP ...cd47 angesprochen wird, die lange Zeit meine WAN-Adresse war.

 

[blurrrr]

Was sagen denn die Logs dazu? Eventuell mal das Logging auf Verbose stellen:



(Quelle: https://docs.netgate.com/pfsense/en/latest/services/dyndns/client.html)

EDIT: Wo ich es grade auf der gleichen Seite sehe...



Könnte - je nach Fehlerfall - auch etwas sein, da die DuckDNS-Update-Server meines Wissens nach nur via IPv4 erreichbar sind (zumindestens lassen diverse Namensauflösungen darauf schliessen). Die Logs werden genaueres wissen...

 

[Fidibus]

Danke für deinen ersten Hinweis @blurrrr
Das hatte ich gar nicht mehr auf dem Schirm...

Da ist def. schon mal nicht die aktuelle IP cached .
Ist aber eingeschaltet:

 

[blurrrr]

Naja, irgendwo in den Logs muss schon irgendwas dazu stehen (warum dem derzeit so ist, wie dem ist). Vielleicht gibt es ein Problem bei der Aktualisierung der Cached IP und dadurch entsteht das von Dir erwähnte Problem. Ein Problem mit dem Update des Records "kann" natürlich auch sein, aber ist eigentlich auch egal wo wie was wer warum und weshalb - die Logs sollten Rückschlüsse ermöglichen. Dazu muss man ggf. etwas länger wühlen, ggf. auch das Logging hochdrehen (ggf. auch andere Logs als das DynDNS-Log, z.B. das System-Log) und alles pingelig durchgehen, bis man den kompletten Weg dieser Problematik ausgegraben und zurecht gerückt hat. Wenn man genau weiss, was wie und wo an welchen Stellen schief läuft, stehen die Chancen auch deutlich besser, dass man das Problem behoben bekommt

Ansonsten kannst Du halt auch mal schauen was passiert, wenn Du /etc/rc.dyndns.update manuell in der Shell aufrufst... Ich würde mein Hauptaugenmerk allerdings erstmal auf die Logs setzen, da müssten schon entsprechende Dinge zu finden sein.

 

[Fidibus]

Hauptaugenmerk allerdings erstmal auf die Logs setzen, da müssten schon entsprechende Dinge zu finden sein

Ja, denke ich auch, allerdings habe ich keine Ahnung, wonach ich suchen sollte. Ein Zeitstempel habe ich auch nicht wirklich :-/

 

[blurrrr]

Kann man in den System-Logs nicht einfach mal nach "dyndns" suchen?

 

[Fidibus]

Danke....bin mit Hilfe der KI auch dort angekommen .
Allerdings.....wie ich das beheben sollte???

Nov 16 01:01:01

php-cgi

95302

rc.dyndns.update: Curl error occurred: Could not resolve host: www.duckdns.org

 

[Fidibus]

Ich experimentiere...
Wieso funktioniert alles?
Es wird mir genau dieser Part hier empfohlen, DNS-Server zu konfigurieren, was mir auch logisch erscheint.

 

[blurrrr]

Na dann schau doch einfach mal, ob Du mit der pfSense www.duckdns.org auflösen kannst (unter Diagnostics / DNS Lookup). Dort sollten auch die befragten Nameserver auftauchen. Falls damit nix rum kommt, hilft es evtl. wenn Du der pfSense ggf. mal anderweitige Nameserver gibst (entsprechend IPv4 und/oder IPv6), im besten Fall mit statischen IP-Adressen (z.B. die von Google, etc.).

 

[Fidibus]

Ich habe jetzt den Google DNS mal eingetragen und warte mal ab....

 

[blurrrr]

Wenn möglich, würde ich die IP im Cache auch nochmal entfernen/aktualisieren.

 

[Fidibus]

Hmmm...
nach dieser Ausgabe hätte alles klappen müssen, nach meinem verständnis:

 

[blurrrr]

Eigentlich würde ich sagen "Sieht doch gut aus!", auf der anderen Seite scheint mir die Antwort etwas... dünn... zu sein. Bei mir sieht es so aus:





Aber sei's drum... ich würde die IP mal aus dem Cache nehmen (oder einfach mal auf "irgendwas" ändern) und dann den Update-Prozess nochmal anstossen (oder einfach abwarten)

EDIT: Kann natürlich sein, dass da noch mehr schief hängt, aber DNS sollte definitiv erstmal funktionieren, sonst kann man sich den Rest halt auch direkt sparen

 

[blurrrr]

Kleiner Nachtrag...:



Wenn checkip.dyndns.org zur IP-Bestimmung genutzt wird und die pfSense Dinge via DNS nicht auflösen konnte, könnte das natürlich auch irgendwo der Grund sein, warum sich die IP im Cache nicht aktualisiert hat. Ist aber auch nur eine grobe Vermutung, kannst Du aber auch direkt testen:



Ich bin mir grade nicht 100%ig sicher, aber damit IPv6 genutzt wird, muss man (meine ich) bei curl noch die Option "-6" angeben. Probier es einfach mal aus

 

[Barungar]

Ich bin mir grade nicht 100%ig sicher, aber damit IPv6 genutzt wird, muss man (meine ich) bei curl noch die Option "-6" angeben. Probier es einfach mal aus

Das ist richtig, bringt aber in dem Fall nix, weil es keinen AAAA-Record für checkip.dyndns.org gibt... willst Du Deine IPv6 "prüfen", so musst Du dei URL checkipv6.dyndns.org verwenden, für die es übrigens keinen A-Record gibt. Somit ist sichergestellt, dass die jeweilige URL nur von v4 bzw. v6 erreicht wird.

Im übrigen ist dyndns.org nur ein CNAME von dyndns.com ... wenn man also in allen Beispielen das .org durch ein .com ersetzt geht das DNS eine Auflöstungsiteration schneller.