Bug im DNS-Forwarder?

[trlcf]

Hallo zusammen,

mein Router baut gelegentlich keine Internet-Verbindung auf.

Die Bedingungen unter denen der Fehler auftritt sind für mich noch nicht klar erkennbar, manchmal funktionierts, manchmal nicht.

Meine Beobachtungen bisher sind:
- Den Fehler beobachte ich eigentlich nur wenn ich meine VPN-Konfiguration (siehe unten) in den Router lade (die VPN-Verbindung an sich funktioniert).
- Wenn die Internet-Verbindung durch Timeout beendet wird und die VPN-Verbindung dabei noch aktiv ist kann die Internet-Verbindung nur noch durch anpingen einer externen IP wieder aufgebaut werden. Eine DNS-Anfrage zeigt keine Wirkung.
- Wenn die VPN-Verbindung vorher manuell abgebaut wird scheint der Fehler nicht aufzutreten.
- Der Fehler tritt auch sporadisch auf ohne dass eine VPN-Verbindung aktiv war.

Router: 1781VAW
getestete Firmware: 8.84.0132-Rel, 9.00.0197-Rel, 9.00.0212-RU1

Potentiell problematische Teile der VPN-Konfiguration:
Kommunikation/Protokolle/IP-Parameter/VPN-Gegenstelle: Erster DNS 192.168.10.1, Zweiter DNS 192.168.10.254, restliche Parameter auf 0.0.0.0
IPv4/DNS/DNS-Fowarding: *.domain-entfernt.de -> VPN-Gegenstelle
IP-Router/Routing/IPv4-Routing-Tabelle: 192.168.10.0 -> VPN-Gegenstelle
VPN: Modul aktiviert

Hat das noch jemand beobachtet?

Grüße
Tom

[Dr.Einstein]

Kommunikation/Protokolle/IP-Parameter/VPN-Gegenstelle: Erster DNS 192.168.10.1, Zweiter DNS 192.168.10.254, restliche Parameter auf 0.0.0.0

Diese Tabelle ist doch nur für WAN Verbindungen Oo

Gruß Dr.Einstein

[trlcf]

Hallo Dr.Einstein,

danke, aber soweit ich das verstanden habe betrachtet Lancom VPN als WAN.
Man kann in dem Konfigurationsdialog schliesslich auch explizit VPN-Gegenstellen auswählen.

Habe ich das falsch verstanden?

Grüße
Tom

[Bernie137]

Hallo Tom,

so beim Lesen Deiner Beschreibung klingt es für mich, als ob es nicht optimal konfiguriert ist. Aber leider sind die Angaben etwas dürftig.
Sollte es dennoch ein Bug sein, wirst Du Dich an den Support wenden müssen mit Traces.

mein Router baut gelegentlich keine Internet-Verbindung auf.

Was ist es für eine Internetverbindung, DSL, VDSL, externes Modem...? Wieso muss der Router erst eine Verbindungen aufbauen, warum wird diese nicht ständig gehalten (Wert 9999)?

- Wenn die Internet-Verbindung durch Timeout beendet wird und die VPN-Verbindung dabei noch aktiv ist

Gibt es noch eine zweite Internetverbindung oder wie muss man dass verstehen? VPN geht doch über Internet und wenn Internet beendet ist, ist auch VPN beendet (keine Prüfung über Polling vorhanden?).

kann die Internet-Verbindung nur noch durch anpingen einer externen IP wieder aufgebaut werden.

Wodurch sollte sonst die Verbindung wieder aufgebaut werden? Durch eine interne IP sicher nicht.

Eine DNS-Anfrage zeigt keine Wirkung.

Welche DNS Anfrage und wer wird von wem per DNS befragt? Kommt eine DNS Antwort ausm Cache? Wird auf einen externen DNS Namen gepingt?

Code: Alles auswählen

Kommunikation/Protokolle/IP-Parameter/VPN-Gegenstelle

Ich bin der Meinung, diese Tabelle greift für die entsprechend konfigurierte VPN-Verbindung.

vg Bernie

[trlcf]

Hallo Bernie

danke erstmal.

Was ist es für eine Internetverbindung, DSL, VDSL, externes Modem...? Wieso muss der Router erst eine Verbindungen aufbauen, warum wird diese nicht ständig gehalten (Wert 9999)?

Es handelt sich um eine VDSL-Verbindung, genutzt wird das interne Modem.
Die Verbindung wird noch nicht ständig gehalten, da es sich noch um einen Testaufbau handelt.

Gibt es noch eine zweite Internetverbindung oder wie muss man dass verstehen? VPN geht doch über Internet und wenn Internet beendet ist, ist auch VPN beendet (keine Prüfung über Polling vorhanden?).

Es gibt nur eine Internetverbindung, darüber wird das VPN aufgebaut.

Wodurch sollte sonst die Verbindung wieder aufgebaut werden? Durch eine interne IP sicher nicht.

Externe IP war im Gegensatz zu einer externen DNS-Anfrage gemeint, nicht zu einer internen IP.

Welche DNS Anfrage und wer wird von wem per DNS befragt? Kommt eine DNS Antwort ausm Cache? Wird auf einen externen DNS Namen gepingt?

Ich habe die DNS-Anfrage initiiert durch Aufruf einer externen Webseite im Browser, darauf dass die Adresse nicht im Cache liegt habe ich geachtet.


Das seltsame ist, dass es mal funktioniert und mal nicht.

So sieht ein Trace aus wenn es nicht funktioniert:

Code: Alles auswählen

[DNS] 2014/08/14 18:04:47,581  Devicetime: 2014/08/14 18:04:48,707
DNS Rx (LAN-1, INTRANET): Src-IP 192.168.30.39, RtgTag 0
Query Request: STD A for http://www.google.de
Not found in local DNS database => forward to next server

[DNS] 2014/08/14 18:04:47,581  Devicetime: 2014/08/14 18:04:48,707 [info] : 
create new source map entry for 192.168.30.39
no dns server available on default route

So sieht ein Trace aus wenn es funktioniert:

Code: Alles auswählen

[DNS] 2014/08/14 18:37:08,580  Devicetime: 2014/08/14 18:37:10,051
DNS Rx (LAN-1, INTRANET): Src-IP 192.168.30.39, RtgTag 0
Query Request: STD A for http://www.google.de
Not found in local DNS database => forward to next server

[DNS] 2014/08/14 18:37:08,580  Devicetime: 2014/08/14 18:37:10,051 [info] : 
create new destination map entry for default route with routing tag 0
DestinationMapEntry for default route with routing tag 0 created
IPv4 destination: TELEKOM
can't check for IPv4 DNS servers yet
create new source map entry for 192.168.30.39
store request

[DNS] 2014/08/14 18:37:09,720  Devicetime: 2014/08/14 18:37:11,194 [info] : connect indication for TELEKOM
using IPv4 DNS server 217.237.150.115 on TELEKOM for stored request

Grüße
Tom

[Bernie137]

Hallo Tom,

Code: Alles auswählen

no dns server available on default route

Diese Meldung ist schon bedenklich. Ich würde prüfen,ob zur fraglichen Zeit im LANmonitor bei der WAN Verbindung ein DNS Server angezeigt wird und ob dieser DNS erreichbar ist? Die WAN Verbindung erhält die Daten per DHCP?

Das Verhalten ist bei allen 3 LCOS Versionen? Workaround ist auf alle Fälle auf dauerhafte Verbindung umkonfigurieren und dann mit dem Support das Problem angehen.

vg Bernie

[trlcf]

Hallo Bernie,

wenn die WAN-Verbindung hergestellt wird, erhält der Router auch die korrekten DNS-Server vom Provider.
Das Problem ist ja dass eine DNS-Anfrage nach einer externen Domain keinen Verbindungsaufbau auslöst, jedenfalls nicht immer.

Das Verhalten habe ich erst mit der Version 9.00.0212-RU1 genauer unter die Lupe genommen.
Aufgefallen ist mir das aber bereits mit der 8.84.0132-Rel und 9.00.0197-Rel, immer wenn ich mit meiner VPN-Konfiguration herumgespielt habe.
Zu dem Zeitpunkt habe ich natürlich gedacht, dass ich in meiner VPN-Konfiguration einen Bock geschossen habe und diese einfach entfernt.
Da meine VPN-Konfiguration aber funktioniert, wenn denn die WAN-Verbindung aufgebaut wird, vermute ich noch einen Bug im DNS-Forwarder.

Ich werde mich mal an den Lancom-Support wenden.
Falls sich irgendwas ergibt poste ich das Ergebnis hier, aber danke erstmal!

Grüße
Tom

[mhorbank]

Gibt es schon eine Antwort vom Lancom-Support?

Ich habe ein ähnliches Problem:

Ab und zu - aber leider regelmäßig, ist der Lancom nach Neustart oder Wechsel der WAN-Verbindung (im Backup-Fall) in einem Status, in der beim DNS-Trace die Fehlermeldung erscheint "no dns server available on default route", wenn er versucht, die Namensauflösung an einen externen DNS weiterzuleiten. Der Lanmonitor zeigt zu diesem Zeitpunkt jedoch bereits eine korrekt per DHCP vom Provider zugewiesene DNS-Server-Adresse an. Wartet man dann eine ganze Weile - es kann sich um etliche Minuten handeln, kriegt sich der Lancom ein und die DNS-Auflösung klappt wieder, ohne das sich etwas sichtbares verändert hat.

Das Problem an der Sache ist, dass sich halt die VPN-Tunnel so lange nicht aufbauen, da weder der DynamicDNS-Update klappt noch die Gegenstelle aufgelöst werden kann.

Leider kann ich das Problem nicht sicher reproduzieren, es bringt mich aber mittlerweile zum Verzweifeln!

Lancom 1781VA-4G Hardware Release C, Firmware 9.04.0129RU3

Am Gerät scheint es nicht zu liegen, ein zweites Gerät zeigt mit der gleichen Config das gleiche Verhalten...

[mhorbank]

Ich habe gerade einen interessanten Eintrag im TCP-IP-Trace gefunden:

[DNS] 2015/03/20 22:39:30,537 [info] :
DestinationMapEntry for default route with routing tag 0 destroyed

Das sieht doch so aus, als wäre dies der Zerstörer des DNS-Forwarding. Diesmal passierte es während einer laufenden Verbindung. Wer zerstört denn hier die Einträge?
Zur Sicherheit poste ich noch die davorliegenden Trace-Ausgaben, sie stammen vom Polling der DSL-Verbindung (manuell gesetztes Polling-Ziel 8.8.8..

[ICMP] 2015/03/20 22:39:30,530
ICMP poll timeout for T-DSLBIZ
remote site answered during intervall
send poll frame to 8.8.8.8

[ICMP] 2015/03/20 22:39:30,530
ICMP generate packet for Dest-IP: 8.8.8.8: Echo request, ID: 144, Seq: 0, Tx (WAN, T-DSLBIZ)

[ICMP] 2015/03/20 22:39:30,536
ICMP Rx (WAN, T-DSLBIZ): Src-IP: 8.8.8.8: Echo reply, ID: 144, Seq: 0

[ICMP] 2015/03/20 22:39:30,536
ICMP Poll reply from T-DSLBIZ (8.8.8.

Danach kommt dann der Eintrag von oben...

Völlig ratlos,
Matthias.

[GrandDixence]

Bei komplexeren Konfigurationen sollte die Backupleitungs-Umschaltung per Aktionstabelle realisiert werden:

http://www.lancom-forum.de/lancom-syste ... tml#p75861

Funktioniert zuverlässig(er)!

[mhorbank]

Schaue ich mir gleich an, danke!

Allerdings hat es, wie ich im letzten Post schrieb, wahrscheinlich nicht mit den Backup-Verbindungen zu tun. Ich hatte eine funktionierende WAN-Verbindung ohne Probleme und hatte ein TRACE TCP-IP laufen. Dabei fand ich dann plötzlich den Eintrag "DestinationMapEntry for default route with routing tag 0 destroyed", ohne dass vorher ein Verbinungswechsel eintrat.

Matthias.