Guten Morgen,
in meinem Netzwerk läuft eine OPNsense als Router am GF-Anschluss. Im LAN befindet sich ein Pi-Hole auf Debian 11.8.
Im LAN werden die IPv6-Adressen über dhcpv6 und Router Advertisement (RA) vergeben.
In der Sense ist Pi-hole als DNS-Server eingetragen (v4 und v6), ebenso im dhcpv6 und RA. Zudem hat der Pi-Hole für IPv4 und IPv6 ein statisches mapping erhalten. Im Pi-Hole sind die Provider DNS-Server als Upstream-Server eingetragen (v4 und v6). Bei Interface Settings ist der Standardwert "Allow only local requests" angehakt.
Generell funktioniert die Namensauflösung beim Browsen.
Die IP-Konfiguration des Windows Geräts sieht wie folgt aus:
Ethernet-Adapter Ethernet:
Verbindungsspezifisches DNS-Suffix: localdomain
Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (5) I219-LM
Physische Adresse . . . . . . . . : XX-XX-XX-XX-XX-F5
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : xxxx:xxxx:xxxx:4600::1:8261(Bevorzugt)
Lease erhalten. . . . . . . . . . : Dienstag, 31. Oktober 2023 08:55:32
Lease läuft ab. . . . . . . . . . : Dienstag, 31. Oktober 2023 10:55:32
IPv6-Adresse. . . . . . . . . . . : xxxx:xxxx:5694:a730:9a56:af5a:c78a:f5ac(Bevorzugt)
Temporäre IPv6-Adresse. . . . . . : xxxx:xxxx:5694:a730:a8c1:a87b:9fc2:18a9(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::eec8:d8cc:567e:87a2%8(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 11.11.0.71(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Dienstag, 31. Oktober 2023 09:06:08
Lease läuft ab. . . . . . . . . . : Dienstag, 31. Oktober 2023 11:06:08
Standardgateway . . . . . . . . . : fe80::20d:b9ff:fe5e:fbb8%8
11.11.0.1
DHCP-Server . . . . . . . . . . . : 11.11.0.1
DHCPv6-IAID . . . . . . . . . . . : 44884691
DHCPv6-Client-DUID. . . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-F5
DNS-Server . . . . . . . . . . . : xxxx:xxxx:xxxx:4600::1:be8f
11.11.0.45
xxxx:xxxx:xxxx:4600::1:be8f
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Suchliste für verbindungsspezifische DNS-Suffixe:
localdomain
localdomain
Wenn ich nun aber eine DNS-Abfrage z.B. von den Windows-Geräten durchführe, bekomme ich folgende Fehlermeldung:
nslookup heise.de
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: xxxx:xxxx:xxxx:4600::1:be8f
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
Im Pi-hole Diagnose Log werden folgende Meldungen angezeigt:
ignoring query from non-local network xxxx:xxxx:xxxx:4600::1:9424
ignoring query from non-local network xxxx:xxxx:xxxx:4600::1:8261
ignoring query from non-local network xxxx:xxxx:xxxx:4600::1:2ca6
ignoring query from non-local network xxxx:xxxx:xxxx:4600::1:c3e3
Die IP-Konfiguration in Debian sieht wie folgt aus:
> 2: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
> link/ether xx:xx:xx:xx:xx:77 brd ff:ff:ff:ff:ff:ff
> inet 11.11.0.45/24 brd 11.11.0.255 scope global dynamic enp9s0
> valid_lft 6098sec preferred_lft 6098sec
> inet6 xxxx:xxxx:xxxx:4600::1:be8f/128 scope global dynamic
Ich verstehe nicht, warum Pi-hole meint, die :4600::1:xxxx Adressen wären nicht das lokale Netzwerk, die ausge'x'ten vorangestellten Werte der IPv6-Adressen sind alle gleich. Das ganze passiert nur bei IPv6, bei v4 funktioniert alles reibungslos.
Wenn ich die Interface Settings auf "Bind only to interface enp9s0" setze funktioniert die Auflösung problemlos:
nslookup heise.de
Server: pi.hole
Address: xxxx:xxxx:xxxx:4600::1:be8f
Nicht autorisierende Antwort:
Name: heise.de
Addresses: 2a02:2e0:3fe:1001:302::
193.99.144.80
Das löst zwar erst einmal mein Problem, wirft aber die Frage auf ob das tatsächlich die einzige Ursache für mein Problem ist.