Erreichbarkeit von postfinance.ch

gnome2018

Grüezi Netzwerker 😉

Seit ca. 3 Wochen habe ich ein wirklich spannendes Phänomen welches aus meiner Sicht nicht erklärbar ist. Ich habe einen XGS-PON Anschluss mit Pfsense usw. Dieser Anschluss läuft seit einem Jahr 1A und ich kann alles machen und jede Seite öffnen die ich will. Seit aber 3 Wochen kann ich nicht immer auf postfinance.ch und post.ch zugreifen. Das ist leider etwas mühsam da ich ein Konto bei der Postfinance habe.

Ich erreiche die beiden Webseiten auch nicht via Handy vom WLAN aus aber ich erreiche Sie ohne Problem via: VPN oder 4G. Deshalb nehme ich an, dass es sich allenfalls um ein Swisscom Problem handelt. Interessanterweise funktionieren alle anderen Webseiten ohne Probleme.

Ich habe daraufhin 2-3 Mal bereits die Pfsense rebooted das macht aber keinen Unterschied. Es gibt dann auch Tage wo beide Webseiten ohne Probleme funktionieren.

nslookup postfinance.ch

Ich habe Google und Quad9 als DNS hinterlegt auf der Pfsense. Wie geschrieben via VPN funktioniert alles ohne Probleme. Es sieht für mich beinahe so aus als wäre meine IP geblockt. Es könnte sich aber auch um ein Routing Problem der Swisscom handeln und zwar weil ich nicht mehr im CGNAT bin und einen eigenen Router habe sowie einen XGS-PON Anschluss. Ein anderes Problem könnte IPv6 sein welches aktiv ist bei mir.

Ich habe bei IPv6 noch ein bisschen nachholbedarf da ist noch nicht alles sauber konfiguriert....

Hat irgendjemand gute Ideen?

Danke vielmals für eure Inputs...

r00t

Hi @gnome2018,

In deinem Screenshot sieht man, dass der DNS-Server nicht reagiert. Ich würde also auf DNS tippen 😉

Siehst du hierzu etwas im pfsense log? Kannst du uns mal deine DNS-Konfiguration auf der sense zeigen?

Ich hatte mit Quad9 vor einiger Zeit ein ähnliches Problem, versuche es doch mal testweise mit z.B. Cloudflare:

C:\sers\00t>nslookup <enter>
Default Server: prl-local-ns-server.shared
Address: 10.211.55.1

> server 1.1.1.1 <enter>
Default Server: one.one.one.one
Address: 1.1.1.1

> postfinance.ch <enter>
Server: one.one.one.one
Address: 1.1.1.1

Non-authoritative answer:
Name: postfinance.ch
Addresses: 2a00:17c9:0:103::20e
194.41.166.32

>

Falls es mit Cloudflare klappt, freut sich der Quad9 Support über ein Ticket. (Hatte bei mir schlussendlich das Problem gelöst)

r00t

GrandDixence

Wie man unschwer mit dem DNSSEC-Debugger von Verisign feststellen kann, ist www.postfinance.ch eine der wenigen Schweizer Domänen, welche mit DNSSEC abgesichert ist. Hier ist der Fehler im Bereich DNS zu suchen.

https://dnssec-debugger.verisignlabs.com/

Beim Aufbau und Trennen vom VPN-Tunnel ist der DNS-Cache vom Betriebssystem mit dem Kommandozeilenbefehl:

# ipconfig /flushdns

zu leeren. Hier der Auszug aus meinem DNSSEC-Testablauf für Linux:

Positiv-Test
------------------------------------------------------------------------
# dig +multili +dnssec www.nic.ch
=> status: NOERROR
=> flags: ad
=> EDNS: version: 0, flags: do;
=> SERVER: 127.0.0.1


# dig +multili +dnssec www.nic.cz
=> status: NOERROR
=> flags: ad
=> EDNS: version: 0, flags: do;
=> SERVER: 127.0.0.1


Negativ-Test
-----------------------------------------------------------------------
# nslookup www.rhybar.cz
=> Got SERVFAIL reply from 127.0.0.1

# dig +multili +dnssec www.rhybar.cz
=> status: SERVFAIL

# nslookup www.dnssec-failed.org
=> Got SERVFAIL reply from 127.0.0.1

# dig +multili +dnssec www.dnssec-failed.org
=> status: SERVFAIL



TCP-Test
--------------------------------------------------------------------------------
# dig +tcp www.meteoschweiz.admin.ch @192.168.1.1

Dieser DNSSEC-Test kann auf Windows adaptiert werden.

Die Swisscom DNS-Servern sind DNSSEC-aware.

https://community.swisscom.ch/t5/Archiv-Internet/Swisscom-DNS-Server-kein-dnssec/m-p/486189

Aus Performancegründen sollten die DNS-Servern von Swisscom verwendet werden.

pfSense verwendet unbound. Und das unbound in der pfSense unterstützt bei korrekter Konfiguration den Einsatz als DNSSEC-validierender DNS-Server.

https://docs.netgate.com/pfsense/en/latest/services/dns/resolver.html

https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-config.html

https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-advanced.html

Der Einsatz von unbound auf der eigenen Hardware-Firewall/Router als DNSSEC-validierender DNS-Server im Heimnetzwerk kann ich nur wärmstens empfehlen. Siehe dazu:

https://community.sunrise.ch/d/19158-dns-problem/9

Die meisten Schweizer eBanking-Webseiten sind heute mit DNSSEC abgesichert. Zum Beispiel Raiffeisen: https://login.raiffeisen.ch/de?applicationId=ebanking:

https://dnssec-debugger.verisignlabs.com/login.raiffeisen.ch

Bitte die Hinweise zu DNS und DNSSEC in meinem längeren Beitrag vom 28. Juni 2020 unter:

https://community.sunrise.ch/d/4397-diagnose-tool-der-connect-box-sagt-ihr-heim-netzwerk-hat-derzeit-einige-probl/2

beachten!