Probleme beim Auflösen der IP

Moin,

ich weiß gerade nicht wie ich mit folgenden Problem umgehen soll.
Vielleicht habt ihr ein paar helfende Hinweise?

1. gegen 4 Uhr heute Nacht schlug mein health-check an
2. heute morgen prüfe ich und stelle fest, meine Dienste sind nicht erreichbar
3. ich checke meine Dienste → alles fein.
4. ich stelle fest, dass meine Domain nicht auflösbar ist
5. ich checke ipv64.net und sehe, dass die richtige (aktuelle) ip drin steht
6. die dns-server von ipv64 also (159.69.110.93 und 167.235.231.182) können meine domain auflösen ABER andere DNS-Sever (bspw. 8.8.8.8 oder 9.9.9.9) nicht
   → meine Dienste sind unter meiner Domain nicht erreichbar.

Was übersehe ich? Mache ich was falsch?

(hab nen Vodafone Cable-Anschluss mit mutmaßlich echten IPv4)

BG
bubber

ergänzend:

dig714×764 236 KB

Was sagt denn: whatsmydns.net?

DNS query time out - bei allen für die Abfrage des A-record …

aber heute morgen konnte 8.8.8.8 noch auflösen - wahrscheinlich weil es noch im cache war?

Was heißt denn mutmaßlich echten IPv4? Vodafone Cable ist normal DS-Lite.

Das solltest du mal verifizieren, nicht nur mutmaßen, denn das könnte die Ursache für das Problem sein.

Mein Vodafone „Design-Router“ ist gebridged. In der opnsense dahinter sehe ich eine IPv4 und eine IPv6.
Die IPv4 scheint keine GC-NAT Adresse zu sein. Ich kann diese direkt aus dem Netz erreichen. (geht auch jetzt noch)
Ist das dann klassischer Dual Stack?

Und wie gesagt, DNS-Server von ipv64 lösen ja korrekt auf. Nur eben andere DNS-Server nicht. Daher hatte ich vermutet das das Problem irgendwo in der DNS-Delegation liegt. Also das der DNS-Server von ipv64 andere DNS-Server nicht mehr bedient oder deren Anfragen beantwortet.

Hier mal eine andere Antwort (als query timed out) von einem DNS-Server von whatsmydns.net
Lille, France
Completel SAS

id 11737
opcode QUERY
rcode NOERROR
flags QR RD RA
;QUESTION
meinedomain.de. IN A
;ANSWER
;AUTHORITY
de. 900 IN SOA f.nic.de. dns-operations.denic.de. 1749021769 7200 7200 3600000 7200
;ADDITIONAL
id 11737 opcode QUERY rcode NOERROR flags QR RD RA ;QUESTION meinedomain.de. IN A ;ANSWER ;AUTHORITY de. 900 IN SOA f.nic.de. dns-operations.denic.de. 1749021769 7200 7200 3600000 7200 ;ADDITIONAL

Die Frage ist wie du die IPv4 direkt aus dem Netz erreichen kannst.

Hast du z.B. Wireguard direkt auf deiner OPNsense konfiguriert und kannst dich vom Smartphone aus dem Mobilfunknetz per Wireguard mit der OPNsense verbinden, unter Nutzung der IPv4-Adresse statt des sonst verwendeten FQDN?

Einfach nur ein ping auf die IPv4 reicht da nicht aus.

Alternativ kannst auch einen beliebigen Linux ssh-Server in deinem LAN zu erreichen versuchen, in dem du in der OPNsense TCP-Port 22 kurzzeitig für diesen für IPv4 öffnest.

Beides (ssh und Wireguard) sollten so nur bei Dual-Stack möglich sein.

Ich kann meine ipv4-Adresse in den Handybrowser tippen und nachdem ich die Zertifikatswarnung weggeklickt habe, erreiche ich meinen Webserver.

Gut, dann gehörst du definitiv zu den Glücklichen bei Vodavone-Kabel, die kein DS-Lite haben.

Nun zum eigentlichen Problem:

Stoße doch einfach jetzt mal eben ein manuelles Update der DynDNS-IPv4-Adresse an. Vermutlich macht das bei dir ja die OPNsense automatisch.

Ich habe keine OPN- sondern eine pfsense. Daher ist das bei mir anders als bei dir. Aber bei meiner pfsense gibt es in der DynDNS-Verwaltung eine Button, der sich Safe & Force Update nennt. Ein klick darauf erzwingt ein Update.

Hat die OPNsense so etwas nicht, dann kannste doch sicherlich eine „Zwangstrennung“ erzwingen. Bei der pfsense geht das in der Konsole mit
/var/etc/pppoe_restart_pppoe0.

Dann bekommst du eben 'ne neue v4 und v6 und wir können sehen ob die nun korrekt aktualisiert werden.

Kann ich heute nachmittag machen.

Aber die Verbindung zu meinem Server ist doch nicht das Problem.
Bei der ipv64 Benutzeroberfläche steht ja die korrekte IP. Der ipv64 DNS server löst sie auch korrekt auf. Nur eben andere DNS server nicht.
Ich verstehe nicht was das nit meiner Internetverbindung zu tun haben soll.

Ja ist schon komisch wenn andere DNS Server den Eintrag nicht fressen wollen.

Wenn es hilft kann ich auch die domain und/oder meimem user-account nennen.

Nee, mit deiner Internetverbindung hat das auch nichts zu tun. Aber vielleicht hat heute Nacht bei der Zwangstrennung irgendwas gehakt. Simuliert man nun eine Neue und alles klappt, dann würde ja ab dem Moment zumindest wieder alles funktionieren wie gewohnt.

Ich schlag dir das ja nicht ohne Grund vor. So ähnlich war das bei mir auch schon mal morgens. Dann hab ich fix per /var/etc/pppoe_restart_pppoe0 eine neue Zwangstrennung simuliert und schon ging alles.

Okay. Ich check das indem ich den vodafone-router neu starte und gebe Rückmeldung.
Bin mir aber nicht sicher, ob ich wirklich eine neue IP von vodafone bekomme.

hm wie ich dachte. Keine neue IP vom ISP bekommen.

hab darauf hin mal über die Web-GUI von ipv64 den A-Record manuell geändert.
DNS-Server von ipv64 merkt das sofort. Hab es jetzt wieder richtig eingestellt.
Ergebnis bleibt gleich: nur der DNS-Server von ipv64 kann meine Domain zur IP auflösen…

Wie geändert? Einfach mal eine falsche IPv4 eingetragen? Die müsste dann ja von der OPNsense wieder korrigiert werden können.

Ja, einfach ne falsche ip eingetragen.
Bestimmt.
Hatte aber auf die Schnelle die „Update erzwingen“ Funktion nicht gefunden.
Stelle es heute Abend noch mal um und warte die Nacht ab.

Ist für mich gerade echt doof weil mein famlien-matrix-server auch nicht geht. Und die sind leider etwas ungeduldig - oder schlimmer: nutzen dann wieder whatsapp…

Komisch, das ich der einzige Betroffene zu sein scheine…

Bist Du nicht. Auch bei mir funktioniert die Namensauflösung manchmal nur über die DNS-Server von ipv64. Heute wieder. Die Änderung in Web-GUI von ipv64 (einfach mal ne falsche IP und dann wieder die Richtige) löst das Problem. Also irgendwie funktioniert die Aktualisierung der anderen DNS-Server manchmal nicht. Vielleicht sollte man mal sammeln, wann das passiert.

So. Konnte mein ddclient nicht überreden die IP zu updaten. Hab es daher einfach über die ipv64 Update-URL gemacht.
Jetzt steht wieder meine richtige IP drin.

Wenn ich die Antwort von dig richtig deute (siehe unten), gibt es keinen A record für meine Domain.
Nur ein Hinweis, das f.nic.de zuständig ist.
Kann man daraus ableiten, dass die ipv64-DNS-Server nicht mit den übergeordneten DNS-Servern reden? Scheinbar kennen die meine Domain schlicht nicht, welche aber von ipv64 ja propagiert werden sollte oder?

Alles sehr komisch. Bin sehr gern Nutzer von ipv64! Einfach cooles Projekt… bin daher auch gern Supporter! (weiter so Dennis+Team )
Aber wenn sich das Problem nicht lösen lässt, dann muss ich wohl oder übel meine DNS-Autorität wieder wechseln… was ich ja gar nicht will! Aber ich brauche nun mal nen funktionierenden DNS-Eintrag im Internet…

Ich hoffe das renkt sich genauso spontan wieder ein wie es „kaputt“ ging.
… und hoffe das Beste…

ANHANG:

<<>> DiG 9.20.9 <<>> MEINEDOMAIN.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17587
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;MEINEDOMAIN.de. IN A

;; AUTHORITY SECTION:
de. 3062 IN SOA f.nic.de. dns-operations.denic.de. 1749064050 7200 7200 3600000 7200

;; Query time: 1 msec
;; SERVER: 192.168.100.1#53(192.168.100.1) (UDP)
;; WHEN: Wed Jun 04 21:17:51 CEST 2025
;; MSG SIZE rcvd: 104

Hey,
hat noch irgendjemand eine Idee was ich machen bzw. versuchen könnte?
Bin leider auf eine zügige Lösung angewiesen…

Gibt es bspw. die Möglichkeit eine Domain (also alle Records) zu sichern?
Dann könnte ich die mal komplett zurücksetzen und aus den gesicherten Daten wiederherstellen. Die Hoffnung dabei: eine neu angelegte Domain hat das Problem nicht.