nach Einrichten von DoT in systemd funktioniert Netzwerkmanager nicht mehr

[kelvin]

Hallo,

ich bräuchte bitte eure Hilfe. Ich habe versucht, DNS-over-TLS in systemd einzurichten, anscheinend irgendetwas falsch gemacht und jetzt funktioniert der Netzwerkmanager nicht mehr.

Ich bin wie folgt vorgegangen:

Code: Alles auswählen

doom@m1:~$ sudo systemctl start systemd-resolved
doom@m1:~$ sudo systemctl enable systemd-resolved

Dann folgende Modifikationen vorgenommen:

Code: Alles auswählen

doom@m1:~$ sudo nano /etc/systemd/resolved.conf
[Resolve]
DNS=185.95.218.42
FallbackDNS=5.9.164.112
#Domains=
DNSSEC=yes
DNSOverTLS=yes
#MulticastDNS=yes
#LLMNR=yes
#Cache=yes
#DNSStubListener=yes
#DNSStubListenerExtra=
#ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no

Dann:

Code: Alles auswählen

doom@m1:~$ sudo systemctl restart systemd-resolved

kontrolliert mittels:

Code: Alles auswählen

doom@m1:~$ resolvectl status
Global
           Protocols: +LLMNR +mDNS +DNSOverTLS DNSSEC=yes/supported
    resolv.conf mode: foreign
         DNS Servers: 185.95.218.42
Fallback DNS Servers: 5.9.164.112

Link 2 (enp0s25)
Current Scopes: none
     Protocols: -DefaultRoute +LLMNR -mDNS +DNSOverTLS DNSSEC=yes/supported

Link 3 (wlp2s0)
Current Scopes: none
     Protocols: -DefaultRoute +LLMNR -mDNS +DNSOverTLS DNSSEC=yes/supported

dann die Datei dns.conf wie folgt erstellt:

Code: Alles auswählen

doom@m1:~$ sudo nano /etc/NetworkManager/conf.d/dns.conf
dns=none
systemd-resolved=false

Dann den PC neu gestartet.








Jetzt habe ich das Problem, dass mir angezeigt wird:
"Der Netzwerk-Manager läuft zur Zeit nicht..."
und nach einem Rechtsklick kein Aktivieren möglich ist.

Die Eingabe

Code: Alles auswählen

doom@m1:~$ sudo systemctl enable NetworkManager

hat keinen Effekt.

Dann:

Code: Alles auswählen

doom@m1:~$ sudo systemctl restart NetworkManager
Job for NetworkManager.service failed because the control process exited with error code.
See "systemctl status NetworkManager.service" and "journalctl -xe" for details.

Dann:

Code: Alles auswählen

doom@m1:~$ systemctl status NetworkManager.service
● NetworkManager.service - Network Manager
     Loaded: loaded (/lib/systemd/system/NetworkManager.service; enabled; vendo>
     Active: failed (Result: exit-code) since Wed 2021-12-01 01:26:40 CET; 3min>
       Docs: man:NetworkManager(8)
    Process: 1443 ExecStart=/usr/sbin/NetworkManager --no-daemon (code=exited, >
   Main PID: 1443 (code=exited, status=1/FAILURE)
        CPU: 15ms
lines 1-7/7 (END)...skipping...
● NetworkManager.service - Network Manager
     Loaded: loaded (/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Wed 2021-12-01 01:26:40 CET; 3min 34s ago
       Docs: man:NetworkManager(8)
    Process: 1443 ExecStart=/usr/sbin/NetworkManager --no-daemon (code=exited, status=1/FAILURE)
   Main PID: 1443 (code=exited, status=1/FAILURE)
        CPU: 15ms
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~

Und:

Code: Alles auswählen

doom@m1:~$ journalctl -xe
Hint: You are currently not seeing messages from other users and the system.
      Users in groups 'adm', 'systemd-journal' can see all messages.
      Pass -q to turn off this notice.
░░ The job identifier is 224.
Dez 01 01:18:13 m1 dbus-daemon[980]: [session uid=1000 pid=980] Successfully ac>
Dez 01 01:18:13 m1 systemd[956]: Started Virtual filesystem metadata service.
░░ Subject: A start job for unit UNIT has finished successfully
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░ 
░░ A start job for unit UNIT has finished successfully.
░░ 
░░ The job identifier is 224.
Dez 01 01:18:21 m1 systemd[956]: run-user-112.mount: Succeeded.
░░ Subject: Unit succeeded
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░ 
░░ The unit UNIT has successfully entered the 'dead' state.
Dez 01 01:18:43 m1 xdg-desktop-por[1121]: Failed to get application states: GDB>
Dez 01 01:23:01 m1 sudo[1335]:     doom : TTY=pts/0 ; PWD=/home/doom ; USER=roo>
Dez 01 01:23:01 m1 sudo[1335]: pam_unix(sudo:session): session opened for user >
Dez 01 01:23:01 m1 sudo[1335]: pam_unix(sudo:session): session closed for user >
Dez 01 01:25:42 m1 sudo[1418]:     doom : TTY=pts/0 ; PWD=/home/doom ; USER=roo>
Dez 01 01:25:42 m1 sudo[1418]: pam_unix(sudo:session): session opened for user >
Dez 01 01:25:42 m1 sudo[1418]: pam_unix(sudo:session): session closed for user >
lines 4860-4882/4882 (END)
░░ The job identifier is 224.
Dez 01 01:18:13 m1 dbus-daemon[980]: [session uid=1000 pid=980] Successfully activated service 'org.gtk.vfs.Metadata'
Dez 01 01:18:13 m1 systemd[956]: Started Virtual filesystem metadata service.
░░ Subject: A start job for unit UNIT has finished successfully
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░ 
░░ A start job for unit UNIT has finished successfully.
░░ 
░░ The job identifier is 224.
Dez 01 01:18:21 m1 systemd[956]: run-user-112.mount: Succeeded.
░░ Subject: Unit succeeded
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░ 
░░ The unit UNIT has successfully entered the 'dead' state.
Dez 01 01:18:43 m1 xdg-desktop-por[1121]: Failed to get application states: GDBus.Error:org.freedesktop.portal.Error.Failed: Could not get window list
Dez 01 01:23:01 m1 sudo[1335]:     doom : TTY=pts/0 ; PWD=/home/doom ; USER=root ; COMMAND=/usr/bin/systemctl enable NetworkManager
Dez 01 01:23:01 m1 sudo[1335]: pam_unix(sudo:session): session opened for user root(uid=0) by (uid=1000)
Dez 01 01:23:01 m1 sudo[1335]: pam_unix(sudo:session): session closed for user root
Dez 01 01:25:42 m1 sudo[1418]:     doom : TTY=pts/0 ; PWD=/home/doom ; USER=root ; COMMAND=/usr/bin/systemctl restart NetworkManager
Dez 01 01:25:42 m1 sudo[1418]: pam_unix(sudo:session): session opened for user root(uid=0) by (uid=1000)
Dez 01 01:25:42 m1 sudo[1418]: pam_unix(sudo:session): session closed for user root
~
~
~
~
~
~
~
~
~
~
~
~
lines 4860-4882/4882 (END)

Ich vermute ja, dass es mit dem Erstellen der Datei "dns.conf" in /etc/NetworkManager/conf.d/ zusammenhängt.

Allerdings gibt es mehrere Anleitungen, die das so beschreiben.

Kann mir jemand sagen, was ich falsch gemacht habe?

[JTH]

Allerdings gibt es mehrere Anleitungen, die das so beschreiben.

Ach ja, immer diese Anleitungen ...

Die Eingabe

Code: Alles auswählen

doom@m1:~$ sudo systemctl enable NetworkManager

hat keinen Effekt.

systemctl enable hat (ohne die Option --now) nie sofort einen Effekt, erst beim nächsten Boot.

Code: Alles auswählen

doom@m1:~$ systemctl status NetworkManager.service
● NetworkManager.service - Network Manager
[...]
lines 1-7/7 (END)...skipping...
● NetworkManager.service - Network Manager
[...]
~
~

Dort fehlt der eigentlich interessante, untere Teil. Das kann passieren, wenn du die Ausgabe von systemctl aus dem Terminal herauskopierst. Die Option --no-pager könnte helfen, dass das nicht passiert.

Code: Alles auswählen

doom@m1:~$ journalctl -xe
Hint: You are currently not seeing messages from other users and the system.
      Users in groups 'adm', 'systemd-journal' can see all messages.
      Pass -q to turn off this notice.

Dir werden die eigentlich interessanten Meldungen zum NetworkManager mangels Berechtigungen gar nicht angezeigt - genauso auch beim systemctl status oben. Entweder ruftst du journalctl als root auf oder du fügst deinen Benutzer einmal in die erwähnte Gruppe hinzu, das machts für die Zukunft einfacher:

Code: Alles auswählen

~# addgroup BENUTZER systemd-journal

Ich vermute ja, dass es mit dem Erstellen der Datei "dns.conf" in /etc/NetworkManager/conf.d/ zusammenhängt.

Die Datei ist zumindest fehlerhaft, das hätten dir die passenden Logmeldungen wahrscheinlich verraten. Die Konfigurationen vom NetworkManager sind im INI-Stil, jede Option gehört dort zu einer Section. Deine beiden Optionen gehören in die Section "main". Die Angabe fehlt aber bei dir. Das mal so als Anleitung, den Fehler zu korrigieren

[kelvin]

Die Datei ist zumindest fehlerhaft, das hätten dir die passenden Logmeldungen wahrscheinlich verraten. Die Konfigurationen vom NetworkManager sind im INI-Stil, jede Option gehört dort zu einer Section. Deine beiden Optionen gehören in die Section "main". Die Angabe fehlt aber bei dir. Das mal so als Anleitung, den Fehler zu korrigieren

Daran lag's tatsächlich, Flüchtigkeitsfehler

Die Datei sieht nun wie folgt aus:

Code: Alles auswählen

[main]
dns=none
systemd-resolved=false

Jetzt geht der Netzwerkmanager wieder, aber dafür habe ich anscheinend keine Internetverbindung mehr.

Mit dem Router kann ich mich verbinden, aber apt-get meldet mir immer, dass es einen temporären Fehlschlag beim Auflösen der Adresse des Mirrors gab. Habe verschiedene ausprobiert.

Mit Firefox kann ich auch keine Seite aufrufen.

Ich habe den Vorgang der Einrichtung von DoT wie im EP mehrfach wiederholt und in /etc/systemd/resolved.conf nach und nach die DNS-Server von der Digitalen Gesellschaft, Digitalcourage und Quad9 eingetragen, ohne Erfolg.

Zwischenzeitlich hab ich in resolved.conf zusätzlich zu den IP-Adressen noch die anderen Adressen (z.B. 5.9.164.112#dns3.digitalcourage.de) eingegeben, half aber auch nichts.

Übrigens ist es so, dass wenn ich im Netzwerkmanager auf "Verbindungsinformationen" gehe, mir unter "Primary DNS" der in resolved.conf eingetragene DNS-Server nicht angezeigt wird, sondern eine Adresse die mit 192. beginnt (das ist eine lokale, oder?). Weiß nicht, ob das normal ist.

Wie kann ich herausfinden, woran es liegt?

[JTH]

[…] sondern eine Adresse die mit 192. beginnt (das ist eine lokale, oder?).

Vermutlich die deines lokalen Routers (mangels genauerem Wissen über dein Netzwerksetup)?

Wie kann ich herausfinden, woran es liegt?

Es wäre nicht verkehrt gewesen, wenn du die erwähnte(n) Anleitunge(n) mal verlinkt hättest. Dann hätte man gucken können, was dort fehlt.

Aber:

Code: Alles auswählen

doom@m1:~$ resolvectl status
[…]
    resolv.conf mode: foreign
[…]

Du hast bisher nicht erwähnt, was du mit der /etc/resolv.conf gemacht hast. Der Ausgabe „foreign“ nach gar nix? Das reicht nicht, die muss man für systemd-resolved noch verlinken, etwa so:

Code: Alles auswählen

ln -fs /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Siehe dazu man systemd-resolved.

Für dieses Setup würd ich dir noch empfehlen, libnss-resolve zu installieren.

[kelvin]

Es wäre nicht verkehrt gewesen, wenn du die erwähnte(n) Anleitunge(n) mal verlinkt hättest. Dann hätte man gucken können, was dort fehlt.

Es gibt da diverse Anleitungen, die sich meistens nur geringfügig unterscheiden.

Mir ist schon klar, dass das Befolgen von Tutorials heikel sein kann, aber bei diesen beiden Links bin ich ehrlich gesagt von einer gewissen Kompetenz ausgegangen (vielleicht war das naiv):

https://medium.com/@jawadalkassim/enabl ... 3e44448c1c
https://andrea.corbellini.name/2020/04/ ... lobal-dns/

Da steht aber jeweils nichts von einer Notwendigkeit, eine Verklinkung herzustellen.

Das reicht nicht, die muss man für systemd-resolved noch verlinken, etwa so:

Das war das fehlende Puzzlestück, jetzt geht es! Vielen Dank!

Für dieses Setup würd ich dir noch empfehlen, libnss-resolve zu installieren.

Beim Update gerade eben wurde das Paket libnss3 installiert.

Würdest du mir das Paket libnss-resolve trotzdem empfehlen?