123456a
Goto Top

ACL konfigurieren DNS

Guten Morgen zusammen,
ich bin gerade am verzeifeln.
Undzwar konfiguriere ich gerade eine ACL (Whitelist).
Soweit funktionert alles. Allerdings habe ich Probleme mit dem eintrag für den DNS-Server.
Der DNS-Server sitzt mit in dem Router/der Firewall.
Undzwar soll der Eintrag dafür sorgen, dass nur der DNS-Server Anfragen an einen externen DNS-Server weiterleiten kann.
Die Regel habe ich wiefolgt konfigurieret:
Quell IP: Lokaler DNS-Server
Quell Port: any
Ziel IP: Ziel DNS-Server
Ziel Port: UDP/TCP 53
Aktion: Zulassen
Problem: Der lokale DNS-Server bekommt keine antwort vom externen DNS-Server.
Wenn ich die Regel aber lockere und als Quell IP das gesamte lokale Netz auswähle, dann funktioniert alles einwandfrei.

Als Router dient der LANCOM 1793VA.
Danke für eure Hilfe!

Screenshot aus der Konfiguration:
unbenannt

Content-ID: 665961

Url: https://administrator.de/contentid/665961

Ausgedruckt am: 13.11.2024 um 11:11 Uhr

aqui
Lösung aqui 21.04.2021 aktualisiert um 10:27:56 Uhr
Goto Top
Quell IP: Lokaler DNS-Server
Diese Info ist ja nichtssagend. WELCHE wirkliche Quell IP benutzt denn der DNS Server ? Ein einfacher Router mit 2 Interfaces, LAN und WAN, hat ja mindestens zwei Optionen einer Quell Adresse.
Wenn ich die Regel aber lockere und als Quell IP das gesamte lokale Netz auswähle
Wie vermutet hast du dann wohl eine falsche Absender IP des Servers ausgewählt !
Wireshark ist hier wie immer dein bester Freund um sicherzustellen WELCHE Absender IP dein Server benutzt !
123456A
123456A 21.04.2021 um 11:46:04 Uhr
Goto Top
Hi aqui,
die absender IP ist die 192.168.0.1
Die IP des Ziel DNS-Servers ist 1.0.0.3 und 1.1.1.3
Anbei noch einmal der passende Auszug aus Wireshark.
1
aqui
aqui 21.04.2021 aktualisiert um 12:05:41 Uhr
Goto Top
Dann gilt für die Regel:
  • Quell IP: Host 192.168.0.1
  • Quell Port: any
  • Ziel IP: Host 1.0.0.3
  • Ziel Port: UDP/TCP 53
Das gleiche wiederholst du dann nochmal für die 1.1.1.3
Fertisch....
Dein Wireshark Trace passt aber nicht zu deiner o.a. Aussage
Dort fragt ein Client (192.168.0.143) den DNS Server (192.168.0.1) der dann direkt antwortet. Queries an die 1.0.0.3 oder 1.1.1.3 kommen da gar nicht vor...
Hoffentlich kein Fall von: "Wer misst misst Mist" ?! face-wink
123456A
123456A 21.04.2021 um 12:51:47 Uhr
Goto Top
Genau das ist mein Problem. Ich habe die Regel jetzt ungelogen 20 mal Schritt für Schritt geprüft.
Die ist genau so eingerichtet, wie du das gerade beschrieben hast. :/

Zu dem DNS-Server:
Via DHCP-wird nur die Adresse des lokalen DNS-Server (192.168.0.1) vergeben.
Für diesen ist ein ist eine DNS-Weiterleitung auf 1.0.0.3 und 1.1.1.3 aktivert.
Dann sollte im lokalen Netz keine Anfrage für den externen DNS-Server auftauchen oder? (DNS-Server im Router integriert)
Eine Anfrage solte doch dann folgendermaßen laufen:
1. PC stellt anfrage an den lokalen DNS-Server.
2. DNS-Server prüft seinen Cache und stellt fest, dass er keine Informationen im Cache hat.
3. Lokaler DNS-Server stellt eine Anfrage an den externen DNS-Server.

Zu der ACL:
Wenn ich die Quell IP von 192.168.0.1 auf any stelle funktioniert die auflösung einwandfrei.
aqui
aqui 21.04.2021 aktualisiert um 13:51:04 Uhr
Goto Top
Dann sollte im lokalen Netz keine Anfrage für den externen DNS-Server auftauchen oder?
Doch, zumindest die die der DNS Server auf die beiden IPs 1.0.0.3 und 1.1.1.3 weiterleitet sofern er nicht selber beantworten kann. Dein Wireshark Trace zeigt diesen Fall leider nicht. face-sad
Eine Anfrage solte doch dann folgendermaßen laufen:
Absolut korrekt und richtig !
Wenn ich die Quell IP von 192.168.0.1 auf any stelle funktioniert die auflösung einwandfrei.
Mmmhh, da stimmt dann aber was an deiner Regel nicht oder der DNS Server nutzt eine andere IP. Oder...du hast die Regel auf dem falschen Interface aktiviert !!!
Das o.a. Regelwerk gilt nur für das LAN Interface !! Wenn du das natürlich auf dem WAN Interface aktivierst geht das logischerweise in die Hose !
Das "any" lässt diesen Fehler leider vermuten.
Zumindestens mit einem Netzwerk 192.168.0.0 /24 statt der DNS Server Host Adresse MUSS es ja in jedem Falle auch klappen. Wenn nicht und es nur mit Any geht hast du die Regel am falschen Interface oder sie wird erst NACH dem NAT Prozess im Router aktiv, wenn die DNS Server IP 192.168.0.1 schon durchs NAT durch ist und durch die WAN IP Adresse des Routers im Absender ersetzt wurde. Damit geht sie bei "any" dann durch. Kannst du verifizieren wenn du testweise statt any mal die WAN IP des Routers verwendest...
Das wäre aber sehr ungewöhnlich und auch fehlerhaft, denn es zeigt das du die Regel dann fälschlicherweise Outbound am WAN plaziert hast was natürlich Unsinn ist. Die muss Inbound ans LAN Interface.
Leider machst du dazu ja keinerlei Angaben. face-sad
Hier wäre es in der Tat hilfreich du capturest mal mit deim Wireshark einen DNS Frame den der Server an seine beiden Weiterleitungs IPs sendet. Am besten den Capture Filter nur auf TCP/UDP 53 einstellen das du alles an IP Adressen damit einfängst !
123456A
123456A 21.04.2021 um 14:00:39 Uhr
Goto Top
Zitat von @aqui:

Dann sollte im lokalen Netz keine Anfrage für den externen DNS-Server auftauchen oder?
Doch, zumindest die die der DNS Server auf die beiden IPs 1.0.0.3 und 1.1.1.3 weiterleitet sofern er nicht selber beantworten kann. Dein Wireshark Trace zeigt diesen Fall leider nicht. face-sad

Habe die Regel für das ganze Subnetz angewand. Domain wird soweit aufglöst. Eine Anfrage an den externen DNS-Server taucht in Wireshark trotzdem nicht auf.
Ich gehe in dem Fall auch davon aus, dass der LANCOM auch kein Signal über das LAN-Interface versendet, da der DNS-Server und der Router im gleichen Gerät sitzen.
aqui
aqui 21.04.2021 aktualisiert um 14:09:33 Uhr
Goto Top
Eine Anfrage an den externen DNS-Server taucht in Wireshark trotzdem nicht auf.
Ein sicheres Indiz dafür das die DNS Weiterleitung nicht funktioniert ! Der Wireshark lügt in der Regel niemals !!
Oder du misst mit ihm an der falschen Stelle...?!
da der DNS-Server und der Router im gleichen Gerät sitzen.
Ist ja Quatsch, denn du schreibst ja oben selber das der DNS Server direkt an die Weiterleitungs DNS Server 1.0.0.3 und 1.1.1.3 weiterleitet.
Der Router ist also niemals involviert in das DNS Spielchen. Außer das er die DNS Pakete routet natürlich.
Der Wireshark sollte dir also in jedem Falle TCP/UDP 53 Frames mit der Absender IP des lokalen DNS Servers 192.168.0.1 und der Destination IP 1.0.0.3 bzw. 1.1.1.3 anzeigen !
Oder hast du jetzt hier alle verwirrt und meinst du das jetzt so das die 192.168.0.1 schon selber der Router ist und kein separater lokaler DNS Server ?!
Sollte das der Fall sein nimmt der Router als DNS Absender IP and die beiden Weiterleitungsserver logischerweise immer seine öffentliche WAN Port IP.
Diese Frames kannst du mit dem Wireshark dann logischerweise nicht sehen wenn du mit ihm im lokalen LAN bist...
Damit wäre dann natürlich auch die o.a. Regel völliger Blödsinn. face-sad
123456A
123456A 21.04.2021 um 16:14:44 Uhr
Goto Top
Ja hast recht. Kompletter Blödsinn.
Denkfehler meinerseits.