ACL konfigurieren DNS
Guten Morgen zusammen,
ich bin gerade am verzeifeln.
Undzwar konfiguriere ich gerade eine ACL (Whitelist).
Soweit funktionert alles. Allerdings habe ich Probleme mit dem eintrag für den DNS-Server.
Der DNS-Server sitzt mit in dem Router/der Firewall.
Undzwar soll der Eintrag dafür sorgen, dass nur der DNS-Server Anfragen an einen externen DNS-Server weiterleiten kann.
Die Regel habe ich wiefolgt konfigurieret:
Quell IP: Lokaler DNS-Server
Quell Port: any
Ziel IP: Ziel DNS-Server
Ziel Port: UDP/TCP 53
Aktion: Zulassen
Problem: Der lokale DNS-Server bekommt keine antwort vom externen DNS-Server.
Wenn ich die Regel aber lockere und als Quell IP das gesamte lokale Netz auswähle, dann funktioniert alles einwandfrei.
Als Router dient der LANCOM 1793VA.
Danke für eure Hilfe!
Screenshot aus der Konfiguration:
ich bin gerade am verzeifeln.
Undzwar konfiguriere ich gerade eine ACL (Whitelist).
Soweit funktionert alles. Allerdings habe ich Probleme mit dem eintrag für den DNS-Server.
Der DNS-Server sitzt mit in dem Router/der Firewall.
Undzwar soll der Eintrag dafür sorgen, dass nur der DNS-Server Anfragen an einen externen DNS-Server weiterleiten kann.
Die Regel habe ich wiefolgt konfigurieret:
Quell IP: Lokaler DNS-Server
Quell Port: any
Ziel IP: Ziel DNS-Server
Ziel Port: UDP/TCP 53
Aktion: Zulassen
Problem: Der lokale DNS-Server bekommt keine antwort vom externen DNS-Server.
Wenn ich die Regel aber lockere und als Quell IP das gesamte lokale Netz auswähle, dann funktioniert alles einwandfrei.
Als Router dient der LANCOM 1793VA.
Danke für eure Hilfe!
Screenshot aus der Konfiguration:
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665961
Url: https://administrator.de/contentid/665961
Ausgedruckt am: 13.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Quell IP: Lokaler DNS-Server
Diese Info ist ja nichtssagend. WELCHE wirkliche Quell IP benutzt denn der DNS Server ? Ein einfacher Router mit 2 Interfaces, LAN und WAN, hat ja mindestens zwei Optionen einer Quell Adresse.Wenn ich die Regel aber lockere und als Quell IP das gesamte lokale Netz auswähle
Wie vermutet hast du dann wohl eine falsche Absender IP des Servers ausgewählt !Wireshark ist hier wie immer dein bester Freund um sicherzustellen WELCHE Absender IP dein Server benutzt !
Dann gilt für die Regel:
Fertisch....
Dein Wireshark Trace passt aber nicht zu deiner o.a. Aussage
Dort fragt ein Client (192.168.0.143) den DNS Server (192.168.0.1) der dann direkt antwortet. Queries an die 1.0.0.3 oder 1.1.1.3 kommen da gar nicht vor...
Hoffentlich kein Fall von: "Wer misst misst Mist" ?!
- Quell IP: Host 192.168.0.1
- Quell Port: any
- Ziel IP: Host 1.0.0.3
- Ziel Port: UDP/TCP 53
Fertisch....
Dein Wireshark Trace passt aber nicht zu deiner o.a. Aussage
Dort fragt ein Client (192.168.0.143) den DNS Server (192.168.0.1) der dann direkt antwortet. Queries an die 1.0.0.3 oder 1.1.1.3 kommen da gar nicht vor...
Hoffentlich kein Fall von: "Wer misst misst Mist" ?!
Dann sollte im lokalen Netz keine Anfrage für den externen DNS-Server auftauchen oder?
Doch, zumindest die die der DNS Server auf die beiden IPs 1.0.0.3 und 1.1.1.3 weiterleitet sofern er nicht selber beantworten kann. Dein Wireshark Trace zeigt diesen Fall leider nicht. Eine Anfrage solte doch dann folgendermaßen laufen:
Absolut korrekt und richtig !Wenn ich die Quell IP von 192.168.0.1 auf any stelle funktioniert die auflösung einwandfrei.
Mmmhh, da stimmt dann aber was an deiner Regel nicht oder der DNS Server nutzt eine andere IP. Oder...du hast die Regel auf dem falschen Interface aktiviert !!!Das o.a. Regelwerk gilt nur für das LAN Interface !! Wenn du das natürlich auf dem WAN Interface aktivierst geht das logischerweise in die Hose !
Das "any" lässt diesen Fehler leider vermuten.
Zumindestens mit einem Netzwerk 192.168.0.0 /24 statt der DNS Server Host Adresse MUSS es ja in jedem Falle auch klappen. Wenn nicht und es nur mit Any geht hast du die Regel am falschen Interface oder sie wird erst NACH dem NAT Prozess im Router aktiv, wenn die DNS Server IP 192.168.0.1 schon durchs NAT durch ist und durch die WAN IP Adresse des Routers im Absender ersetzt wurde. Damit geht sie bei "any" dann durch. Kannst du verifizieren wenn du testweise statt any mal die WAN IP des Routers verwendest...
Das wäre aber sehr ungewöhnlich und auch fehlerhaft, denn es zeigt das du die Regel dann fälschlicherweise Outbound am WAN plaziert hast was natürlich Unsinn ist. Die muss Inbound ans LAN Interface.
Leider machst du dazu ja keinerlei Angaben.
Hier wäre es in der Tat hilfreich du capturest mal mit deim Wireshark einen DNS Frame den der Server an seine beiden Weiterleitungs IPs sendet. Am besten den Capture Filter nur auf TCP/UDP 53 einstellen das du alles an IP Adressen damit einfängst !
Eine Anfrage an den externen DNS-Server taucht in Wireshark trotzdem nicht auf.
Ein sicheres Indiz dafür das die DNS Weiterleitung nicht funktioniert ! Der Wireshark lügt in der Regel niemals !!Oder du misst mit ihm an der falschen Stelle...?!
da der DNS-Server und der Router im gleichen Gerät sitzen.
Ist ja Quatsch, denn du schreibst ja oben selber das der DNS Server direkt an die Weiterleitungs DNS Server 1.0.0.3 und 1.1.1.3 weiterleitet.Der Router ist also niemals involviert in das DNS Spielchen. Außer das er die DNS Pakete routet natürlich.
Der Wireshark sollte dir also in jedem Falle TCP/UDP 53 Frames mit der Absender IP des lokalen DNS Servers 192.168.0.1 und der Destination IP 1.0.0.3 bzw. 1.1.1.3 anzeigen !
Oder hast du jetzt hier alle verwirrt und meinst du das jetzt so das die 192.168.0.1 schon selber der Router ist und kein separater lokaler DNS Server ?!
Sollte das der Fall sein nimmt der Router als DNS Absender IP and die beiden Weiterleitungsserver logischerweise immer seine öffentliche WAN Port IP.
Diese Frames kannst du mit dem Wireshark dann logischerweise nicht sehen wenn du mit ihm im lokalen LAN bist...
Damit wäre dann natürlich auch die o.a. Regel völliger Blödsinn.