ACL konfigurieren DNS

Mitglied: 123456A

123456A (Level 1) - Jetzt verbinden

21.04.2021 um 09:55 Uhr, 610 Aufrufe, 8 Kommentare

Guten Morgen zusammen,
ich bin gerade am verzeifeln.
Undzwar konfiguriere ich gerade eine ACL (Whitelist).
Soweit funktionert alles. Allerdings habe ich Probleme mit dem eintrag für den DNS-Server.
Der DNS-Server sitzt mit in dem Router/der Firewall.
Undzwar soll der Eintrag dafür sorgen, dass nur der DNS-Server Anfragen an einen externen DNS-Server weiterleiten kann.
Die Regel habe ich wiefolgt konfigurieret:
Quell IP: Lokaler DNS-Server
Quell Port: any
Ziel IP: Ziel DNS-Server
Ziel Port: UDP/TCP 53
Aktion: Zulassen
Problem: Der lokale DNS-Server bekommt keine antwort vom externen DNS-Server.
Wenn ich die Regel aber lockere und als Quell IP das gesamte lokale Netz auswähle, dann funktioniert alles einwandfrei.

Als Router dient der LANCOM 1793VA.
Danke für eure Hilfe!

Screenshot aus der Konfiguration:
unbenannt - Klicke auf das Bild, um es zu vergrößern
Mitglied: 25471
25471 (Level 5)
LÖSUNG 21.04.2021, aktualisiert um 10:27 Uhr
Quell IP: Lokaler DNS-Server
Diese Info ist ja nichtssagend. WELCHE wirkliche Quell IP benutzt denn der DNS Server ? Ein einfacher Router mit 2 Interfaces, LAN und WAN, hat ja mindestens zwei Optionen einer Quell Adresse.
Wenn ich die Regel aber lockere und als Quell IP das gesamte lokale Netz auswähle
Wie vermutet hast du dann wohl eine falsche Absender IP des Servers ausgewählt !
Wireshark ist hier wie immer dein bester Freund um sicherzustellen WELCHE Absender IP dein Server benutzt !
Bitte warten ..
Mitglied: 123456A
21.04.2021 um 11:46 Uhr
Hi aqui,
die absender IP ist die 192.168.0.1
Die IP des Ziel DNS-Servers ist 1.0.0.3 und 1.1.1.3
Anbei noch einmal der passende Auszug aus Wireshark.
1 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
21.04.2021, aktualisiert um 12:05 Uhr
Dann gilt für die Regel:
  • Quell IP: Host 192.168.0.1
  • Quell Port: any
  • Ziel IP: Host 1.0.0.3
  • Ziel Port: UDP/TCP 53
Das gleiche wiederholst du dann nochmal für die 1.1.1.3
Fertisch....
Dein Wireshark Trace passt aber nicht zu deiner o.a. Aussage
Dort fragt ein Client (192.168.0.143) den DNS Server (192.168.0.1) der dann direkt antwortet. Queries an die 1.0.0.3 oder 1.1.1.3 kommen da gar nicht vor...
Hoffentlich kein Fall von: "Wer misst misst Mist" ?! ;-) face-wink
Bitte warten ..
Mitglied: 123456A
21.04.2021 um 12:51 Uhr
Genau das ist mein Problem. Ich habe die Regel jetzt ungelogen 20 mal Schritt für Schritt geprüft.
Die ist genau so eingerichtet, wie du das gerade beschrieben hast. :/

Zu dem DNS-Server:
Via DHCP-wird nur die Adresse des lokalen DNS-Server (192.168.0.1) vergeben.
Für diesen ist ein ist eine DNS-Weiterleitung auf 1.0.0.3 und 1.1.1.3 aktivert.
Dann sollte im lokalen Netz keine Anfrage für den externen DNS-Server auftauchen oder? (DNS-Server im Router integriert)
Eine Anfrage solte doch dann folgendermaßen laufen:
1. PC stellt anfrage an den lokalen DNS-Server.
2. DNS-Server prüft seinen Cache und stellt fest, dass er keine Informationen im Cache hat.
3. Lokaler DNS-Server stellt eine Anfrage an den externen DNS-Server.

Zu der ACL:
Wenn ich die Quell IP von 192.168.0.1 auf any stelle funktioniert die auflösung einwandfrei.
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
21.04.2021, aktualisiert um 13:51 Uhr
Dann sollte im lokalen Netz keine Anfrage für den externen DNS-Server auftauchen oder?
Doch, zumindest die die der DNS Server auf die beiden IPs 1.0.0.3 und 1.1.1.3 weiterleitet sofern er nicht selber beantworten kann. Dein Wireshark Trace zeigt diesen Fall leider nicht. :-( face-sad
Eine Anfrage solte doch dann folgendermaßen laufen:
Absolut korrekt und richtig !
Wenn ich die Quell IP von 192.168.0.1 auf any stelle funktioniert die auflösung einwandfrei.
Mmmhh, da stimmt dann aber was an deiner Regel nicht oder der DNS Server nutzt eine andere IP. Oder...du hast die Regel auf dem falschen Interface aktiviert !!!
Das o.a. Regelwerk gilt nur für das LAN Interface !! Wenn du das natürlich auf dem WAN Interface aktivierst geht das logischerweise in die Hose !
Das "any" lässt diesen Fehler leider vermuten.
Zumindestens mit einem Netzwerk 192.168.0.0 /24 statt der DNS Server Host Adresse MUSS es ja in jedem Falle auch klappen. Wenn nicht und es nur mit Any geht hast du die Regel am falschen Interface oder sie wird erst NACH dem NAT Prozess im Router aktiv, wenn die DNS Server IP 192.168.0.1 schon durchs NAT durch ist und durch die WAN IP Adresse des Routers im Absender ersetzt wurde. Damit geht sie bei "any" dann durch. Kannst du verifizieren wenn du testweise statt any mal die WAN IP des Routers verwendest...
Das wäre aber sehr ungewöhnlich und auch fehlerhaft, denn es zeigt das du die Regel dann fälschlicherweise Outbound am WAN plaziert hast was natürlich Unsinn ist. Die muss Inbound ans LAN Interface.
Leider machst du dazu ja keinerlei Angaben. :-( face-sad
Hier wäre es in der Tat hilfreich du capturest mal mit deim Wireshark einen DNS Frame den der Server an seine beiden Weiterleitungs IPs sendet. Am besten den Capture Filter nur auf TCP/UDP 53 einstellen das du alles an IP Adressen damit einfängst !
Bitte warten ..
Mitglied: 123456A
21.04.2021 um 14:00 Uhr
Zitat von @25471:

Dann sollte im lokalen Netz keine Anfrage für den externen DNS-Server auftauchen oder?
Doch, zumindest die die der DNS Server auf die beiden IPs 1.0.0.3 und 1.1.1.3 weiterleitet sofern er nicht selber beantworten kann. Dein Wireshark Trace zeigt diesen Fall leider nicht. :-( face-sad

Habe die Regel für das ganze Subnetz angewand. Domain wird soweit aufglöst. Eine Anfrage an den externen DNS-Server taucht in Wireshark trotzdem nicht auf.
Ich gehe in dem Fall auch davon aus, dass der LANCOM auch kein Signal über das LAN-Interface versendet, da der DNS-Server und der Router im gleichen Gerät sitzen.
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
21.04.2021, aktualisiert um 14:09 Uhr
Eine Anfrage an den externen DNS-Server taucht in Wireshark trotzdem nicht auf.
Ein sicheres Indiz dafür das die DNS Weiterleitung nicht funktioniert ! Der Wireshark lügt in der Regel niemals !!
Oder du misst mit ihm an der falschen Stelle...?!
da der DNS-Server und der Router im gleichen Gerät sitzen.
Ist ja Quatsch, denn du schreibst ja oben selber das der DNS Server direkt an die Weiterleitungs DNS Server 1.0.0.3 und 1.1.1.3 weiterleitet.
Der Router ist also niemals involviert in das DNS Spielchen. Außer das er die DNS Pakete routet natürlich.
Der Wireshark sollte dir also in jedem Falle TCP/UDP 53 Frames mit der Absender IP des lokalen DNS Servers 192.168.0.1 und der Destination IP 1.0.0.3 bzw. 1.1.1.3 anzeigen !
Oder hast du jetzt hier alle verwirrt und meinst du das jetzt so das die 192.168.0.1 schon selber der Router ist und kein separater lokaler DNS Server ?!
Sollte das der Fall sein nimmt der Router als DNS Absender IP and die beiden Weiterleitungsserver logischerweise immer seine öffentliche WAN Port IP.
Diese Frames kannst du mit dem Wireshark dann logischerweise nicht sehen wenn du mit ihm im lokalen LAN bist...
Damit wäre dann natürlich auch die o.a. Regel völliger Blödsinn. :-( face-sad
Bitte warten ..
Mitglied: 123456A
21.04.2021 um 16:14 Uhr
Ja hast recht. Kompletter Blödsinn.
Denkfehler meinerseits.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 22 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 12 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 8 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...