Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst "dnsmasq" beantwortet DNS-Anfragen der Clients nicht

Mitglied: Datax87

Datax87 (Level 1) - Jetzt verbinden

10.05.2019 um 13:11 Uhr, 732 Aufrufe, 3 Kommentare

Hallo, hat sich schon mal jemand von Euch mit "DNS over TLS" (DoT) mittels
"dnsmasq" und "Stubby" beschäftigt?

Habe diesen DNS-Aufbau auf einem "Raspberry Pi 3 Model B+" installiert,
leider funktioniert er nicht wie gewünscht.

Wenn ich auf einem externen Client die IP-Adresse des "Raspberry Pi" (192.168.2.2) als DNS-Server
einstelle, dann kommen zwar die DNS-Pakete beim RasPi an, aber die DNS-Anfrage des Clients wird
nicht beantwortet.

Dass die DNS-Anfragen beim RasPi ankommen, sehe ich per "tcpdump -i eth0 udp and port 53 -nv":
12:08:13.157366 IP (tos 0x0, ttl 127, id 54611, offset 0, flags [none], proto UDP (17), length 62)
192.168.1.50.60718 > 192.168.2.2.53: 3+ AAAA? www.facebook.com. (34)



Ich bin nach folgender Anleitung vorgegangen:
https://blog.sandchaschte.ch/de/pi-hole-with-dns-over-tls

"dnsmasq" läuft bei mir auf UDP-Port 53, welcher die Anfragen der Clients (unverschlüsselt) entgegennimmt
und soll diese dann an 127.0.0.1:5353 (Stubby) weiterleiten.

"Stubby" läuft aber auf jeden Fall auch, das habe ich überprüft:

netstat -aun:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 0.0.0.0:53 0.0.0.0:* (dnsmasq)
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:38489 0.0.0.0:*
udp 0 0 0.0.0.0:51820 0.0.0.0:*
udp 0 0 127.0.0.1:5353 0.0.0.0:* (Stubby)
udp 0 0 0.0.0.0:5353 0.0.0.0:* (Stubby)
udp6 0 0 :::38305 :::*
udp6 0 0 :::53 :::*
udp6 0 0 :::51820 :::*
udp6 0 0 ::1:5353 :::*
udp6 0 0 :::5353 :::*

Warum "Stubby" auf der 127.0.0.1 "lauscht" und ebenfalls auf der 0.0.0.0 weiß ich nicht ^^.

Wenn ich mich per SSH auf dem RasPi einloggen und von dort aus eine DNS-Abfrage starte
(z.B. per dig @127.0.0.1 www.google.de), dann wird problemlos aufgelöst:

dig @127.0.0.1 www.google.de

; <<>> DiG 9.10.3-P4-Raspbian <<>> @127.0.0.1 www.google.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64721
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.google.de. IN A

;; ANSWER SECTION:
www.google.de. 139 IN A 172.217.168.195

;; Query time: 88 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri May 10 12:03:13 BST 2019
;; MSG SIZE rcvd: 71


Nur wie gesagt funktioniert die Auflösung nicht, wenn ich "dnsmasq" von einem Client aus auf der 192.168.2.2 anspreche,
das ist die IP-Adresse des RasPi in dem Netzwerk, wo er angeschlossen ist.

Wenn ich per SSH auf dem RasPi eingeloggt bin, dann kann ich hingegen die 192.168.2.2 als DNS-Server ansprechen und
die Namensauflösung funktioniert:

dig @192.168.2.2 www.teamviewer.com

; <<>> DiG 9.10.3-P4-Raspbian <<>> @192.168.2.2 www.teamviewer.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40525
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.teamviewer.com. IN A

;; ANSWER SECTION:
www.teamviewer.com. 300 IN CNAME djg0l3vj0jvin.cloudfront.net.
djg0l3vj0jvin.cloudfront.net. 0 IN A 54.192.12.53

;; Query time: 89 msec
;; SERVER: 192.168.2.2#53(192.168.2.2)
;; WHEN: Fri May 10 12:05:45 BST 2019
;; MSG SIZE rcvd: 151


Zusammengefasst also:

"dig @127.0.0.1 www.google.de" funktioniert vom RasPi aus
und "dig @192.168.2.2 www.google.de funktioniert vom RasPi aus.

Ein "dig @192.168.2.2 www.google.de" von einem Client aus funktioniert hingegen nicht.

Kann mir da jemand weiterhelfen?

Gruß, Datax
Mitglied: Pjordorf
LÖSUNG 10.05.2019 um 14:08 Uhr
Hallo,

Zitat von Datax87:
dann kommen zwar die DNS-Pakete beim RasPi an, aber die DNS-Anfrage des Clients wird nicht beantwortet.
Geht denn überhaupt eine Antwort raus? Kommt die Anfrage auf die Richtige IP und Port an oder horcht was anderes als dein dort? Fragt denn dein DNSmasq seinen übergeordneten DNS nach die IPs oder geht das nicht?

Gruß,
Peter
Bitte warten ..
Mitglied: Datax87
10.05.2019 um 16:58 Uhr
Hi, hab' den Fehler schon gefunden.

Vor dem RasPi befindet sich ein EdgeRouter,
dessen Firewall UDP-Port 53 aus dem Netz der Clients nicht zugelassen hat.

Also eine entsprechende "Erlauben"-Regel erstellt und seitdem antwortet "dnsmasq" auch ;).

Danke dir für die Hilfe.

Gruß, Datax
Bitte warten ..
Mitglied: Pjordorf
10.05.2019 um 21:45 Uhr
Hallo,

Zitat von Datax87:
Hi, hab' den Fehler schon gefunden.
Schön.

Vor dem RasPi befindet sich ein EdgeRouter,
Was hier natürlich keiner wissen konnte

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
DNS
DNS Problem am Client
gelöst Frage von typeOnegDNS16 Kommentare

Hallo zusammen. habe bei einem Kunden das Problem, dass 1 Client massive Probleme hat, Websites zu öffnen. Man gibt ...

Administrator.de Feedback
Wie man eine Frage richtig beantwortet
Anleitung von KMUlifeAdministrator.de Feedback28 Kommentare

Hallo zusammen! Ich bin jetzt schon eine gewisse Zeit dabei und lese immer wieder Antworten die mich entweder vom ...

Outlook & Mail

Besprechunganfragen können nicht beantwortet werden

Frage von NosnudinnOutlook & Mail

Hallo erstmal, ich habe wieder ein Problem bei einem Kunden. Diesmal in Outlook 2003, das Problem ist, dass der ...

Batch & Shell

Regel dass Nachrichten vom Server beantwortet werden

Frage von Druide83Batch & Shell1 Kommentar

Hallo, bräuchte kurz eure Hilfe. Vielleicht hab ich auch einfach Tomaten auf den Augen und finde den richtigen Parameter ...

Neue Wissensbeiträge
iOS

IOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 2 StundeniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 4 StundenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 11 StundenWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 12 StundenAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Verrücktes Netzwerkproblem in einer alten SBS 2008 Domäne
Frage von PA-PeterNetzwerkmanagement36 Kommentare

Hallo zusammen, ich bin hier leider sehr verzweifelt und ersuche deshalb in Eurer Community ein paar Ideen oder Ansätze ...

Windows Server
Erreichbarkeit von Freigaben auf Server 2019 durch ältere Linux-basierte Geräte
gelöst Frage von SarekHLWindows Server13 Kommentare

Hallo zusammen, ich habe hier zwei Geräte, einen Kopierer (Ricoh MP2554) und eine WebCam (Trendnet TV-IP311IP), die trotz korrekter ...

Firewall
PFsense OPENVPN nur RDP zulassen
gelöst Frage von schicksalFirewall12 Kommentare

Hallo zusammen, ich will folgendes konfigurieren: Ich habe einige OPENVpn Cilents bei diesen funktioniert der Tunnel. Nur folgendes, es ...

Humor (lol)
EBlocker.de e.Blocker.com IP Adresse ändern?
Frage von Sibelius001Humor (lol)11 Kommentare

Hallo, also ich starte hier gleich mal unter "Humor", weil die meisten Antworten sofort dort hingehen würden Und es ...