Problem bei der Konfiguration 2 Router und LAN
Konfiguration Astaro Security Gateway plus Netgear Router plus LAN klappt nicht. Die DNS lässt sich nicht auflösen.
Hallo zusammen,
ich habe ein Problem mit meiner Netzwerkkonfiguration. Ich habe mir schon einige Beiträge zum Thema Router in Reihe geschaltet angesehen, aber bisher keine Lösung gefunden. Ich möchte über diesen Beitrag festellen lassen, das es nicht an meiner LAN-Konfiguration liegt, sondern an dem Paketfilter der Firewall. Dann könnte ich die Fehlersuche einkreisen.
Folgender Aufbau ist bei mir gegeben:
1) 1 Dell Optiplex konfiguriert als Firewall und Router mit Astaro Security Gateway. WAN ist PPPOE und IP intern fest172.168.0.X/24. Gateway intern ist IP intern. DNS Server sind zwei IPs vom Provider.
2) Am internen Port von Astaro kommt ein Netgear Router WGR614 v7. WAN Port ist hier die feste IP 172.168.0.Y/24. Gateway hier ist die IP intern des Astaro Router. DNS ist auch die IP intern des Astaro Router. Am internen Port des Netgear mit IP 192.168.0.X/24 läuft DHCP dass den Rechnern im LAN IPs mit 192.168.0.XY vergibt.
Nun kommt mein Problem. Ich komme vom LAN ohne Problem auf das webinterface von Astaro auf 172.168.0.X, aber nicht weiter. Laut Astaro ist die WAN-Verbindung up. Es sieht so aus, als ob der Paketfilter Anfragen auf port 53 verwirft, obwohl ich das interne Netzwerk, sowie IP extern Netgear Router für DNS-Anfragen freigegeben habe. Auch tracert hört bei der internen IP Astaro auf. Ist das also nun ein Fehler im Paketfilter, oder haben hier die Router Kommunikationsprobleme? Zwischen beiden Routern befindet sich auch cross-over Kabel. Wenn es an der LAN-Konfiguration liegen würde, dann dürfte ich aus dem LAN 192.168.0.0/24 doch gar nicht in das Netz 172.168.0.0/24 kommen, oder sehe ich das falsch? Es scheinen auch andere User Probleme mit den DNS-Anfragen bei Astaro zu haben, aber bisher konnte ich dieses Problem nirgendswo gelöst finden.
Wäre schön, wenn mir jemand eine Hilfestellung geben könnte, was ich falsch mache.
Grüsse!
Hallo zusammen,
ich habe ein Problem mit meiner Netzwerkkonfiguration. Ich habe mir schon einige Beiträge zum Thema Router in Reihe geschaltet angesehen, aber bisher keine Lösung gefunden. Ich möchte über diesen Beitrag festellen lassen, das es nicht an meiner LAN-Konfiguration liegt, sondern an dem Paketfilter der Firewall. Dann könnte ich die Fehlersuche einkreisen.
Folgender Aufbau ist bei mir gegeben:
1) 1 Dell Optiplex konfiguriert als Firewall und Router mit Astaro Security Gateway. WAN ist PPPOE und IP intern fest172.168.0.X/24. Gateway intern ist IP intern. DNS Server sind zwei IPs vom Provider.
2) Am internen Port von Astaro kommt ein Netgear Router WGR614 v7. WAN Port ist hier die feste IP 172.168.0.Y/24. Gateway hier ist die IP intern des Astaro Router. DNS ist auch die IP intern des Astaro Router. Am internen Port des Netgear mit IP 192.168.0.X/24 läuft DHCP dass den Rechnern im LAN IPs mit 192.168.0.XY vergibt.
Nun kommt mein Problem. Ich komme vom LAN ohne Problem auf das webinterface von Astaro auf 172.168.0.X, aber nicht weiter. Laut Astaro ist die WAN-Verbindung up. Es sieht so aus, als ob der Paketfilter Anfragen auf port 53 verwirft, obwohl ich das interne Netzwerk, sowie IP extern Netgear Router für DNS-Anfragen freigegeben habe. Auch tracert hört bei der internen IP Astaro auf. Ist das also nun ein Fehler im Paketfilter, oder haben hier die Router Kommunikationsprobleme? Zwischen beiden Routern befindet sich auch cross-over Kabel. Wenn es an der LAN-Konfiguration liegen würde, dann dürfte ich aus dem LAN 192.168.0.0/24 doch gar nicht in das Netz 172.168.0.0/24 kommen, oder sehe ich das falsch? Es scheinen auch andere User Probleme mit den DNS-Anfragen bei Astaro zu haben, aber bisher konnte ich dieses Problem nirgendswo gelöst finden.
Wäre schön, wenn mir jemand eine Hilfestellung geben könnte, was ich falsch mache.
Grüsse!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 87960
Url: https://administrator.de/contentid/87960
Ausgedruckt am: 26.11.2024 um 23:11 Uhr
9 Kommentare
Neuester Kommentar
Die Kardinalsfrage ist ob dein Astaro Gateway eine DNS Proxy Funktion hat ?? Wenn nicht ist die Konfiguration der IP Adresse des Astaro Gateways als DNS Server ein Fehler, denn der kann dan kein DNS Reply machen.
So oder so hättest du es aber mit ein bischen Nachdenken auch mal ganz ohne DNS testen können indem du als Ziel die nackte IP Adresse des Zielhosts z.B. 193.99.144.85 (heise.de) eingeben können. Damit schliesst du dann Port 53 Probleme von vorn herein aus !
Du musst im NetGear dann die beiden DNS IPs des Carriers eintragen, was sowieso von der Konfiguration richtiger wäre.
Damit sollte sich dann dein Problem auf Schlag lösen !
Es ist ungewöhnlich das die Firewall DNS Packete filtert. Nebenbei wäre es auch völlig unsinnig, denn dann könnte kein einziger Host der am Astaro internen Interface hängt eine DNS Auflösung machen...
Dein Netzwerk sollte dann so aussehen:
Im Grunde ist das genau dasselbe und banale Design wie es auch hier vorgestellt ist:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
Alles was hier zu beachten ist gilt für dich auch !
Noch ein wichtiger Punkt:
Etwas problematisch sind noch deine internen 172.168er Adressen. Das sind KEINE RFC 1918 Adressen mehr sondern öffentlich vergebene Internet IPs !!! Siehe hier:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Intern sollte man besser immer RFC 1918 konforme, also private IPs verwenden die im Internet nicht verwendet werden !!
Der private 172er Class B Bereich in dem du dich bewegen solltest geht von 172.16.0.0–172.31.255.255 !! (siehe Wiki Artikel !)
So oder so hättest du es aber mit ein bischen Nachdenken auch mal ganz ohne DNS testen können indem du als Ziel die nackte IP Adresse des Zielhosts z.B. 193.99.144.85 (heise.de) eingeben können. Damit schliesst du dann Port 53 Probleme von vorn herein aus !
Du musst im NetGear dann die beiden DNS IPs des Carriers eintragen, was sowieso von der Konfiguration richtiger wäre.
Damit sollte sich dann dein Problem auf Schlag lösen !
Es ist ungewöhnlich das die Firewall DNS Packete filtert. Nebenbei wäre es auch völlig unsinnig, denn dann könnte kein einziger Host der am Astaro internen Interface hängt eine DNS Auflösung machen...
Dein Netzwerk sollte dann so aussehen:
Im Grunde ist das genau dasselbe und banale Design wie es auch hier vorgestellt ist:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
Alles was hier zu beachten ist gilt für dich auch !
Noch ein wichtiger Punkt:
Etwas problematisch sind noch deine internen 172.168er Adressen. Das sind KEINE RFC 1918 Adressen mehr sondern öffentlich vergebene Internet IPs !!! Siehe hier:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Intern sollte man besser immer RFC 1918 konforme, also private IPs verwenden die im Internet nicht verwendet werden !!
Der private 172er Class B Bereich in dem du dich bewegen solltest geht von 172.16.0.0–172.31.255.255 !! (siehe Wiki Artikel !)
Du kannst das ja ganz einfach testen und wasserdicht machen:
Ein Ping oder Traceroute auf die nackte IP sollte von dem Client immer funktionieren, denn damit ist gar kein PORT 53 (DNS) Traffic involviert. Es ist dann also völlig egal ob die Astaro Firewall das filtern sollte oder nicht.
Klappt es und funktioniert dasgleiche auf den Hostnamen nicht, hast du in der Tat ein DNS Problem. Sei es einmal das die proxy Funktion einfach nicht funktioniert oder ausgeschaltet ist oder das tatsächlich Port 53 Traffic gefiltert wird !!
- Nimm einen Client (PC) in das Segment LAN-1 gebe ihm statisch eine IP aus dem 172.168.0er Netz und konfiguriere ihm statisch als default Gateway die 172.168.0.X (Astaro). Ebenfalls trägst du als DNS die 172.168.0.X (Astaro) ein.
- Ein Ping auf die nackte IP 193.99.144.85 (www.heise.de) sollte klappen...
- Wenn nein was sagt ein traceroute 193.99.144.85 ??
- Klappt es, sollte auch ping www.heise.de und oder traceroute www.heise.de funktionieren !
- Wahlweise mast du den gesamten o.a. Test nochmal mit der Provider DNS IP Adresse als DNS Server Eintrag !
Ein Ping oder Traceroute auf die nackte IP sollte von dem Client immer funktionieren, denn damit ist gar kein PORT 53 (DNS) Traffic involviert. Es ist dann also völlig egal ob die Astaro Firewall das filtern sollte oder nicht.
Klappt es und funktioniert dasgleiche auf den Hostnamen nicht, hast du in der Tat ein DNS Problem. Sei es einmal das die proxy Funktion einfach nicht funktioniert oder ausgeschaltet ist oder das tatsächlich Port 53 Traffic gefiltert wird !!