 |
|
|
|
| Autor |
Nachricht |
Hobbyfahrer
Anmeldungsdatum: 26.03.2006
Beiträge: 549
Wohnort: Hamburg
|
 Verfasst am:
Mo 23 Apr, 2007 22:49 |
  |
|
Hallo,
komme mit nachfolgender Meldung nicht ganz klar. Habe schon gesucht aber keine passende bzw. erklärbare Anwort gefunden.
Die FW ist als DENY_ALL eingerichtet
DNS Regel ist erstellt
DENY_ALL Meldung:
Quelle: 192.168.100.101 (ist der 1721 Router)
Ziel: 192.168.100.10 (ist der Windows 2003 Server/DNS Server)
Protokoll: 17 (UDP)
Quell-Port: 57541
Ziel-Port 53
Was bedeutet das?
Danke |
_________________
TK/DSL-Provider: Hansenet ADSL2+ 15/1 MBit, Flat, ISDN
VoIP-Provider: Dus.net complete, Sipgate Plus
Router/TK: AVM 7390 A151, Gigaset DX800A FW 94, 2 x SL78H, L410
VoIP: 3 x iPhone 4/4S und iPad 2 FW 5.0.1
Zuletzt bearbeitet von Hobbyfahrer am Mi 25 Apr, 2007 12:02, insgesamt einmal bearbeitet |
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Mo 23 Apr, 2007 23:19 |
|
|
Hallo Hobbyfahrer,
> Was bedeutet das?
Dass der 1721 eine DNS-Anfrage an den DNS-Server schickt?
Vielleicht will er die IP eines NTP-Servers wissen oder des Mailservers oder ähnliches...
Viele Grüße,
Jirka |
|
|
|
|
|
Hobbyfahrer
Anmeldungsdatum: 26.03.2006
Beiträge: 549
Wohnort: Hamburg
|
| Verfasst am:
Di 24 Apr, 2007 08:07 |
|
|
Hallo Jirka,
danke für die Antwort.
Ich traue mich ja schon nicht mehr Nachzufrage ohne gleich wieder einen Nachricht von den Admins hier zu bekommen, dass ich zu viel Frage ohne die Suche zu benutzen (und ich habe gesucht).
Für mich stellt sich die Frage warum der 1721 eine solche Anfrage an den internen DNS Server stellt. Der 1721 kennt diesen doch garnicht!
Für die Clients ist der interne DNS Server eingetragen und im DNS Server ist der 1721 als DNS Server hinterlegt. Kommt daher diese DNS Anfrage?
Die FW greift doch nicht im selben IP Netz, wie mir hier erklärt wurde. Warum nun aber? Habe ich da etwas grundsätzliches falsch verstanden?
Was sollte ich tun, um diese Meldung (die im Minutentakt erscheint) zu beseitigen oder sollte ich sie vernachlässigen?
Habe eine Regel erstellt für diesen Fall aber die Meldungen kommen immer noch. |
_________________
TK/DSL-Provider: Hansenet ADSL2+ 15/1 MBit, Flat, ISDN
VoIP-Provider: Dus.net complete, Sipgate Plus
Router/TK: AVM 7390 A151, Gigaset DX800A FW 94, 2 x SL78H, L410
VoIP: 3 x iPhone 4/4S und iPad 2 FW 5.0.1 |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Di 24 Apr, 2007 12:51 |
|
|
Hallo Hobbyfahrer,
also dien ADS-Srv ist DNS-Server, der alle Anfragen, die er selber nicht kennt an dem LANCOM forwardet. (Z.B. Keine Rekursion fuer diese Domaene verwenden aktivieren)
Somit erhält der LANCOM nun alle Anfragen die nicht in deinen angelegten Zonen beinhaltet sind. Ferner nutzt der ADS-DNS auch die Root-Zonen DNS-Server zur direkten DNS-Abfrage, wenn dies konfiguriert ist. Versuche das mal zu konfigurieren.
Wer darf denn aus dem lokalen Netz den DNS Dienst durch die LANCOM-Firewall nutzen? Ggf sind rekursive Anfragen im DNS bei dir konfiguriert. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
 |
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Di 24 Apr, 2007 14:41 |
|
|
Hallo Hobbyfahrer,
> Für die Clients ist der interne DNS Server eingetragen und im DNS Server ist der 1721 als DNS Server hinterlegt. Kommt daher diese DNS Anfrage?
Ist die IP des internen DNS-Servers denn im LANCOM irgendwo eingetragen, damit sie den Clients per DHCP zugeordnet wird?
Viele Grüße,
Jirka |
|
|
|
|
|
Hobbyfahrer
Anmeldungsdatum: 26.03.2006
Beiträge: 549
Wohnort: Hamburg
|
| Verfasst am:
Di 24 Apr, 2007 14:58 |
|
|
Hallo Jirka,
alle Clients haben feste IP Einträge. Es gibt zusätzlich einen kleinen DHCP Bereich und dort ist auch der Windows Server als DNS Server eingetragen. Das gilt auch für den VPN Einwahlbereich.
Leider verstehe ich die Antwort von Ittk nicht mal im Ansatz aber ich bin auch nur ein Hobbyanwender der es gerne verstehen würde.
Was Ittk schrieb ist schon richtig. Wenn der interne DNS Server nicht auflösen kann soll dieses der Lancom machen.
Was ich nicht verstehe ist aber, warum der Lancom in 5 Minutenabständen immer diese FW Meldung bringt. Was veranlasst den Lancom dazu immer nach 5 Minuten den internen DNS Server anzusprechen?
Desweiteren verstehe ich einfach nicht, warum die DENY Regel greift. Warum wird im selben IP Netz diese Verbindung überhaupt aktiv? |
_________________
TK/DSL-Provider: Hansenet ADSL2+ 15/1 MBit, Flat, ISDN
VoIP-Provider: Dus.net complete, Sipgate Plus
Router/TK: AVM 7390 A151, Gigaset DX800A FW 94, 2 x SL78H, L410
VoIP: 3 x iPhone 4/4S und iPad 2 FW 5.0.1 |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 24 Apr, 2007 16:27 |
|
|
Hi Hobbyfahrer
| Zitat:
|
|
Es gibt zusätzlich einen kleinen DHCP Bereich und dort ist auch der Windows Server als DNS Server eingetragen. Das gilt auch für den VPN Einwahlbereich.
|
also kennt der 1721 deinen Windows-DNS-Server... Er ist sogar als Default-Server eingetragen, an den der 1721 alle Anfragen weiterleitet, die er nicht selbst beantworten kann...
Wenn du in der Firewall eine Deny-All Strategie fährst, dann mußt du DNS explizit zulassen.
Gruß
Backslash |
|
|
|
|
|
Hobbyfahrer
Anmeldungsdatum: 26.03.2006
Beiträge: 549
Wohnort: Hamburg
|
| Verfasst am:
Di 24 Apr, 2007 16:55 |
|
|
Hallo Backslash,
wie ich in meinem ersten Posting schrieb ist eine DNS Regel für das LAN laut Lancom Empfehlung (Script) vorhanden.
Unter TCP/IP ist unter Adressen als erster DNS Server der Windows-DNS Server eingtragen.
Date: 4/24/2007 16:48:05
The packet below
Src: 192.168.100.101:57541 {Lancom-1721-VPN} Dst: 192.168.100.10:53 {pdc-mmh} (UDP)
45 00 00 2d e6 26 00 00 40 11 4a d9 c0 a8 64 65 | E..-.&.. @.J...de
c0 a8 64 0a e0 c5 00 35 00 19 d1 fe 00 01 01 00 | ..d....5 ........
00 01 00 00 00 00 00 00 00 00 01 00 01 | ........ .....
matched this filter rule: DENY_ALL
and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second
because of this the actions below were performed:
reject
send SNMP trap
send email to administrator
Date: 4/24/2007 17:02:56
The packet below
Src: 192.168.100.101:57541 {Lancom-1721-VPN} Dst: 192.168.100.10:53 {pdc-mmh} (UDP)
45 00 00 2d e6 5e 00 00 40 11 4a a1 c0 a8 64 65 | E..-.^.. @.J...de
c0 a8 64 0a e0 c5 00 35 00 19 d1 fe 00 01 01 00 | ..d....5 ........
00 01 00 00 00 00 00 00 00 00 01 00 01 | ........ .....
matched this filter rule: DENY_ALL
and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second
because of this the actions below were performed:
reject
send SNMP trap
send email to administrator
..... so geht das die ganze Zeit
P.S. Habe auch den Lancom Support nun um Hilfen gebeten |
_________________
TK/DSL-Provider: Hansenet ADSL2+ 15/1 MBit, Flat, ISDN
VoIP-Provider: Dus.net complete, Sipgate Plus
Router/TK: AVM 7390 A151, Gigaset DX800A FW 94, 2 x SL78H, L410
VoIP: 3 x iPhone 4/4S und iPad 2 FW 5.0.1 |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 24 Apr, 2007 18:04 |
|
|
Hi Hobbyfahrer
was sagen denn ein DNS und Firewall-Trace? Der Quellport 57541 sagt mir, daß es kein Request des LANCOMs ist, sondern ein weitergeleiteter Request.
Bist du sicher, daß du in der DNS-Regel alle möglichen Quellen (Intranet, DMZ, RAS-User, VPN-Strecken etc.) berücksichtigt hast?
Gruß
Backslash |
|
|
|
|
|
Hobbyfahrer
Anmeldungsdatum: 26.03.2006
Beiträge: 549
Wohnort: Hamburg
|
| Verfasst am:
Di 24 Apr, 2007 18:14 |
|
|
Die DNS Regel hat als Quelle -Alle lokalen Stationen- eingetragen
VPN Standleitungen, DMZ und RAS gibt es nicht. |
_________________
TK/DSL-Provider: Hansenet ADSL2+ 15/1 MBit, Flat, ISDN
VoIP-Provider: Dus.net complete, Sipgate Plus
Router/TK: AVM 7390 A151, Gigaset DX800A FW 94, 2 x SL78H, L410
VoIP: 3 x iPhone 4/4S und iPad 2 FW 5.0.1 |
|
|
|
Hobbyfahrer
Anmeldungsdatum: 26.03.2006
Beiträge: 549
Wohnort: Hamburg
|
| Verfasst am:
Di 24 Apr, 2007 18:37 |
|
|
Um 18:32 war wieder so eine Meldung.
Hier der Trace:
[DNS] 2007/04/24 18:32:02,520
DNS Rx (LAN): Src-IP 192.168.100.6
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server
[Firewall] 2007/04/24 18:32:02,520
Packet matched rule ALLOW_DNS
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131
test next filter (no matching condition)
[Firewall] 2007/04/24 18:32:02,520
Packet matched rule DENY_ALL
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131
test next filter (no matching condition)
[Firewall] 2007/04/24 18:32:02,520
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131
packet accepted
[DNS] 2007/04/24 18:32:02,530
DNS Rx (intern): Src-IP 192.168.100.101
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server
[DNS] 2007/04/24 18:32:02,670
DNS Rx (LAN): Src-IP 192.168.100.10
Name Response:
STD A for post.strato.de resolved to 192.67.198.62
STD A for post.strato.de resolved to 192.67.198.79
STD A for post.strato.de resolved to 192.67.198.2
[DNS] 2007/04/24 18:32:03,010
DNS Rx (intern): Src-IP 192.168.100.101
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server
[DNS] 2007/04/24 18:32:03,010
DNS Rx (LAN): Src-IP 192.168.100.10
Name Response:
STD A for post.strato.de resolved to 192.67.198.79
STD A for post.strato.de resolved to 192.67.198.2
STD A for post.strato.de resolved to 192.67.198.62
[DNS] 2007/04/24 18:32:05,490
DNS Rx (LAN): Src-IP 192.168.100.6
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server
[Firewall] 2007/04/24 18:32:05,490
Packet matched rule ALLOW_DNS
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131
test next filter (no matching condition)
[Firewall] 2007/04/24 18:32:05,490
Packet matched rule DENY_ALL
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131
test next filter (no matching condition)
[Firewall] 2007/04/24 18:32:05,490
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131
packet accepted |
_________________
TK/DSL-Provider: Hansenet ADSL2+ 15/1 MBit, Flat, ISDN
VoIP-Provider: Dus.net complete, Sipgate Plus
Router/TK: AVM 7390 A151, Gigaset DX800A FW 94, 2 x SL78H, L410
VoIP: 3 x iPhone 4/4S und iPad 2 FW 5.0.1 |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Di 24 Apr, 2007 18:47 |
|
|
Hallo Hobbyfahrer,
| Zitat:
|
|
.... so geht das die ganze Zeit
|
passiert das auch, wenn kein VPN-Client verbunden ist? DNS-Anfragen von diesen gehen natürlich über den IP-Router (und damit auch durch die Firewall), auch wenn diese Clients scheinbar eine IP aus dem lokalen Netz besitzen. Der Lancom macht hier Proxy-ARP.
Könnte also sein, dass die Einstellung 'lokales Netz' in der Allow-Regel bewirkt, dass nur DNS-Anfragen vom LAN-Interface durchgelassen werden. Ändere die DNS-Regel doch mal auf das IP-Netz 192.168.100.0.
Gruß
Mario |
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 24 Apr, 2007 20:22 |
|
|
Hi Hobbyfahrer
a) in deinem Trace werden doch alle DNS-Anfragen akzeptiert. Wichtig ist der Trace im Fehlerfall
b) "no matching condition" deutet auf bedingte Aktionen (wie "nur über Defaultroute") hin. Ohne die genauen Filter wird da wenig zu machen sein
Gruß
Backslash |
|
|
|
|
|
Hobbyfahrer
Anmeldungsdatum: 26.03.2006
Beiträge: 549
Wohnort: Hamburg
|
| Verfasst am:
Di 24 Apr, 2007 21:33 |
|
|
VPN Verbindungen sind derzeit nicht aktiv und waren auch nicht aktiv.
Interessant ist allerdings, dass diese FW Meldung entweder alle 5 Minuten oder alle 15 Minuten kommt.
LanConfig hat um 18:32 wieder diese Meldunge gebracht und ich habe dann alles um 18:32 aus dem Trace kopiert. Der Trace ist der "Fehlerfall"
Die Umstellung der normalen DNS ALLOW Regel auf die Netzwerkadresse hat keine Änderung gebracht. |
| Beschreibung: |
|
| Dateigröße: |
281.96 KB |
| Angeschaut: |
2762 mal |
|
_________________
TK/DSL-Provider: Hansenet ADSL2+ 15/1 MBit, Flat, ISDN
VoIP-Provider: Dus.net complete, Sipgate Plus
Router/TK: AVM 7390 A151, Gigaset DX800A FW 94, 2 x SL78H, L410
VoIP: 3 x iPhone 4/4S und iPad 2 FW 5.0.1 |
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Di 24 Apr, 2007 23:01 |
|
|
Hallo Hobbyfahrer,
Backslash hat Recht, bei Deinem Trace fehlt noch was, höchstwahrscheinlich unmittelbar vor dem, was Du gepostet hast.
Und der Rechner mit der IP 192.168.100.6 hat den 192.168.100.10 als DNS-Server fest eingetragen?
Passiert das ganze auch, wenn der Rechner mit der IP 192.168.100.6 aus ist?
Viele Grüße,
Jirka |
|
|
|
|
|
|
|
|
|
| |
|
|
