DNS Auflösung in ARF Netze

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

DNS Auflösung in ARF Netze

Beitrag von maiki »

Hallo zusammen,

ähnlich, wie im Thread viewtopic.php?f=41&t=15846&p=88642&hili ... etz#p88642
beschrieben habe ich 3 Netze:

Intranet 192.168.19.1 Tag 1
VOP. 192.168.20.1 Tag 2
IOT 192.168.21.1 Tag 3

Der Router ist ein 1783VA mit aktueller 10.32RU4

diese 3 ARF Netze sind getrennt und sollen es grundsätzlich auch bleiben. Nun ist es aber so, daß im Intranet ein Monitoring System betrieben wird, welches auch einzelne Geäte im VOIP und IOT Netz überwachen soll. Hierzu habe ich eine Firewall Regel erstellt, welche die Pakete entsprechenden markiert. Dies funktioniert auch soweit. Ich kann die entsprechenden Geräte im VOIP und IOT Netz über die IP Adresse erreichen.

Leider funktioniert die DNS Auflösung vom Netz Intranet zu Einträgen im VOIP und IOT Netz nicht. Sodaß ich die Geräte leider nicht über den FQDN ansprechen kann.

Ich habe auch schon eine DNS Weiterleitung wie im obigen Thread beschrieben eingerichtet. Aber auch mit dieser funktioniert es nicht.
Fehlt mir noch eine Firewallregel für die DNS Rückantwort ?

Danke für Eure Hilfe.

LG Maik
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: DNS Auflösung in ARF Netze

Beitrag von ittk »

In Deinem Link hat backslash doch eine Antwort gegeben mit der @ Syntax...

Wie kann bei LANCOM Routern eine DNS-Weiterleitung für IPv4 und/oder IPv6 konfiguriert werden?
https://support.lancom-systems.com/know ... d=32988108
Sprich die @99 hinter der 10.0.50.1 stellt das Routing-Tag dar.
Wenn der oder die DNS Server über ein anderes Routing-Tag erreicht werden sollen, als das Routing-Tag, welches im Weiterleitungs-Dialog konfiguriert ist, muss die IP-Adresse um das Zeichen @ und die Angabe des zu verwendenden Routing-Tag erweitert werden (Beispiel: 8.8.8.8@2).

Probiere es mal aus ;)

Code: Alles auswählen

Ist hingegen das LANCOM der DNS-Server, so mußt du nur eine DNS-Weiterleitung für die internen Domains an den DNS-Server im Netz Shared einrichten:

Domain-name             Rtg-tag  Destination
--------------- ~ ----------------------------------------
*.sub-domain            0        10.0.50.1@99

10.0.50.1 ist dabei durch IP des DNS-Servers im Netz Share zu ersetzen.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

Re: DNS Auflösung in ARF Netze

Beitrag von maiki »

Hallo ittk,

vielen dank für deine schnelle Antwort. Wie ich bereits geschrieben habe, habe ich es so umgesetzt, wie DU es auch vorgeschlagen hast. Aber es geht leider nicht.

ich habe in der DNS Weiterleitung folgendes eingetragen:

Code: Alles auswählen

Domain-name                         Rtg-tag  Destination
*.iot.home.maiki.intern              0        192.168.20.129@3   
Mache ich nun ein nslookup kommt folgender Output

Code: Alles auswählen

maik@imac-maik ~ % nslookup test.iot.home.maiki.intern
Server:		192.168.19.1
Address:	192.168.19.1#53

** server can't find test.iot.home.maiki.intern: NXDOMAIN

maik@imac-maik ~ % nslookup test.iot.home.maiki.intern
;; connection timed out; no servers could be reached
Im DNS Trace am Lancom steht:

Code: Alles auswählen

[DNS] 2020/01/04 20:29:42,741  Devicetime: 2020/01/04 20:29:48,062
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x128a
Flags: 0x0100 (Standard query, No error)
Queries
  test.iot.home.maiki.intern: type A, class IN

STD A for test.iot.home.maiki.intern
DnsGetDest: Match found: forwarding test.iot.home.maiki.intern to 192.168.20.129@3
Not found in local DNS database => forward to next server

[DNS] 2020/01/04 20:29:42,741  Devicetime: 2020/01/04 20:29:48,063 [info] : 
create new source map entry for 192.168.19.118
using DNS server 192.168.20.129

[DNS] 2020/01/04 20:29:42,741  Devicetime: 2020/01/04 20:29:48,063 [info] : 
create new source map entry for 192.168.19.118
using DNS server 192.168.20.129

[DNS] 2020/01/04 20:29:48,747  Devicetime: 2020/01/04 20:29:54,071
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x128a
Flags: 0x0100 (Standard query, No error)
Queries
  test.iot.home.maiki.intern: type A, class IN

STD A for test.iot.home.maiki.intern
DnsGetDest: Match found: forwarding test.iot.home.maiki.intern to 192.168.20.129@3
Not found in local DNS database => forward to next server

[DNS] 2020/01/04 20:29:54,756  Devicetime: 2020/01/04 20:30:00,079
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x128a
Flags: 0x0100 (Standard query, No error)
Queries
  test.iot.home.maiki.intern: type A, class IN

STD A for test.iot.home.maiki.intern
DnsGetDest: Match found: forwarding test.iot.home.maiki.intern to 192.168.20.129@3
Not found in local DNS database => forward to next server
Die DNS Anfrage läuft ins Timeout.

Ohne DNS Weiterleitung heraus, ergibt sich folgendes (dies ist für getrennte ARF Netzte ja ok)

Code: Alles auswählen

maik@imac-maik ~ % nslookup test.iot.home.maiki.intern
Server:		192.168.19.1
Address:	192.168.19.1#53

** server can't find test.iot.home.maiki.intern: NXDOMAIN

Code: Alles auswählen

DNS] 2020/01/04 20:21:07,832  Devicetime: 2020/01/04 20:21:13,146
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x8d43
Flags: 0x0100 (Standard query, No error)
Queries
  test.iot.home.maiki.intern: type A, class IN

STD A for test.iot.home.maiki.intern
Not found in local DNS database, query to own domain => not forwarded
Habe ich noch etwas vergessen zu konfigurieren ?

LG Maik
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

Re: DNS Auflösung in ARF Netze

Beitrag von maiki »

Nachtrag

Der Router hat iot Netzwerk die IP Adresse 192.168.20.129. Nicht 192.168.21.1 wie im ersten Post geschrieben.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS Auflösung in ARF Netze

Beitrag von backslash »

Hi maiki,

Wenn du mit Weierleitungen arbeitest, dann muß unter der jeweiligen Adresse auch ein expliziter DNS-Server stehen... Eine Weiterleitung an das LANCOM (192.168.20.129@3) läuft ins Leere...

Wenn das LANCOM selbst der DNS-Server für die drei Netze sein soll, dann brauchst du keine Weiterleitung, sondern mußt für jedes ARF-Netz einfach nur eine Subdomain ("iot"/"voip"/"intranet") anlegen (zusätzlich zur eigenen Domain "home.maiki.intern") - und natürlich dann auch die Hostnamen in der DNS-Liste anlegen oder auf den Netzen den DHCP-Server aktivieren (dazu müssen dann die jeweilgen Geräte selbst ihren Namen dem DNS-Server übermitteln). Wenn du dann zusätzlich eine Firewallregel hast, die den Zugriff erlaubt, löst der DNS-Server den Namen auch auf.

Da das LANCOM den Namen test.iot.home.maiki.intern nicht findet, aber weiß, daß iot.home.maiki.intern die eigene Domain ist, fehlt dir also nur noch die Abbildung des Hostnamen "test" im Netz "iot" zu seiner IP-Adresse....


Gruß
Backslash
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

Re: DNS Auflösung in ARF Netze

Beitrag von maiki »

Hi backslash,

vielen Dank für deine (wie immer ausführliche und verständliche) Antwort. Hier einige weiter Details

- Der Lancom ist selber DNS Server in allen Netzen
- Der Lancom ist DHCP Server in allen Nezten
- Die DNS Eintrage sind in der DNS Stationstabelle eingetragen bzw. stehen in der DHCP Tabelle
- Die Subdomains iot, voip und home sind eingetragen.

Allerdings ist die Eigene Domain intern und die subdomains lauten
iot.home.maiki.intern, voip.home.maiki.intern und home.maiki.intern. Ich denke dies sollte kein Problem darstellen.

Ich bin jetzt nur etwas verwirrt, bezüglich deiner Ausage ich benötige nur eine Firewallregel für den Zugriff und keine Weiterleitung.
In einem ähnlichen Thread viewtopic.php?f=41&t=15846&p=88642&hili ... etz#p88663 schreibst Du es genau anders herum.

Benötige ich nun eine Firewallregel oder eine Weiterleitung, oder beides ?

LG Maik
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS Auflösung in ARF Netze

Beitrag von backslash »

Hi maiki,
Allerdings ist die Eigene Domain intern und die subdomains lauten
iot.home.maiki.intern, voip.home.maiki.intern und home.maiki.intern. Ich denke dies sollte kein Problem darstellen.
ich hoffe die subdomains heissen nur "iot.home.maiki", "voip.home.maiki" und "home.maiki" denn sonst mußt du die Hosts in den den Netzen mit doppelten "intern" ansprechen, also z.B. test.iot.home.maiki.intern.intern... wie gesagt der Name ergibt sich aus hostname.subdomain.eigene-domain
Benötige ich nun eine Firewallregel oder eine Weiterleitung, oder beides ?
Die Firewallregel wird benötigt um die ARF-Grenzen zu überwinden. Der DNS-Server beachtet die Firewallregeln und löst die Adresse nicht auf, wenn der Zugriff auf eine Adresse aufgrund der Routing-Tags verboten ist. Diese Regel hast du aber schon, dnn sonst könntest du gar nicht auf die Hosts in den anderen ARF-Netzen zugreifen. (ich hatte das nur der Vollständigkeit erwähnt - und nicht erwartet, daß es für neue Verwirrung sorgt)

Du brauchst keine Weiterleitung - nein: da *darfs* auch keine Weiterleitung einrichten... In dem anderen Tread ging es darum einen expliziten DNS-Server, der in einem anderen ARF-Netz steht, zu nutzen.

Gruß
Backslash
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

Re: DNS Auflösung in ARF Netze

Beitrag von maiki »

Hi backslash,

leider funktioniert es nicht. ich habe folgende Firewall Regel erstellt:

Code: Alles auswählen

Name                              Prot.       Source                                    Destination                               Action                                    Linked      Prio   Firewall-Rule  VPN-Rule   Stateful  Src-Tag    Rtg-tag  Comment
==================================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ALLOW-INTRANET->IOT               ICMP        %A192.168.19.118 ALLOW-IOT                DNS HTTPS HTTP %LIOT                      ACCEPT                                    No          10     Yes            No         Yes       1          3
Hiermit ist der Zugriff vom Intranet mit Tag 1 auf das Netz IOT mit Tag 3 möglich. Allerdings geht die DNS Auflösung nicht. Mache ich ein nslookup auf eine Eintrag in der Stationstabelle kommt in DNS Trace immer noch die Meldung "Request filtered". Mache ich ein nslookup auf eine Station, welche in der Tabelle des DHCP Daemon steht, kommt die Meldung "Not found in local DNS database, query to own domain => not forwarded"

Was muss ich tun, damit es funktioniert.

LG Maik
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS Auflösung in ARF Netze

Beitrag von backslash »

Hi maiki
ich habe folgende Firewall Regel erstellt:
(...)
"DNS" kannst du dir in der Regel sparen, denn du willst ja keine DNS-Anfragen in das Netz schicken...

Mache ich ein nslookup auf eine Eintrag in der Stationstabelle kommt in DNS Trace immer noch die Meldung "Request filtered"
das sollte aber aufgrund der Firewallregel erlaubt sein - "Request filtered" heißt ja gedade, daß der Name gefunden wurde, die Auflösung dem anfragenden aber nicht mitrgeteilt werden dart.
Mache ich ein nslookup auf eine Station, welche in der Tabelle des DHCP Daemon steht, kommt die Meldung "Not found in local DNS database, query to own domain => not forwarded"
das heißt dann aber, daß du dem DNS-Server nicht erlaubt hast, die DHCP-Namen auszuwerten...
Was muss ich tun, damit es funktioniert.
als erstes das Häkchen bei IPv4 -> DNS -> Auflösung von Stationsnamen -> Adressen von DHCP-Clients auflöen setzen

Du hast nicht zufällig IPv6 aktiv und dein PC stellt die DNS-Anfrage per IPv6? In dem Fall gereift die Firewallregel (die prüft ja nur IPv4) nicht und die Auflösung scheitert... Da hilft dir dann nur noch das Intranet mit dem Tag 0 zu versehen - was dann aber natürlich heißt, daß du den Zugriff auf die anderen Netze per Firewallregel einschänken mußt, wenn nicht jeder aus dem Intranet auf die anderen Netze zugreifen soll

Gruß
Backlash
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

Re: DNS Auflösung in ARF Netze

Beitrag von maiki »

Hi Backslash,

danke für deine Geduld, der Haken bei den Stationsnamen -> Adressen von DHCP Clienten ist gesetzt. Die Auflösung "innerhalb" der ARF Netzwerkes funktioniert ja auch, nur halt nicht über die ARF Grenzen hinweg. Ja ich habe ipv6 im Einsatz, aber die Anfrage kommt über IPV4.

Zum Test habe ich mein Problem im Lancom vrouter einmal konfiguriert. Sprich 3 Netzwerke mit unterschiedlichen Schnittstellentags, die Firewallregel und einige Einträge in der Stationstabelle. Und auch dort funktiniert es über die ARF Grenze nicht. Darf ich Dir die vrouter Konfiguration einmal zukommen lassen ?

Vielen Dank

Maik
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS Auflösung in ARF Netze

Beitrag von backslash »

Hi maiki,
Darf ich Dir die vrouter Konfiguration einmal zukommen lassen ?
kannst du mir gerne als PM schicken - am besten zusammen mit der DHCP-Liste...
Denn wenn es nur ein Problem mit der Sichtbarkeit gäbe, dann müßte ja auch bei der Abfrage des DHCP-Namens ein "Request fltered" kommen und kein "Not found in local DNS database"

Gruß
Backslash
Antworten