DNS-Weiterleitung, falsche Absender-Adresse des DNS-Servers

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

DNS-Weiterleitung, falsche Absender-Adresse des DNS-Servers

Beitrag von Bernie137 »

Hallo,

zwei ARF-Netze mit Tag 24 (Routing, Schnittstelle, VLAN) sind per VPN verbunden. In der Zentrale sitzt der DNS Server für die Namensauflösung für dieses Filial Netz. DNS Anfragen aus dem Filialnetz 172.24.4.0/23 werden an den Filal Router 172.24.4.1 geschickt. Dieser soll die Anfragen an 172.24.0.2/23 in der Zentrale weiter leiten. Dabei passiert dieses Problem:

Code: Alles auswählen

[DNS] 2019/08/19 09:27:09,146  Devicetime: 2019/08/19 09:27:13,214
DNS Rx (172er): Src-IP 172.24.5.20, RtgTag 24
Transaction ID: 0xe180
Flags: 0x0100 (Standard query, No error)
Queries
  lancom-systems.de: type A, class IN

STD A for lancom-systems.de
DnsGetDest: Match found: forwarding lancom-systems.de to 172.24.0.2
Not found in local DNS database => forward to next server

[DNS] 2019/08/19 09:27:09,146  Devicetime: 2019/08/19 09:27:13,214 [info] : 
using DNS server 172.24.0.2

[VPN-Packet] 2019/08/19 09:27:09,196  Devicetime: 2019/08/19 09:27:09,324
no policy found on ZENTRALE  for: 10.11.0.1->172.24.0.2   52  UDP port 8273->53
-->IPv4 Header
Version             : 4
Header Length       : 20
ToS/DSCP            : (0xc0) (Precedence 6) / (DSCP CS6)
Total length        : 52
ID                  : 57034
Fragment            : Offset 0
TTL                 : 64
Protocol            : UDP
Checksum            : 58632 (OK)
Src Address         : 10.11.0.1
Dest Address        : 172.24.0.2
-->UDP Header
Src Port            : 8273
Dest Port           : DNS
Length              : 32
Checksum            : 5128 (OK)
-->DNS Packet
ID                  : 15283
Type                : Standard Recursion-Desired Query
Query Records       : 1
Answer Records      : 0
Name Server Records : 0
Additional Records  : 0
-->DNS Query Record
Name                : lancom-systems.de
Type                : A (Host address)
Class               : IN (Internet)
Das Problem ist "no policy found on ZENTRALE for: 10.11.0.1->172.24.0.2 52 UDP port 8273->53". Die 10.11.0.1/16 ist ebenfalls die lokale IP des Filial Routers, eben nur vom falschen Netz.

Code: Alles auswählen

> ls /Setup/TCP-IP/Network-list/

Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment
==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------
INTRANET          10.11.0.1        255.255.0.0      0        LAN-1               loose          Intranet  0        local intranet
DMZ               0.0.0.0          255.255.255.0    0        LAN-1               loose          DMZ       0        demilitarized zone
172er             172.24.4.1       255.255.254.0    24       LAN-1               loose          Intranet  24

Code: Alles auswählen

> ls /Setup/DNS/DNS-Destinations/

Domain-name                                                       Rtg-tag  Destination
===========================================================================--------------------------------------------------------------------------------
*.meine.domain                                                    0        10.10.1.1, 10.10.1.2
*                                                                 24       172.24.0.2
Wie bekomme ich den Lancom DNS Server dazu, dass er mit seiner richtigen Adresse 172.24.4.1 die Anfrage weiter leitet?

Gruß Bernie
Man lernt nie aus.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS-Weiterleitung, falsche Absender-Adresse des DNS-Servers

Beitrag von backslash »

Hi Bernie137,
Wie bekomme ich den Lancom DNS Server dazu, dass er mit seiner richtigen Adresse 172.24.4.1 die Anfrage weiter leitet?
woher soll das LANCOM wissen, daß die 172.24.4.1 die richtige Absender-Adresse für Weiterleitungen an die 172.24.0.2 ist. Das mußt du ihm schon explizit sagen, indem du für die Weiterleitung zur 172.24.0.2 eine passende Adresse (bzw. das passende ARF-Netz) unter IPv4 -> DNS -> Loopback-Adressen einträgst, z.B. :

Code: Alles auswählen

Destination                              Loopback-Address
=========================================---------------------------------------
172.24.0.2                               172er
Achtung: die "Destination-Spalte" muß hier exakt dem entsprechen, was bei den Weiterleitungen als "Gegenstelle" eingetragen ist. Hier wird ein einfacher Stringvergleich gemacht.

Gruß
Backslash
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: DNS-Weiterleitung, falsche Absender-Adresse des DNS-Servers

Beitrag von Bernie137 »

Halo Backslash,

danke für Deine Antwort und Erklärung.
woher soll das LANCOM wissen, daß die 172.24.4.1 die richtige Absender-Adresse für Weiterleitungen an die 172.24.0.2 ist. Das mußt du ihm schon explizit sagen,
Das leuchtet mir ein. Ich habe es nun so konfiguriert...

Code: Alles auswählen

> ls /Setup/DNS/DNS-Destinations/

Domain-name                                                       Rtg-tag  Destination                                                              
===========================================================================--------------------------------------------------------------------------------
*                                                                 24       172.24.0.2                                                               

Code: Alles auswählen

> ls /Setup/DNS/Loopback-Addresses/

Destination                              Loopback-Address
=========================================---------------------------------------
172.24.0.2                               172.24.4.1
auch hatte ich als Loopback-Address mal das ARF-Netz aus der DropDown ausgewählt, das ändert nix. DNS Auflösung funktioniert nicht. Ich erhalte wieder diese Traceausgaben:

Code: Alles auswählen

[DNS] 2019/08/20 10:18:35,499  Devicetime: 2019/08/20 10:18:42,408
DNS Rx (BEWOHNER): Src-IP 172.24.5.20, RtgTag 24
Transaction ID: 0x6820
Flags: 0x0100 (Standard query, No error)
Queries
  lancom-systems.de: type AAAA, class IN

STD AAAA for lancom-systems.de
DnsGetDest: Match found: forwarding lancom-systems.de to 172.24.0.2
Not found in local DNS database => forward to next server

[DNS] 2019/08/20 10:18:35,499  Devicetime: 2019/08/20 10:18:42,408
DNS Rx (BEWOHNER): Src-IP 172.24.5.20, RtgTag 24
Transaction ID: 0x0c3a
Flags: 0x0100 (Standard query, No error)
Queries
  lancom-systems.de: type A, class IN

STD A for lancom-systems.de
DnsGetDest: Match found: forwarding lancom-systems.de to 172.24.0.2
Not found in local DNS database => forward to next server

[VPN-Packet] 2019/08/20 10:18:35,499  Devicetime: 2019/08/20 10:18:42,409
no policy found on ZENTRALE  for: 10.11.0.1->172.24.0.2   63  UDP port 8678->53
-->IPv4 Header
Version             : 4
Header Length       : 20
ToS/DSCP            : (0xc0) (Precedence 6) / (DSCP CS6)
Total length        : 63
ID                  : 2208
Fragment            : Offset 0
TTL                 : 64
Protocol            : UDP
Checksum            : 47912 (OK)
Src Address         : 10.11.0.1
Dest Address        : 172.24.0.2
-->UDP Header
Src Port            : 8678
Dest Port           : DNS
Length              : 43
Checksum            : 24876 (OK)
-->DNS Packet
ID                  : 17391
Type                : Standard Recursion-Desired Query
Query Records       : 1
Answer Records      : 0
Name Server Records : 0
Additional Records  : 0
-->DNS Query Record
Name                : lancom-systems.de
Type                : AAAA (IPv6 address)
Class               : IN (Internet)

[VPN-Packet] 2019/08/20 10:18:35,499  Devicetime: 2019/08/20 10:18:42,409
no policy found on ZENTRALE  for: 10.11.0.1->172.24.0.2   63  UDP port 16365->53
-->IPv4 Header
Version             : 4
Header Length       : 20
ToS/DSCP            : (0xc0) (Precedence 6) / (DSCP CS6)
Total length        : 63
ID                  : 2211
Fragment            : Offset 0
TTL                 : 64
Protocol            : UDP
Checksum            : 47909 (OK)
Src Address         : 10.11.0.1
Dest Address        : 172.24.0.2
-->UDP Header
Src Port            : 16365
Dest Port           : DNS
Length              : 43
Checksum            : 39530 (OK)
-->DNS Packet
ID                  : 1962
Type                : Standard Recursion-Desired Query
Query Records       : 1
Answer Records      : 0
Name Server Records : 0
Additional Records  : 0
-->DNS Query Record
Name                : lancom-systems.de
Type                : A (Host address)
Class               : IN (Internet)

Muss ich dazu noch unter IPv4 -> Loopback-Adressen etwas konfigurieren?

Gruß Bernie
Man lernt nie aus.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS-Weiterleitung, falsche Absender-Adresse des DNS-Servers

Beitrag von backslash »

Hi Bernie137,

ich hab's gerade nochmal ausprobiert.... Du stolperst vermutlich darüber, daß du mit verschiednen Routing-Tags arbeitest. Am einfachsten erzwingst du sowohl in der Weiterleitung als auch bei den Loopback-Adressen ein Routing-Tag, indem du an das Weiterleitungs-Ziel in beiden Tabellen das Tag mittels '@' anhängst, also 172.24.0.2@24, wenn das Netz über das Tag 24 erreichbar sein soll:

Code: Alles auswählen

> ls /Setup/DNS/DNS-Destinations/

Domain-name                                                       Rtg-tag  Destination                                                              
===========================================================================--------------------------------------------------------------------------------
*                                                                 24       172.24.0.2@24                                                    

Code: Alles auswählen

> ls /Setup/DNS/Loopback-Addresses/

Destination                              Loopback-Address
=========================================---------------------------------------
172.24.0.2@24                            172.24.4.1
damit hat es zumindest bei mir funktioniert

Gruß
Backslash
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: DNS-Weiterleitung, falsche Absender-Adresse des DNS-Servers

Beitrag von Bernie137 »

Hallo Backslash,

vielen Dank für Deine Hilfe und Mühe!
Du stolperst vermutlich darüber, daß du mit verschiednen Routing-Tags arbeitest.
Korrekt!
Am einfachsten erzwingst du sowohl in der Weiterleitung als auch bei den Loopback-Adressen ein Routing-Tag, indem du an das Weiterleitungs-Ziel in beiden Tabellen das Tag mittels '@' anhängst, also 172.24.0.2@24,
Das funktioniert auf Anhieb, besten Dank!

Gruß Bernie
Man lernt nie aus.
Antworten