Firewallregel mit Dyndns

beule · Beitrag von **beule** » 24 Nov 2009, 14:13

Kann man in einer Firewallregel den Zugriff so einstellen das nur mustermann.homeip.net und port 4711 durchlaß bekommt?

Beitrag von **LoUiS** » 24 Nov 2009, 14:34

Hi,

ein Paket im Internet kommt ja mit seiner Absender IP Adresse am LANCOM an und nicht mit dem Absender "mustermann.homeip.net".
Da muesste dann das LANCOM ggf. bei jedem eingehenden Paket erst mal eine DNS Aufloesung machen (je nach dem wie lang oder kurz die TTL des DynNDS ist) um zu pruefen ob die aufgeloeste IP des DynDNS gerade zu der Absender IP im Paket passt.
Ich denke das ist auf diesem Weg nicht zu realisieren.

Ciao
LoUiS

beule · Beitrag von **beule** » 24 Nov 2009, 14:36

schade
ich dachte so an reverse lookup

oder ist es möglich einem rechner mit dyndns den zugang zu gewähren alles andere aber nicht

tbc233 · Beitrag von **tbc233** » 24 Nov 2009, 18:21

LoUiS hat geschrieben: ein Paket im Internet kommt ja mit seiner Absender IP Adresse am LANCOM an und nicht mit dem Absender "mustermann.homeip.net".
Da muesste dann das LANCOM ggf. bei jedem eingehenden Paket erst mal eine DNS Aufloesung machen (je nach dem wie lang oder kurz die TTL des DynNDS ist) um zu pruefen ob die aufgeloeste IP des DynDNS gerade zu der Absender IP im Paket passt.
Ich denke das ist auf diesem Weg nicht zu realisieren.

Naja, so betrachtet hätten wir im VPN Umfeld ja das selbe Problem, wäre nicht Lancom der einzig mir bekannte Hersteller (und da bin ich sehr dankbar), der die Hostnamen seiner VPN Gegenstellen regelmäßig im DNS abfrägt und es so möglich macht, stabile Tunnel (da dabei laut Trace auch die TTL berücksichtigt wird) zwischen den wildesten DynDNS Konstrukten aufzubauen.

Ich fänds echt toll und das befindet sich auch schon lange auf meiner Wunschliste, wenn man das bei Firewall Regeln auch so machen könnte. Also sobald man einen Hostnamen in einer Regel verwendet wird dieser so wie bei den VPN Gegenstellen regelmäßig im Hintergrund aufgelöst und steht daher der Regel selbst jederzeit (so aktuell es halt die TTL und die Cache-Mechanismen des DNS zulassen) der Firewallregel selbst als IP zur Verfügung. Das wär der Hammer wenn das mal ginge.

filou · Beitrag von **filou** » 24 Nov 2009, 18:34

War schonmal ein Feature-Wusch von mir

http://www.lancom-forum.de/topic,7617,- ... ation.html

beule · Beitrag von **beule** » 24 Nov 2009, 18:40

Ach ja da sind wir doch schon drei die diesen Wunsch haben und ich kenne noch so ein paar mehr die das gerne hätten.
Ich werde morgen mal mit dem Support sprechen.
Ob's was bringt ? Ich werde berichten.

Jirka · Beitrag von **Jirka** » 25 Nov 2009, 16:58

Hallo Michael,

tbc233 hat geschrieben:Naja, so betrachtet hätten wir im VPN Umfeld ja das selbe Problem, wäre nicht Lancom der einzig mir bekannte Hersteller (und da bin ich sehr dankbar), der die Hostnamen seiner VPN Gegenstellen regelmäßig im DNS abfrägt und es so möglich macht, stabile Tunnel (da dabei laut Trace auch die TTL berücksichtigt wird) zwischen den wildesten DynDNS Konstrukten aufzubauen.

Das sieht auf den ersten Blick so aus. Mache mal folgendes: Alle VPN-Strecken sind aufgebaut. Nun änderst Du manuell einen DynDNS-Namen einer Gegenseite direkt beim Anbieter, z. B. im Account-Bereich bei DynDNS. Dann überprüfst Du z. B. mit nslookup ob die Änderung erfolgreich war. Wie Du siehst (evt. auch erst nach Ablauf der TTL), wird nun auf eine andere IP aufgelöst. Was macht der LANCOM? Löst im Trace schön den Namen auf, aber ändert nichts. Es bleibt alles wie es ist. Warum der LANCOM im Hintergrund ständig den Namen auflöst, ich weiß es nicht. Fakt ist, erst wenn die VPN-Strecke nicht mehr steht, löst er den Namen nochmals auf und versucht einen Neuaufbau. Falls mir jemand den Hintergrund erklären könnte, wäre ich sehr dankbar.

Viele Grüße,
Jirka

tbc233 · Beitrag von **tbc233** » 25 Nov 2009, 17:15

Witzig, da ich bisher immer die meldungen im trace gesehen habe, dass die auflösung durchgeführt wurde, bin ich bisher immer davon ausgegangen, dass diese dann auch dem konkreten Zweck zugeführt werden

Aber immerhin löst er *irgendwann* mal neu auf. Bei einem Cisco zum Beispiel wird der Hostname einmal aufgelöst (nämlich beim konfigurieren) und dann nie wieder.

Starmanager · Beitrag von **Starmanager** » 30 Nov 2009, 06:38

Warum verwendest Du nicht um Sicher zu gehen einen VPN Tunnel? Kostet nicht die Welt und Du bist auf jeden Fall auf der sicheren Seite.

MFG

Starmanager

backslash · Beitrag von **backslash** » 30 Nov 2009, 16:29

Hi Jirka

Was macht der LANCOM? Löst im Trace schön den Namen auf, aber ändert nichts.

das ist aber ein Fehler und wurde früher auch nicht gemacht... In der 7.80 wird das nun auch wieder unterdrückt... Schließlich ist es völlig unsinnig, den Namen aufzulösen, wenn der Tunnel besteht. Das erzeugt nur unnötigen Traffic...

Gruß
Backslash

Jirka · Beitrag von **Jirka** » 30 Nov 2009, 21:05

Hallo Backslash,

dankeschön! Dann sind wir uns ja wieder einig.

Viele Grüße,
Jirka