1711 VPN - DNS Filter greift nicht

[TiTux]

Servus,

wir haben ein klassisches Windows 2003 Netz mit Domäne. Wir gehen über
einen Lancom 1711 VPN ins Internet.

Nun wollte ich den DNS-Filter für URL-Blocking benutzen. Ich habe das folgendermaßen eingetragen,
aus Testzwecken habe ich meine eigene IP
genommen (Die stimmt auch definitiv, auch die Netzmaske):



Ich bestätige alles mit OK und er schreibt die Änderung in das Gerät.
Wenn ich jetzt am Client die URL aufrufe, kann ich sie trotzdem auflösen.

Was habe ich noch vergessen?

Gruß
TiTux

[backslash]

Hi TiTux

(Die stimmt auch definitiv, auch die Netzmaske):

das kann letztendlich nicht sein, denn wenn die Netzmaske stimmen würde, dann müßte die Adresse 192.168.33.0 sein. Wenn die Adresse stimmt, dann muß die Netzmakse 255.255.255.255 sein. Ist aber egal, weil die Adresse vor dem Vergleich auch mit der Maske bearbeitet wird...

Was habe ich noch vergessen?

auf dem Client den DNS-Cache zu löschen (bei Windows geht das mit ipconfig /flushdns)

Gruß
Backslash

[TiTux]

Warum sollte die Netzmaske nicht korrekt sein?!

Ipconfig /flushdns hatte ich auch schon ausgeführt.

Ausserdem hatte ich die Adresse auch folgendermaßen eingegeben,
um es grundsätzlich zu testen:

IP-Adresse: 0.0.0.0
Netzmaske: 0.0.0.0

Diese Einstellung gilt ja dann für alle Rechner im Netz.
Hatte aber den gleichen Effekt und es ging nicht.

[MoinMoin]

Moin, moin!

Gib doch mal deine DNS-Filterliste auf der Konsole aus: ls /Setup/DNS/Filter-List

Ciao, Georg

[TiTux]

admin@GBT-DSL-3000:/
> ls /Setup/DNS/Filter-List

Idx. Domain IP-Address Netmask
--------------------------------------------------------------------------------------------------------
0001 www.xing.com 192.168.33.105 255.255.255.0
0002 www.xing.de 0.0.0.0 0.0.0.0

admin@GBT-DSL-3000:/

[LoUiS]

Hi,

und wenn Du nun noch, waehrend Du eine DNS Anfage sendest, noch einen DNS Trace (tr # dns) auf dem LANCOM machst, wuerdest Du auch sehen ob das LANCOM die Anfrage verwirft oder weiterleitet. Mit diesen Eintragen in der Filterliste wuerde ich aber bei einer Anfrage genau an "www.xing.de" oder ".com" auf verwerfen tippen.


Ciao
LoUiS

P.S.: Ich lede diese Filter immer in diesem Format an:

Code: Alles auswählen

Domäne      IP-Adresse   Netzmaske 
*.xing.com  0.0.0.0      0.0.0.0
*xing.com   0.0.0.0      0.0.0.0

[TiTux]

Servus,

im Dateianhang habe ich das Ergebnis des Traces mal angehängt.

[LoUiS]

Hi,

Wunderbar, geht doch alles. In dem Trace wird die DNS Anfrage mehrfach wie gewuenscht gefiltert.

[DNS] 1900/01/02 02:48:20,050
DNS Rx (LAN-1, INTRANET): Src-IP 192.168.33.105
Query Request: STD A for www.xing.com
Request filtered


Ciao
LoUiS

[TiTux]

Tja,

aber warum komme ich dann trotzdem auf www.xing.com drauf?
Wenn er die Anfrage doch verwirft, sollte das doch nicht funktionieren?!

Ciao
TiTux (der wohl auf dem Schlauch steht)

[LoUiS]

Hi,

weil der DNS Cache Deines Clients scheinbar doch nicht leer ist, oder Dein Client ggf. noch einen weiteren DNS Server befragt.


Ciao
LoUiS

[TiTux]

Hi,

also der DNS Cache am Client war leer. Allerdings befragen wir wirklich
noch einen zweiten DNS Server (Microsoft DNS-Server), nämlich unseren eigenen von der Active
Directory Domäne. Aber der macht doch nur die interne DNS-Auflösung
und gibt alles was ins Internet geht an den Lancom weiter.

Den haben wir auch an erster Stelle stehen, was die DNS-Auflösung angeht,
da ja zuerst der interne DNS abgerufen werden muss.

Den hatte ich dann mal Testweise raus genommen und dann klappte das
auch mit dem Filter.

Wie machen wir das jetzt am besten, damit ich beide DNS-Server drin stehen
lassen kann und der Filter trotzdem funktioniert? Ich müsste ja wohl am
Microsoft DNS-Server einstellen, dass er nicht nach extern auflöst und das
immer dem Lancom überlässt.

Hat da noch jemand einen Tipp?

Ciao
TiTux