1781VAW - 10.20 Rel DNS Weiterleitung nicht ok?

[MDCYP]

Hi,

haben einen 1781VAW mit 10.20er Rel Version - VPN zu einem Geschäftspartner und DNS Weiterleitung für bestimmte Domains aktiv.

also z.B.

*.int.net.blabla.com 10.71.0.1

Wir haben jetzt seit der 10.20 FW das Problem, dass diese DNS Weiterleitung nicht mehr funktioniert - kann das jm bestätigen?

Auf einem Linux System hier im Netz klappt allerdings ein dig @10.71.0.1 pw.int.net.blabla.com problemlos - die VPN läuft auch ohne Probleme, nur der LANCOM leitet die DNS Anfragen nicht richtig weiter?

[backslash]

Hi MDCYP,

prinzipiell funktioniert das... Es gibt aber mehrere Möglichkeiten woran das scheitern kann, z.B.

• du hast mehrere LAN-Nerte, die nicht alle in den VPN-Tunnel geroutet werden. Hier könnte sich der DNS-Forwarder für die weiteregeleiteten Pakete eine Quelladresse aussuchen, für die es keine IPSec-Policiy gibt. Aber da sollte sich eigentlich nichts geändert haben
• das weiterleitende LANCOM arbeitet als Configmode-Client - hier gibt tatsächlich es einen Fehler, durch den die Configmode-Adresse nicht als Quelladresse ausgewählt wird

In beiden Fällen kannst du als Workarround dem VPN-Interface über die IP-Parameterliste eine Adresse zuweisen, die zu den Policies paßt.

Gruß
Backslash

[MDCYP]

Danke für dein Feedback - meinst du die "Extranet" VPN IP für diese VPN Verbindung? Weil die haben wir - sprich bei der VPN Verbindung haben alle unsere Verbindungen diese Externe IP. Die IP ist dann aus einem /29 Bereich, die uns der GP gegeben hat.

[backslash]

Hi MDCYP,

ja, das gilt auch für die Extranet-Adresse - nur gibt es da (anders als für den Config-Mode) noch keinen Fix. Ich hab gerade einen Bugeintrag dazu erstellt...

Da die Extranet-Adresse als solches eh ein Auslaufmodell ist (im IKEv2 gibt es sie schon nicht mehr), solltest du die Konfiguration ggf. manuell komplett umstellen und für alle betroffenen VPN-Verbindungen einen Eintrag in der IP-Parameterliste machen und die die Maskierungs-Option in der Routing-Tabelle setzen...

Gruß
Backslash

[backslash]

Hi MDCYP,

funktioniert das mit der aktuellen Firmware (10.20RU1 - seit gerade auf dem FTP) wieder?

Gruß
Backslash

[MDCYP]

Ich teste es morgen mal

[MH76]

Hallo zusammen,
das beschriebene Problem tritt bei mir auch auf, allerdings erst mit LCOS10.20.0259RU1!
Nach Rollback auf LCOS10.20.0175Rel funktioniert wieder alles normal.
Betrifft bei mir LANCOM 1781AW, 1783VA, 1781VAW, 17181EW+

Wer hat noch das Problem mit der neusten FW? Gibt es bereits eine Lösung?

Ergänzung vom 09.12.:

...
In beiden Fällen kannst du als Workarround dem VPN-Interface über die IP-Parameterliste eine Adresse zuweisen, die zu den Policies paßt.
...

@backslash

Das Problem tritt bei mir erst reproduzierbar mit der RU1 Version auf.
Der von Dir beschriebene Workaround (IP in der Parameterliste fixieren) wirkt, damit klappt die Weiterleitung von LAN über WAN wieder.
Schön wäre es natürlich, wenn es reguläre Lösung geben würde, welche auf Basis der Herkunft des lokalen Netzes auch die "Absendeadresse" der Weiterleitung bestimmt.

Allerdings haben wir auch LAN interne Weiterleitungen auf entsprechende DNS Server aktiv. Diese hatte ich aber bislang nicht in den Funktionstests nach Update überprüft und meiner Wahrnehmung nach funktionierte diese in der Vergangenheit. Allerdings funktioniert diese weder mit der RU1 noch Rel von der 10.20. .. ich versuche demnächst in einem Wartungsfenster noch mal eine ältere FW einzuspielen und das zu verifizieren.
(Meldung von nslookup "non-existing domain" .. sehr kurios..)
Da diese lokal/lokal Weiterleitung in der Regel von uns eher wenig bis gar nicht genutzt wird ist es nicht so wichtig, aber sollte doch eigentlich funktionieren. Oder?
Bei den lokalen DNS Weiterleitungen haben wir dazu wie auch für WAN Weiterleitungen einfach einen gleichen Eintrag angelegt.
(*.domain.local - R-tag 0 - IP-Adresse des DNS Servers im selben LAN des Routers)

[backslash]

Hi MH76,

das beschriebene Problem tritt bei mir auch auf, allerdings erst mit LCOS10.20.0259RU1!

da kann das Problem definitiv nicht mehr auftreten. Das muß ein anderes Problem sein - insbesondere wenn du schreibst, daß es in der 10.20Rel nicht vorhanden war.

Schön wäre es natürlich, wenn es reguläre Lösung geben würde, welche auf Basis der Herkunft des lokalen Netzes auch die "Absendeadresse" der Weiterleitung bestimmt.

nein! Die Absenderadresse ist einzig abhängig vom Weiterleitungsziel - nämlich die Adresse des LANCOMs, die dem Ziel am nächsten liegt. Alles andere macht keinen Sinn. (Auch eine manuell konfigurierte Absenderadresse gilt für das jeweilige Weiterleitungsziel)

Meldung von nslookup "non-existing domain" .. sehr kurios..

das kommt aber vom DNS-Server, an den die Anfrage (korrekt) weitergeleitet wurde und hat nichts mit dem LANCOM zu tun

Gruß
Backslash

[Hagen2000]

Hallo zusammen,

ich hänge mich hier mal dran, da bei uns ähnliche Symptome nach Update auf 10.20.0259RU1 vom 16.11.2018 aufgetreten sind. Die Clients im Netz melden, das die DNS-Auflösung fehlschlägt. Außerdem startet der Router alle paar Minuten von sich aus neu. Nach Rückstellen auf die vorige Firmware 10.12.0292RU6 ist wieder alles stabil (wie im übrigen auch die ganzen Monate zuvor). Aus meiner Sicht scheint die aktuelle Firmware instabil zu sein. Ich bitte um Info, wenn es einen Fix gibt bzw. Tipps, wie der Fehler weiter eingekreist werden kann.

Wir setzen einen LANCOM 1781VA ein.

[backslash]

Hi Hagen,

nochmal: Der hier beschriebene Fehler *IST* gefixt und zwar bereits in der RU1

Gruß
Backslash

[Hagen2000]

Hallo backslash,

Danke für die Klarstellung, dann mach ich mal einen neuen Thread auf wegen der automatischen Neustarts.