Hallo zusammen,
ähnlich, wie im Thread viewtopic.php?f=41&t=15846&p=88642&hili ... etz#p88642
beschrieben habe ich 3 Netze:
Intranet 192.168.19.1 Tag 1
VOP. 192.168.20.1 Tag 2
IOT 192.168.21.1 Tag 3
Der Router ist ein 1783VA mit aktueller 10.32RU4
diese 3 ARF Netze sind getrennt und sollen es grundsätzlich auch bleiben. Nun ist es aber so, daß im Intranet ein Monitoring System betrieben wird, welches auch einzelne Geäte im VOIP und IOT Netz überwachen soll. Hierzu habe ich eine Firewall Regel erstellt, welche die Pakete entsprechenden markiert. Dies funktioniert auch soweit. Ich kann die entsprechenden Geräte im VOIP und IOT Netz über die IP Adresse erreichen.
Leider funktioniert die DNS Auflösung vom Netz Intranet zu Einträgen im VOIP und IOT Netz nicht. Sodaß ich die Geräte leider nicht über den FQDN ansprechen kann.
Ich habe auch schon eine DNS Weiterleitung wie im obigen Thread beschrieben eingerichtet. Aber auch mit dieser funktioniert es nicht.
Fehlt mir noch eine Firewallregel für die DNS Rückantwort ?
Danke für Eure Hilfe.
LG Maik
DNS Auflösung in ARF Netze
Moderator: Lancom-Systems Moderatoren
Re: DNS Auflösung in ARF Netze
In Deinem Link hat backslash doch eine Antwort gegeben mit der @ Syntax...
Wie kann bei LANCOM Routern eine DNS-Weiterleitung für IPv4 und/oder IPv6 konfiguriert werden?
https://support.lancom-systems.com/know ... d=32988108
10.0.50.1 ist dabei durch IP des DNS-Servers im Netz Share zu ersetzen.
Wie kann bei LANCOM Routern eine DNS-Weiterleitung für IPv4 und/oder IPv6 konfiguriert werden?
https://support.lancom-systems.com/know ... d=32988108
Sprich die @99 hinter der 10.0.50.1 stellt das Routing-Tag dar.
Wenn der oder die DNS Server über ein anderes Routing-Tag erreicht werden sollen, als das Routing-Tag, welches im Weiterleitungs-Dialog konfiguriert ist, muss die IP-Adresse um das Zeichen @ und die Angabe des zu verwendenden Routing-Tag erweitert werden (Beispiel: 8.8.8.8@2).
Probiere es mal aus
Code: Alles auswählen
Ist hingegen das LANCOM der DNS-Server, so mußt du nur eine DNS-Weiterleitung für die internen Domains an den DNS-Server im Netz Shared einrichten:
Domain-name Rtg-tag Destination
--------------- ~ ----------------------------------------
*.sub-domain 0 10.0.50.1@99
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Re: DNS Auflösung in ARF Netze
Hallo ittk,
vielen dank für deine schnelle Antwort. Wie ich bereits geschrieben habe, habe ich es so umgesetzt, wie DU es auch vorgeschlagen hast. Aber es geht leider nicht.
ich habe in der DNS Weiterleitung folgendes eingetragen:
Mache ich nun ein nslookup kommt folgender Output
Im DNS Trace am Lancom steht:
Die DNS Anfrage läuft ins Timeout.
Ohne DNS Weiterleitung heraus, ergibt sich folgendes (dies ist für getrennte ARF Netzte ja ok)
Habe ich noch etwas vergessen zu konfigurieren ?
LG Maik
vielen dank für deine schnelle Antwort. Wie ich bereits geschrieben habe, habe ich es so umgesetzt, wie DU es auch vorgeschlagen hast. Aber es geht leider nicht.
ich habe in der DNS Weiterleitung folgendes eingetragen:
Code: Alles auswählen
Domain-name Rtg-tag Destination
*.iot.home.maiki.intern 0 192.168.20.129@3 Code: Alles auswählen
maik@imac-maik ~ % nslookup test.iot.home.maiki.intern
Server: 192.168.19.1
Address: 192.168.19.1#53
** server can't find test.iot.home.maiki.intern: NXDOMAIN
maik@imac-maik ~ % nslookup test.iot.home.maiki.intern
;; connection timed out; no servers could be reachedCode: Alles auswählen
[DNS] 2020/01/04 20:29:42,741 Devicetime: 2020/01/04 20:29:48,062
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x128a
Flags: 0x0100 (Standard query, No error)
Queries
test.iot.home.maiki.intern: type A, class IN
STD A for test.iot.home.maiki.intern
DnsGetDest: Match found: forwarding test.iot.home.maiki.intern to 192.168.20.129@3
Not found in local DNS database => forward to next server
[DNS] 2020/01/04 20:29:42,741 Devicetime: 2020/01/04 20:29:48,063 [info] :
create new source map entry for 192.168.19.118
using DNS server 192.168.20.129
[DNS] 2020/01/04 20:29:42,741 Devicetime: 2020/01/04 20:29:48,063 [info] :
create new source map entry for 192.168.19.118
using DNS server 192.168.20.129
[DNS] 2020/01/04 20:29:48,747 Devicetime: 2020/01/04 20:29:54,071
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x128a
Flags: 0x0100 (Standard query, No error)
Queries
test.iot.home.maiki.intern: type A, class IN
STD A for test.iot.home.maiki.intern
DnsGetDest: Match found: forwarding test.iot.home.maiki.intern to 192.168.20.129@3
Not found in local DNS database => forward to next server
[DNS] 2020/01/04 20:29:54,756 Devicetime: 2020/01/04 20:30:00,079
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x128a
Flags: 0x0100 (Standard query, No error)
Queries
test.iot.home.maiki.intern: type A, class IN
STD A for test.iot.home.maiki.intern
DnsGetDest: Match found: forwarding test.iot.home.maiki.intern to 192.168.20.129@3
Not found in local DNS database => forward to next serverOhne DNS Weiterleitung heraus, ergibt sich folgendes (dies ist für getrennte ARF Netzte ja ok)
Code: Alles auswählen
maik@imac-maik ~ % nslookup test.iot.home.maiki.intern
Server: 192.168.19.1
Address: 192.168.19.1#53
** server can't find test.iot.home.maiki.intern: NXDOMAIN
Code: Alles auswählen
DNS] 2020/01/04 20:21:07,832 Devicetime: 2020/01/04 20:21:13,146
DNS Rx (INTRANET): Src-IP 192.168.19.118, RtgTag 1
Transaction ID: 0x8d43
Flags: 0x0100 (Standard query, No error)
Queries
test.iot.home.maiki.intern: type A, class IN
STD A for test.iot.home.maiki.intern
Not found in local DNS database, query to own domain => not forwardedLG Maik
Re: DNS Auflösung in ARF Netze
Nachtrag
Der Router hat iot Netzwerk die IP Adresse 192.168.20.129. Nicht 192.168.21.1 wie im ersten Post geschrieben.
Der Router hat iot Netzwerk die IP Adresse 192.168.20.129. Nicht 192.168.21.1 wie im ersten Post geschrieben.
Re: DNS Auflösung in ARF Netze
Hi maiki,
Wenn du mit Weierleitungen arbeitest, dann muß unter der jeweiligen Adresse auch ein expliziter DNS-Server stehen... Eine Weiterleitung an das LANCOM (192.168.20.129@3) läuft ins Leere...
Wenn das LANCOM selbst der DNS-Server für die drei Netze sein soll, dann brauchst du keine Weiterleitung, sondern mußt für jedes ARF-Netz einfach nur eine Subdomain ("iot"/"voip"/"intranet") anlegen (zusätzlich zur eigenen Domain "home.maiki.intern") - und natürlich dann auch die Hostnamen in der DNS-Liste anlegen oder auf den Netzen den DHCP-Server aktivieren (dazu müssen dann die jeweilgen Geräte selbst ihren Namen dem DNS-Server übermitteln). Wenn du dann zusätzlich eine Firewallregel hast, die den Zugriff erlaubt, löst der DNS-Server den Namen auch auf.
Da das LANCOM den Namen test.iot.home.maiki.intern nicht findet, aber weiß, daß iot.home.maiki.intern die eigene Domain ist, fehlt dir also nur noch die Abbildung des Hostnamen "test" im Netz "iot" zu seiner IP-Adresse....
Gruß
Backslash
Wenn du mit Weierleitungen arbeitest, dann muß unter der jeweiligen Adresse auch ein expliziter DNS-Server stehen... Eine Weiterleitung an das LANCOM (192.168.20.129@3) läuft ins Leere...
Wenn das LANCOM selbst der DNS-Server für die drei Netze sein soll, dann brauchst du keine Weiterleitung, sondern mußt für jedes ARF-Netz einfach nur eine Subdomain ("iot"/"voip"/"intranet") anlegen (zusätzlich zur eigenen Domain "home.maiki.intern") - und natürlich dann auch die Hostnamen in der DNS-Liste anlegen oder auf den Netzen den DHCP-Server aktivieren (dazu müssen dann die jeweilgen Geräte selbst ihren Namen dem DNS-Server übermitteln). Wenn du dann zusätzlich eine Firewallregel hast, die den Zugriff erlaubt, löst der DNS-Server den Namen auch auf.
Da das LANCOM den Namen test.iot.home.maiki.intern nicht findet, aber weiß, daß iot.home.maiki.intern die eigene Domain ist, fehlt dir also nur noch die Abbildung des Hostnamen "test" im Netz "iot" zu seiner IP-Adresse....
Gruß
Backslash
Re: DNS Auflösung in ARF Netze
Hi backslash,
vielen Dank für deine (wie immer ausführliche und verständliche) Antwort. Hier einige weiter Details
- Der Lancom ist selber DNS Server in allen Netzen
- Der Lancom ist DHCP Server in allen Nezten
- Die DNS Eintrage sind in der DNS Stationstabelle eingetragen bzw. stehen in der DHCP Tabelle
- Die Subdomains iot, voip und home sind eingetragen.
Allerdings ist die Eigene Domain intern und die subdomains lauten
iot.home.maiki.intern, voip.home.maiki.intern und home.maiki.intern. Ich denke dies sollte kein Problem darstellen.
Ich bin jetzt nur etwas verwirrt, bezüglich deiner Ausage ich benötige nur eine Firewallregel für den Zugriff und keine Weiterleitung.
In einem ähnlichen Thread viewtopic.php?f=41&t=15846&p=88642&hili ... etz#p88663 schreibst Du es genau anders herum.
Benötige ich nun eine Firewallregel oder eine Weiterleitung, oder beides ?
LG Maik
vielen Dank für deine (wie immer ausführliche und verständliche) Antwort. Hier einige weiter Details
- Der Lancom ist selber DNS Server in allen Netzen
- Der Lancom ist DHCP Server in allen Nezten
- Die DNS Eintrage sind in der DNS Stationstabelle eingetragen bzw. stehen in der DHCP Tabelle
- Die Subdomains iot, voip und home sind eingetragen.
Allerdings ist die Eigene Domain intern und die subdomains lauten
iot.home.maiki.intern, voip.home.maiki.intern und home.maiki.intern. Ich denke dies sollte kein Problem darstellen.
Ich bin jetzt nur etwas verwirrt, bezüglich deiner Ausage ich benötige nur eine Firewallregel für den Zugriff und keine Weiterleitung.
In einem ähnlichen Thread viewtopic.php?f=41&t=15846&p=88642&hili ... etz#p88663 schreibst Du es genau anders herum.
Benötige ich nun eine Firewallregel oder eine Weiterleitung, oder beides ?
LG Maik
Re: DNS Auflösung in ARF Netze
Hi maiki,
Du brauchst keine Weiterleitung - nein: da *darfs* auch keine Weiterleitung einrichten... In dem anderen Tread ging es darum einen expliziten DNS-Server, der in einem anderen ARF-Netz steht, zu nutzen.
Gruß
Backslash
ich hoffe die subdomains heissen nur "iot.home.maiki", "voip.home.maiki" und "home.maiki" denn sonst mußt du die Hosts in den den Netzen mit doppelten "intern" ansprechen, also z.B. test.iot.home.maiki.intern.intern... wie gesagt der Name ergibt sich aus hostname.subdomain.eigene-domainAllerdings ist die Eigene Domain intern und die subdomains lauten
iot.home.maiki.intern, voip.home.maiki.intern und home.maiki.intern. Ich denke dies sollte kein Problem darstellen.
Die Firewallregel wird benötigt um die ARF-Grenzen zu überwinden. Der DNS-Server beachtet die Firewallregeln und löst die Adresse nicht auf, wenn der Zugriff auf eine Adresse aufgrund der Routing-Tags verboten ist. Diese Regel hast du aber schon, dnn sonst könntest du gar nicht auf die Hosts in den anderen ARF-Netzen zugreifen. (ich hatte das nur der Vollständigkeit erwähnt - und nicht erwartet, daß es für neue Verwirrung sorgt)Benötige ich nun eine Firewallregel oder eine Weiterleitung, oder beides ?
Du brauchst keine Weiterleitung - nein: da *darfs* auch keine Weiterleitung einrichten... In dem anderen Tread ging es darum einen expliziten DNS-Server, der in einem anderen ARF-Netz steht, zu nutzen.
Gruß
Backslash
Re: DNS Auflösung in ARF Netze
Hi backslash,
leider funktioniert es nicht. ich habe folgende Firewall Regel erstellt:
Hiermit ist der Zugriff vom Intranet mit Tag 1 auf das Netz IOT mit Tag 3 möglich. Allerdings geht die DNS Auflösung nicht. Mache ich ein nslookup auf eine Eintrag in der Stationstabelle kommt in DNS Trace immer noch die Meldung "Request filtered". Mache ich ein nslookup auf eine Station, welche in der Tabelle des DHCP Daemon steht, kommt die Meldung "Not found in local DNS database, query to own domain => not forwarded"
Was muss ich tun, damit es funktioniert.
LG Maik
leider funktioniert es nicht. ich habe folgende Firewall Regel erstellt:
Code: Alles auswählen
Name Prot. Source Destination Action Linked Prio Firewall-Rule VPN-Rule Stateful Src-Tag Rtg-tag Comment
==================================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ALLOW-INTRANET->IOT ICMP %A192.168.19.118 ALLOW-IOT DNS HTTPS HTTP %LIOT ACCEPT No 10 Yes No Yes 1 3
Was muss ich tun, damit es funktioniert.
LG Maik
Re: DNS Auflösung in ARF Netze
Hi maiki
Du hast nicht zufällig IPv6 aktiv und dein PC stellt die DNS-Anfrage per IPv6? In dem Fall gereift die Firewallregel (die prüft ja nur IPv4) nicht und die Auflösung scheitert... Da hilft dir dann nur noch das Intranet mit dem Tag 0 zu versehen - was dann aber natürlich heißt, daß du den Zugriff auf die anderen Netze per Firewallregel einschänken mußt, wenn nicht jeder aus dem Intranet auf die anderen Netze zugreifen soll
Gruß
Backlash
"DNS" kannst du dir in der Regel sparen, denn du willst ja keine DNS-Anfragen in das Netz schicken...ich habe folgende Firewall Regel erstellt:
(...)
das sollte aber aufgrund der Firewallregel erlaubt sein - "Request filtered" heißt ja gedade, daß der Name gefunden wurde, die Auflösung dem anfragenden aber nicht mitrgeteilt werden dart.Mache ich ein nslookup auf eine Eintrag in der Stationstabelle kommt in DNS Trace immer noch die Meldung "Request filtered"
das heißt dann aber, daß du dem DNS-Server nicht erlaubt hast, die DHCP-Namen auszuwerten...Mache ich ein nslookup auf eine Station, welche in der Tabelle des DHCP Daemon steht, kommt die Meldung "Not found in local DNS database, query to own domain => not forwarded"
als erstes das Häkchen bei IPv4 -> DNS -> Auflösung von Stationsnamen -> Adressen von DHCP-Clients auflöen setzenWas muss ich tun, damit es funktioniert.
Du hast nicht zufällig IPv6 aktiv und dein PC stellt die DNS-Anfrage per IPv6? In dem Fall gereift die Firewallregel (die prüft ja nur IPv4) nicht und die Auflösung scheitert... Da hilft dir dann nur noch das Intranet mit dem Tag 0 zu versehen - was dann aber natürlich heißt, daß du den Zugriff auf die anderen Netze per Firewallregel einschänken mußt, wenn nicht jeder aus dem Intranet auf die anderen Netze zugreifen soll
Gruß
Backlash
Re: DNS Auflösung in ARF Netze
Hi Backslash,
danke für deine Geduld, der Haken bei den Stationsnamen -> Adressen von DHCP Clienten ist gesetzt. Die Auflösung "innerhalb" der ARF Netzwerkes funktioniert ja auch, nur halt nicht über die ARF Grenzen hinweg. Ja ich habe ipv6 im Einsatz, aber die Anfrage kommt über IPV4.
Zum Test habe ich mein Problem im Lancom vrouter einmal konfiguriert. Sprich 3 Netzwerke mit unterschiedlichen Schnittstellentags, die Firewallregel und einige Einträge in der Stationstabelle. Und auch dort funktiniert es über die ARF Grenze nicht. Darf ich Dir die vrouter Konfiguration einmal zukommen lassen ?
Vielen Dank
Maik
danke für deine Geduld, der Haken bei den Stationsnamen -> Adressen von DHCP Clienten ist gesetzt. Die Auflösung "innerhalb" der ARF Netzwerkes funktioniert ja auch, nur halt nicht über die ARF Grenzen hinweg. Ja ich habe ipv6 im Einsatz, aber die Anfrage kommt über IPV4.
Zum Test habe ich mein Problem im Lancom vrouter einmal konfiguriert. Sprich 3 Netzwerke mit unterschiedlichen Schnittstellentags, die Firewallregel und einige Einträge in der Stationstabelle. Und auch dort funktiniert es über die ARF Grenze nicht. Darf ich Dir die vrouter Konfiguration einmal zukommen lassen ?
Vielen Dank
Maik
Re: DNS Auflösung in ARF Netze
Hi maiki,
Denn wenn es nur ein Problem mit der Sichtbarkeit gäbe, dann müßte ja auch bei der Abfrage des DHCP-Namens ein "Request fltered" kommen und kein "Not found in local DNS database"
Gruß
Backslash
kannst du mir gerne als PM schicken - am besten zusammen mit der DHCP-Liste...Darf ich Dir die vrouter Konfiguration einmal zukommen lassen ?
Denn wenn es nur ein Problem mit der Sichtbarkeit gäbe, dann müßte ja auch bei der Abfrage des DHCP-Namens ein "Request fltered" kommen und kein "Not found in local DNS database"
Gruß
Backslash