Ich bin durch diesen Thread auch auf mein DNS Problem aufmerksam geworden, welches ich bislang ignorierte, da nicht ganz so wichtig....
Folgende Umgebung:
LC1722 <-> ISA 2006 Server <-> W2K3 DC
Vom 1722 geht ein VPN zu einem anderen Netzwerk mit DC und diese DNS Domian habe ich auf meinem DC als Weiterleitung eingetragen.
Pinge ich nun von meinem DC den anderen DC mit Namen an geht die DNS Anftage vom ISA zum 1722 und der 1722 sendet ein Destination Unreachable. Ob wohl ich aber die IP anpingen kann.
Pinge ich vom ISA aus den DC mit Namen an (auf diesem ist ebenfalls ein DNS Server der auch eine Weiterleitung hat) kommt sofort eine Antwort.
Schalte ich in der Firewall das DoS auf Übertragen, kommt bei einer Anfrage auch ein DNS Name zurück. Komischer weise verhält sich das ganze nach dem ich das wieder auf Verwerfen gestellt habe immer noch genauso. (habe DNS Server neugestartet und ipconfig /flushdns gemacht)
Gruß
Stefan
DNS Aufloesung (Subnet) seit FW Update auf 7.20 gestört.
Moderator: Lancom-Systems Moderatoren
Hallo Raudi,
habe eben auch mal IDS und DoS auf übertragen gestellt. Läuft immer noch nicht so wie es soll. In dem Log der Firewall standen vorher bei mir einige Einträge mit
"DoS protection - ICMP Paket von 192.168.4.2:0 nach 192.168.4.2:0 - Paket verworfen" drin.
Jetzt stehen diese als
"DoS protection - ICMP Paket von 192.168.4.2:0 nach 192.168.4.2:0 - Paket übertragen" drin - funktionieren tuts aber immer noch nicht.
Internet ohne richtig funktionierenden DNS ist echt übel...
Gruß
gm
habe eben auch mal IDS und DoS auf übertragen gestellt. Läuft immer noch nicht so wie es soll. In dem Log der Firewall standen vorher bei mir einige Einträge mit
"DoS protection - ICMP Paket von 192.168.4.2:0 nach 192.168.4.2:0 - Paket verworfen" drin.
Jetzt stehen diese als
"DoS protection - ICMP Paket von 192.168.4.2:0 nach 192.168.4.2:0 - Paket übertragen" drin - funktionieren tuts aber immer noch nicht.
Internet ohne richtig funktionierenden DNS ist echt übel...
Gruß
gm
-
Raudi
- Beiträge: 577
- Registriert: 16 Jul 2005, 18:25
- Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen
Nein leider nicht, der Support scheint etwas überlastet zu sein... Ein Kunde hat auch am Montag eine Mail hin geschickt und noch keine Antwort bekommen. Aber das Problem habe ich heute dort zum Glück beseitigen können.
Scheinen sich doch noch einige Bugs eingeschlichen zu haben... Heute habe ich festgestellt, das man in der Port Forwarding Tabelle z.B. den Port 61000 nicht benutzen kann, aber der Port 51000 funktioniert noch. Ich hatte angenommen, das man Ports bis 65535 verwenden kann... Das der Port 61000 nicht funktioniert, das wusste selbst der Support noch nicht...
Zur Zeit muss man einfach ein bischen Nachsicht mit den Jungs haben, die machen zur Zeit bestimmt auch viel Überstunden und geben sich schon die größte Mühe...
Gruß
Stefan
Scheinen sich doch noch einige Bugs eingeschlichen zu haben... Heute habe ich festgestellt, das man in der Port Forwarding Tabelle z.B. den Port 61000 nicht benutzen kann, aber der Port 51000 funktioniert noch. Ich hatte angenommen, das man Ports bis 65535 verwenden kann... Das der Port 61000 nicht funktioniert, das wusste selbst der Support noch nicht...
Zur Zeit muss man einfach ein bischen Nachsicht mit den Jungs haben, die machen zur Zeit bestimmt auch viel Überstunden und geben sich schon die größte Mühe...
Gruß
Stefan
Hallo Stefan,
Viele Grüße,
Jirka
Verständlich, wenn plötzlich alle an den Support schreiben, oder?der Support scheint etwas überlastet zu sein...
Das bleibt sicher nicht ganz aus. Bisherige Funktionalitäten sind davon aber meist nicht betroffen.Scheinen sich doch noch einige Bugs eingeschlichen zu haben...
Das wird sicherlich in der jetzt vergrößerten NAT-Tabelle begründet sein. Mit dem vermutlichen Ergebnis, dass jetzt der Portbereich von 57344 bis 61439 für das Maskieren der Internetverbindung verwendet wird... und somit dem Portforwarding nicht mehr zur Verfügung steht. Der Support wurde darüber wahrscheinlich noch nicht informiert.Heute habe ich festgestellt, das man in der Port Forwarding Tabelle z.B. den Port 61000 nicht benutzen kann, aber der Port 51000 funktioniert noch. Ich hatte angenommen, das man Ports bis 65535 verwenden kann... Das der Port 61000 nicht funktioniert, das wusste selbst der Support noch nicht...
Du hast es erfasst.Zur Zeit muss man einfach ein bischen Nachsicht mit den Jungs haben, die machen zur Zeit bestimmt auch viel Überstunden und geben sich schon die größte Mühe...
Viele Grüße,
Jirka
Zuletzt geändert von Jirka am 23 Aug 2007, 01:42, insgesamt 1-mal geändert.
Hallo,
habe ein Problem mit der DNS Auflösung lokaler Netze.
Am 1724 FW7.22 habe ich 2 Intranets eingerichtet, Netz1 - Tag1, Netz2 - Tag2. In der Firewall gibt es eine Regel "Übertrage Netz1->Netz2 - Tag2. Im Netz1 ist der 1724 versuchsweise DNS und Gateway, im Netz 2 ist der 1724 DHCP, DNS und Gateway. Auf dem Register DNS steht unterhalb Subdomänen test.int und test.lan, eigene Domöne ist leer.
Aus dem Netz1 (test.int) kann ich die IPs im Netz2 anpingen, ping -a funktioniert ind Netz2 nicht und ein ping auf name.test.lan (im Netz2) funktioniert auch nicht.
Früher hatte ich ein 1724 und daran ein DSL10 als nachgeschalteten Router, da ging alles einwandfrei. Nun, seit der DSL10 defekt ist und ich dieses Netz mit in den 1724 gebe harkt es immer mal.
Gibts da noch ein Schalter den ich umlegen muss?
habe ein Problem mit der DNS Auflösung lokaler Netze.
Am 1724 FW7.22 habe ich 2 Intranets eingerichtet, Netz1 - Tag1, Netz2 - Tag2. In der Firewall gibt es eine Regel "Übertrage Netz1->Netz2 - Tag2. Im Netz1 ist der 1724 versuchsweise DNS und Gateway, im Netz 2 ist der 1724 DHCP, DNS und Gateway. Auf dem Register DNS steht unterhalb Subdomänen test.int und test.lan, eigene Domöne ist leer.
Aus dem Netz1 (test.int) kann ich die IPs im Netz2 anpingen, ping -a funktioniert ind Netz2 nicht und ein ping auf name.test.lan (im Netz2) funktioniert auch nicht.
Früher hatte ich ein 1724 und daran ein DSL10 als nachgeschalteten Router, da ging alles einwandfrei. Nun, seit der DSL10 defekt ist und ich dieses Netz mit in den 1724 gebe harkt es immer mal.
Gibts da noch ein Schalter den ich umlegen muss?
°
Viele Grüße MichaelF
Viele Grüße MichaelF
Hi MichaelF
Da die Netze unterschiedliche Interface-Tags haben, sind sie für den DNS-Server untereinander unsichtbar. Auch der Firewalleintrag, der Anfragen aus Netz 1 das Tag des Netzes 2 zuordnet greift, bei der DNS-Auflösung nicht, da die DNS-Anfragen ja gar nicht "durch" den Router gehen.
Gruß
Backslash
das ist auch korrekt so - und vor allem: das ist so gewolltAus dem Netz1 (test.int) kann ich die IPs im Netz2 anpingen, ping -a funktioniert ind Netz2 nicht und ein ping auf name.test.lan (im Netz2) funktioniert auch nicht.
Da die Netze unterschiedliche Interface-Tags haben, sind sie für den DNS-Server untereinander unsichtbar. Auch der Firewalleintrag, der Anfragen aus Netz 1 das Tag des Netzes 2 zuordnet greift, bei der DNS-Auflösung nicht, da die DNS-Anfragen ja gar nicht "durch" den Router gehen.
wenn du beiden Netzen das gleiche Tag gibst, wird auch die DNS-Auflösung wieder funktionieren - nur mußt du dann ungewünschten Traffic zwischen den Netzen explizit ausfilternFrüher hatte ich ein 1724 und daran ein DSL10 als nachgeschalteten Router, da ging alles einwandfrei.
wenn du nur von Netz 1 aus die Namen aus Netz 2 auflösen willst, aber nicht umgekehrt, dann kannst du dem Netz 1 das Tag 0 geben. In diesem Fall wird es zu einem "Supervisor" Netz, das alle anderen Netze sehen kann, während es umgekehrt von anderen Netzen nicht gesehen wird.Gibts da noch ein Schalter den ich umlegen muss?
Gruß
Backslash
Hi Backslash,
dann müsste es doch mit einer DNS Weiterleitung an die 2. Router IP funktionieren, das geht zu anderen Routern auch, lokal aber nicht.
Wieso nicht, diese IP ist ja lokal erreichbar, oder muss noch eine extra Route eingerichtet werden, aber der Router kennt doch seine eigenen Netze?
Wenn ich mit ARF mehrere getrennte virtuelle Router erzeuge sollte es doch möglich sein von einem zum anderen virtuellen Router zu routen und die Namen aufzulösen, so wie bei richtigen Routern.
Gruß
Michael
dann müsste es doch mit einer DNS Weiterleitung an die 2. Router IP funktionieren, das geht zu anderen Routern auch, lokal aber nicht.
Wieso nicht, diese IP ist ja lokal erreichbar, oder muss noch eine extra Route eingerichtet werden, aber der Router kennt doch seine eigenen Netze?
Wenn ich mit ARF mehrere getrennte virtuelle Router erzeuge sollte es doch möglich sein von einem zum anderen virtuellen Router zu routen und die Namen aufzulösen, so wie bei richtigen Routern.
Gruß
Michael
Hi MichaelF
Genau das gleiche passiert mit den virtuellen Routern:
Netze mit unterschiedlichen Interface Tags sind vollständig voneinander abgeschirmt - mit zwei Ausnahmen:
1. Wenn ein Netz das Tag 0 hat, dann ist es ein "Supervisor"-Netz und sieht alle anderen Netze.
2. wenn ein Netz als DMZ deklariert ist, dann ist es für alle Netze sichtbar unabhängig von deren Interface-Tag.
Gruß
Backslash
nein. Der Sinn der Interface-Tags ist die strikte Trennung der Netze. Wenn du sie nicht getrennt haben willst, dann mußt du ihnen das gleiche Tag geben.dann müsste es doch mit einer DNS Weiterleitung an die 2. Router IP funktionieren, das geht zu anderen Routern auch, lokal aber nicht.
Die virtuellen Router sind dafür da, z.B. in einem Technologiepark die Netze der einzelnen Firmen untereinander zu trennen. Du kannst schließlich auch nicht aus dem Internet die Adressen deiner Rechner auflösen - es sei denn sie stünden unmaskiert in einer DMZ.Wenn ich mit ARF mehrere getrennte virtuelle Router erzeuge sollte es doch möglich sein von einem zum anderen virtuellen Router zu routen und die Namen aufzulösen, so wie bei richtigen Routern.
Genau das gleiche passiert mit den virtuellen Routern:
Netze mit unterschiedlichen Interface Tags sind vollständig voneinander abgeschirmt - mit zwei Ausnahmen:
1. Wenn ein Netz das Tag 0 hat, dann ist es ein "Supervisor"-Netz und sieht alle anderen Netze.
2. wenn ein Netz als DMZ deklariert ist, dann ist es für alle Netze sichtbar unabhängig von deren Interface-Tag.
Gruß
Backslash
Hi backslash,
ich habe jetzt eine Lösung gefunden.
Bei Tag1 und Tag2 ist es geblieben. Wenn ich das betreffende Netz als DMZ einrichte funktioniert die Namensauflösung aus dem anderen Netz nicht. Wenn ich stattdessen ein manuellen DNS Eintrag Name -> IP eintrage funktioniert das auch nicht, warum ist mir aber nicht klar.
Erst wenn ich für das Netz eine DMZ vereinbare und zusätzlich ein manuellen DNS Eintrag im Router vornehme geht es.
ich habe jetzt eine Lösung gefunden.
Bei Tag1 und Tag2 ist es geblieben. Wenn ich das betreffende Netz als DMZ einrichte funktioniert die Namensauflösung aus dem anderen Netz nicht. Wenn ich stattdessen ein manuellen DNS Eintrag Name -> IP eintrage funktioniert das auch nicht, warum ist mir aber nicht klar.
Erst wenn ich für das Netz eine DMZ vereinbare und zusätzlich ein manuellen DNS Eintrag im Router vornehme geht es.
°
Viele Grüße MichaelF
Viele Grüße MichaelF