Fehlersuche DNS Weiterleitung

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Fehlersuche DNS Weiterleitung

Beitrag von tbc233 »

Hallo,

Ich hab sicher schon hundert Mal solche DNS Weiterleitungen am Lancom eingestellt, dieses Mal will es einfach nicht und ich komme nicht drauf warum.

Das Szenario ist ein Site-to-Site VPN zwischen 10.0.0.0/24 und 192.168.1.0/24. Ich befinde mich im 10er Netz, mein Lancom (1781EF+ mit LCOS 10.50.0145Rel) ist der 10.0.0.254 und ist mein DNS Server.
Drüben steht ein Domaincontroller 192.168.1.232, den möchte ich für DNS Abfragen an die Domain meinedomain.com benutzen.

Mache ich hier im 10er Netz mal so als Test auf einem Linux PC manuell eine Abfrage an diesen 192.168.1.232, klappt alles wie erwartet:

Code: Alles auswählen

# dig SERVER.MEINEDOMAIN.COM @192.168.1.232

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.4 <<>> SERVER.MEINEDOMAIN.COM @192.168.1.232
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56498
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;SERVER.MEINEDOMAIN.COM.                IN      A

;; ANSWER SECTION:
SERVER.MEINEDOMAIN.COM. 1200    IN      A       192.168.1.235

;; Query time: 42 msec
;; SERVER: 192.168.1.232#53(192.168.1.232)
;; WHEN: Tue Jul 27 14:34:35 CEST 2021
;; MSG SIZE  rcvd: 67
Wie man sieht hab ich also keinen Grund zur Annahme das irgendwas dagegen sprechen würde dass mein 10er Netz diesen 192.168.1.232 abfrägt.

Also wie gewohnt am Lancom eine DNS Weiterleitung eingtragen. meinedomain.com und *.meinedomain.com jeweils an 192.168.1.232

Am Lancom mit DNS Trace sieht das dann soweit auch gut aus, insofern dass er tatsächlich den 192.168.1.232 befragen möchte:

Code: Alles auswählen

[DNS] 2021/07/27 15:04:32,373
DNS Rx (INTRANET): Src-IP 10.0.0.169, RtgTag 0
Transaction ID: 0xf565
Flags: 0x0120 (Standard query, No error)
Queries
  SERVER.MEINEDOMAIN.COM: type A, class IN
Additional records
  <Root>: type OPT

STD A for SERVER.MEINEDOMAIN.COM
DnsGetDest: Match found: forwarding SERVER.MEINEDOMAIN.COM to 192.168.1.232
Not found in local DNS database => forward to next server


[DNS] 2021/07/27 15:04:32,374 [info] :
create new destination map entry for 192.168.1.232 with routing tag 0
DestinationMapEntry for 192.168.1.232 with routing tag 0 created
DNS servers: 192.168.1.232 Rtg-Tag: 0
create new source map entry for 10.0.0.169
using DNS server 192.168.1.232
trace -
[DNS] 2021/07/27 15:04:37,373
DNS Rx (INTRANET): Src-IP 10.0.0.169, RtgTag 0
Transaction ID: 0xf565
Flags: 0x0120 (Standard query, No error)
Queries
  SERVER.MEINEDOMAIN.COM: type A, class IN
Additional records
  <Root>: type OPT

STD A for SERVER.MEINEDOMAIN.COM
DnsGetDest: Match found: forwarding SERVER.MEINEDOMAIN.COM to 192.168.1.232
Not found in local DNS database => forward to next server
...und dann kommt nichts mehr zu dem Thema und der Client läuft in ein Timeout.

Ich komm nicht drauf warum. Es gibt keine Firewall Regel betreffend der VPN Strecke, der dortige AD Controller kann meinen Lancom pingen, wenn ich wie oben gezeigt den Server direkt mit dig befrage, kommt alles korrekt daher.

Hat jemand eine Idee was hier noch im Weg stehen könnte?
Liebe Grüße,
michael
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: Fehlersuche DNS Weiterleitung

Beitrag von tbc233 »

Das Ganze grenzt sich mittlerweile auf ein Problem ein, das eher VPN-gelagert ist. Ich habe grad festgestellt dass mein Lancom (10.0.0.254) gar nicht mit irgendeinem VPN Tunnel reden will.

Ich bin grad mit putty auf beiden Lancoms drauf. Der 192.168.1.1 kann den 10.0.0.254 pingen. Umgekehrt geht es nicht. Der 10.0.0.254 kann überhaupt kein Gerät im 192.168.1.0 Netz pingen.

Das verwirrt mich jetzt sehr, zumal der VPN Tunnel aus Client Sicht perfekt funktioniert. Da laufen sehr viele verschiedene Anwendungen drüber, völlig problemlos. Nur der eine Lancom interessiert sich (für sich selbst) nicht dafür...
Liebe Grüße,
michael
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: Fehlersuche DNS Weiterleitung

Beitrag von tbc233 »

Ich bin einen Schritt weiter.
Voraus schicken muss ich, dass ich auf dem Standort mit dem Netz 10.0.0.0/24 noch ein zweites Netz (für Testzwecke) eingerichtet habe, nämlich das 192.168.8.0/24. Durch Zufall ist mir in einem vpn-status Trace aufgefallen, dass wann immer der Lancom selbst auf einen Rechner der VPN Gegenstelle zugreifen wollte (zum Beispiel eben weil er eine DNS Weiterleitung behandeln wollte), versucht wurde eine Netzbeziehung zu diesem 192.168.8.0 aufzubauen. Das scheiterte natürlich, dieses Netz ist nicht für die VPN Strecke eingerichtet.

Sehr vereinfacht gesagt scheint es so, als würde der Lancom seine IP in diesem Testnetz verwenden, um mit dem gegenüberliegenden Netz zu sprechen.

Ich habe jetzt diesem Testnetz 192.168.8.0 ein Schnittstellen-Tag 1 gegeben, damit war das Problem sofort vom Tisch und alles funktioniert wie erwartet. Ob das für mich irgendwelche Side-Effects hat, muss ich noch prüfen. ich habe bisher kaum mit Schnittstellen-Tags gearbeitet.

Ganz allgemein versteh ich aber nicht, warum der Lancom dieses Netz 192.168.8.0 überhaupt an die VPN Strecke announct. Ich hab hier eigentlich eine ganz klare Netzbeziehung definiert nur zwischen 10.0.0.0 und 192.168.1.0 (einerseits via VPN-relevante Firewall Regeln und auch zusätzlich via VPN Netzwerk Regel) definiert.
Liebe Grüße,
michael
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Fehlersuche DNS Weiterleitung

Beitrag von backslash »

Hi tbc233
Ganz allgemein versteh ich aber nicht, warum der Lancom dieses Netz 192.168.8.0 überhaupt an die VPN Strecke announct. Ich hab hier eigentlich eine ganz klare Netzbeziehung definiert nur zwischen 10.0.0.0 und 192.168.1.0 (einerseits via VPN-relevante Firewall Regeln und auch zusätzlich via VPN Netzwerk Regel) definiert.
das ist relativ simpoel... Die Source-Address-Selection weiss nichts voin deinen VPN-Netzwerk-Regeln... Sie nimmt nach einem bestimmten Regelsatz eine der verfügbarenn Adressen des LANCOMs - i.A. die, die "am nächsten" zum Ziel liegt. Da aber die Source-Address-Selection auch mal daneben greifen kann, kannst du für alle Dienste die zu verwendende Absenderadresse manuell wählen. Dazu trägst du im Feld "Loopback-Address" des jeweiligen Dienstes den Namen des ARF-Netzes ein, dessen Adresse genommen werden soll. Beim DNS-Forwarder machst du das im CLI unter /Setup/DNS/Loopback-Addresses bzw. im LANconfig unter IPv4 -> DNS -> Loopback-Adressen für jedes Forwarding-Ziel - dabei muß du beachten, daß du in der Spalte "Destination" ("Ziel" im mLANconfig) das Forwading-Ziel exakt so eingibst, wie es auch im Forwarding-Eintrag selbst steht.

Gruß
Backslash
Antworten