Interne DNS-Auflösung vom Lancom

[RalphT]

Moin,

ich habe beim 1793 das Problem, dass das Gerät selbst keine DNS-Adresse auflösen kann. Das habe ich am Gerät mit Telnet "ping www.google.de" überprüft.
Der Internetzugang ist als "Internetzugang mit statischer IP" konfiguriert. Die beiden gültigen IP-Adressen der DNS-Server vom Provider sind unter Kommunikation / Protokolle / IP-Parameter hinterlegt.

Laut diesem Beitrag dachte ich, dass der Lancom seine internen Anfragen über die beiden eingetragenen DNS-Server auflöst. Ist aber wohl nicht der Fall.

https://www.lancom-systems.de/docs/LCOS ... 81487.html

Jetzt dachte ich, dass man den DNS für die Weiterleitung hier einträgt. Das funktioniert aber auch nicht.
Wo trage ich das denn ein?

Nachtrag:

Hier ein Auszug vom Trace:


[DNS] 2022/09/14 09:06:10,661 Devicetime: 2022/09/14 09:06:09,922
DNS Rx (intern): Src-IP 127.0.0.1, RtgTag 0
Transaction ID: 0x55ad
Flags: 0x0100 (Standard query, No error)
Queries
www.google.de: type A, class IN

STD A for www.google.de
Not found in local DNS database => forward to next server

[tstimper]

schau mal ins Firewall log ob Du Port 53 TCP / UDP Blocks siehst.

Ich habe immer separate DNS Allow Firewall Regeln implement


Viele Grüße

ts

[RalphT]

Hallo tstimper,

da hatte ich vorher auch schon immer nachgesehen. Da kamen aber keine Meldungen. Trotzdem habe ich mal testweise die deny_all-regel deaktiert und mal eine any-to-any DNS Erlaubenregel für DNS hinzugefügt. Das bracht aber nichts.

[tstimper]

Hallo Ralph,

Hallo tstimper,

da hatte ich vorher auch schon immer nachgesehen. Da kamen aber keine Meldungen. Trotzdem habe ich mal testweise die deny_all-regel deaktiert und mal eine any-to-any DNS Erlaubenregel für DNS hinzugefügt. Das bracht aber nichts.

Welchen konkreten 1793 hast Du und welche Firmware nutzt Du?

Deny All muss immer an sein und dann nur ALLOW für DNS als zusatz Regel.
Und dann was auch immer Du noch brauchst.

Viele Grüße

ts

[RalphT]

Moin,

hier ist die Firmaware 10.40.021 installiert. Das Gerät ist ein 1793 VAW.

Mit den Regeln hatte ich mich falsch ausgedrückt. Ich hatte im ersten Step einfach nur die dey-all-Regel deaktivert.
dann wieder aktivert.
Im zweiten Schritt habe eine Regel für DNS erstellt. Die deny-all-Regel war natürlich wieder aktiv.

So war das gemeint.

[tstimper]

Ist das eine Neuinstallation?
Kannst die Firmware 10.50-RU8 draufspielen? (Die 10.70 ist mir noch zu frisch ...)
Dann sehen wir weiter.
Ist das zeitkritisch? Firma oder privat?

Kannst Du von der CLU die Povider DNS Server anpingen?

Viele Grüße
ts

[RalphT]

Die Firmware kann ich erst etwas später installieren, da ich derzeit die Verbindung nicht unterbrechen wollte.

Ich tippe aber mal, dass die Firmware wohl nicht der Übeltäter ist. Ich habe an diesem Lancom eine weitere Intenetverbindung, auch über ein externes Modem. Wenn ich diese Verbindung als Routing-Tag 0 setze, dann funktioniert der DNS-Zugriff vom Lancom selber.

Die beiden Internetverbindungen unterscheiden sich wie folgt:

Bei der ersten Verbindung macht der Lancom die Einwahl. Also mit Zugangsdaten und so. Am ETH-3 ist das DSL-Modem angeschlossen.
Bei der zweiten Verbindung ist das ein Glasfaseranschluss. Den Lancom habe ich über ETH-2 mit dem Uniper verbunen. Die Verbindug mach ich wie oben schon beschrieben über Internetzugang mit statischer IP. Hier brauche keine Zugangsdaten.
Derzeit ist diese Verbindung mit Routing-Tag gekennzeichnet. Damit habe ich gerade das Problem.

Wie gesagt, alle Server, Clients und Geräte hinter der Lancom können externe IP-Adressen im DNS auflösen.

Im Lancom selber kann ich alle externen IP-Adressen anpingen.

Daher tippe ich stark darauf, dass das Problem mit der Zugangsart der beiden Inernetverbindungen zusammenhängt.

[tstimper]

Ich tippe aber mal, dass die Firmware wohl nicht der Übeltäter ist.

Sicher nicht, nur das Firewallverhaltensänderungen und Bugfixes gab es seitdem sehr viele,
deshalb haben ich gern einen aktuell bekannten und repoduzierbaren Firmware Stand.

als Routing-Tag 0 setze, dann funktioniert der DNS-Zugriff vom Lancom selber.

Dann könntest Du einfach eine Firewall Regel mit Routing TAG 0 for DNS Anfragen explizit vom Lancom selbst erstellen.

Ob das elegant ist, ist eine andere Frage, gehen müsste es aber

Viele Grüße

ts

[RalphT]

Dann könntest Du einfach eine Firewall Regel mit Routing TAG 0 for DNS Anfragen explizit vom Lancom selbst erstellen.

Das hatte ich doch schon vorher einmal probiert.

[COMCARGRU]

Die beiden gültigen IP-Adressen der DNS-Server vom Provider sind unter Kommunikation / Protokolle / IP-Parameter hinterlegt.

Und wenn du da mal andere öffentlich erreichbare DNS Server einträgst, was ist dann?

[RalphT]

Die beiden gültigen IP-Adressen der DNS-Server vom Provider sind unter Kommunikation / Protokolle / IP-Parameter hinterlegt.

Und wenn du da mal andere öffentlich erreichbare DNS Server einträgst, was ist dann?

Hm, welche denn? Mal testweise die von google?
Und wenn ich das gemacht habe, dann muss ich doch die Einwahl neu anschubsen - oder?
Das würde ich aber heute nicht mehr machen wollen. Muss ich auf morgen verschieben.

Nachtrag:
was mich derzeit interessiert ist, welchen weg nimmt der Lancom? Hier nochmal der Trace vom DNS.


[DNS] 2022/09/14 09:06:10,661 Devicetime: 2022/09/14 09:06:09,922
DNS Rx (intern): Src-IP 127.0.0.1, RtgTag 0
Transaction ID: 0x55ad
Flags: 0x0100 (Standard query, No error)
Queries
www.google.de: type A, class IN

STD A for www.google.de
Not found in local DNS database => forward to next server

Dort steht: "forward to next server"
Welchen würde er dann jetzt kontaktieren?

[RalphT]

So, Fehler gefunden!

Die selbst eingebauten Fehler sind immer bei Besten! Ich hatte das schon alles richtig gemacht. Hatte mich nur vertippt. Der Wink mit dem Zaunpfahl kam von COMCARGRU. Es konnte ja eigentlich nur am DNS liegen.

Ich hatte mir noch einmal den Trace angesehen und habe einen Router hier, bei dem das funktioniert. Ich hätte den Trace nur weiter verfolgen müssen. Da steht nämlich, was der Router dann macht.

Ich habe es tatsächlich geschafft den DNS-Server zweimal falsch einzutippen. Hatte einen Zahlendreher drin.

Das erklärt natürlich auch, warum das mit der anderen Internetverbindung funktionierte. Denn bei dieser Verbindung werden die DNS-Server vom Provider automatisch bezogen. Da kann man sich natürlich nicht verschreiben.

Jetzt läufts.