DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Forum zur aktuellen LANCOM Router Serie: LANCOM 1781A, LANCOM 1781AW, LANCOM 1781EW, LANCOM 1781EF, LANCOM 1631E, LANCOM 831A und VPN Gateways: LC-9100 VPN, LC-7100 VPN, LC-8011 VPN, LC-7111 VPN und LC-7011 VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Hagen2000
Beiträge: 133
Registriert: 25 Jul 2008, 10:46
Kontaktdaten:

DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Hallo liebe Spezialisten,

wir haben seit ein paar Tagen (oder eher Wochen) ein merkwürdiges Problem: Ein bestimmtes Gerät - ein Multifunktionsdrucker/-scanner von Canon - kann keine DNS-Anfragen mehr durchführen. Dadurch kann es unter anderem keine Scans mehr auf eine SMB-Freigabe ablegen oder als E-Mail versenden. Ein Mitschnitt mit Wireshark zeigt, dass die DNS-Anfrage auf Port #53 vom LANCOM-Router von diesem mit einem ICMP Port unreachable-Paket beantwortet wird.

Darauf können wir uns keinen Reim machen, denn ansonsten sind keine Störungen beim DNS zu beobachten. Vor gut zwei Wochen, bevor das LCOS-Update durchgeführt wurde, hat es noch einwandfrei funktioniert, wie man anhand von Protokolldateien nachprüfen kann. Ob es mit dem Update überhaupt zusammenhängt, ist jedoch unklar.

Das Gerät erhält seine eigene IP-Adresse korrekt per DHCP und auch die Wartungsseite ist per Browser problemlos erreichbar. Stellt man die SMB-Freigabe vom Servernamen auf IP-Adresse um, so funktioniert auch wieder der Zugriff durch das Gerät auf die SMB-Freigabe. Es scheint also wirklich nur am DNS zu liegen.

Irgendwelche Ideen / Tipps, wie wir den Fehler einkreisen können?

LCOS 10.30.0075Rel (09.05.2019)
LANCOM 1781VA mit All-IP-Option

Hagen

GrandDixence
Beiträge: 644
Registriert: 19 Aug 2014, 22:41

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von GrandDixence »

Hatte vor kurzem das Problem, dass ein neues Smartphone keine IP-Adresse vom LANCOM-internen DHCP-Server zugewiesen wurde. Vorgängig habe ich unter /Setup/DHCP/DHCP-Tabelle den Eintrag mit der MAC-Adresse des alten Smartphone gelöscht und durch einen neuen Eintrag mit der MAC-Adresse des neuen Smartphones ersetzt. Das alte wie das neue Smartphone nutzten beide die genau gleiche IP-Adresse, welche vom DHCP-Server zugewiesen wurde.

Erfahrungsgemäss sollte nach jeder Konfigurationsänderung im Bereich DNS-/DHCP-Server das LANCOM-Gerät (mit LCOS-Betriebsystem) neu gestartet werden. Also gut, habe ich den LANCOM-Router per "Knopfdruck" im Webinterface neu gestartet. Der LANCOM-Router hat brav einen Warmstart durchgeführt und im Logbuch des LANCOM-Routers (SYSLOG) war eine Zeile "warm start/warm boot" ersichtlich.

Aber oh Wunder, nach dem Warmstart verweigerte der LANCOM-interne DHCP-Server dem neuen Smartphone die Zuweisung der IP-Adresse, da offenbar diese IP-Adresse bereits vom Gerät mit der alten MAC-Adresse (altes Smartphone) verwendet wird!? Dabei wurde das alte Smartphone schon längere Zeit nicht mehr benutzt, also die DHCP-Miete/Lease schon lange abgelaufen...

Abhilfe: Kaltstart => LANCOM-Gerät für eine Minute von der Stromzufuhr trennen. Danach war im Logbuch des LANCOM-Routers (SYSLOG) eine Zeile "cold start/cold boot" ersichtlich und der DHCP-Server hat ordnungsgemäss die IP-Adresse an das neue Smartphone vergeben.

=> Wenn das beschriebene Problem auch nach einem Kaltstart des LANCOM-Routers weiterhin besteht, sollte mit dem entsprechenden DNS-Trace der Fehler eingegrenzt werden.

Hinweis: Der LANCOM-interne DNS-Server/DNS-Forwarder ist nicht konform zu RFC 7766 und beantwortet deshalb keine Anfragen über Port TCP 53:
lancom-feature-wuensche-f22/dns-transpo ... 16059.html

Hagen2000
Beiträge: 133
Registriert: 25 Jul 2008, 10:46
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Danke, der Tipp mit dem DNS-Trace war hilfreich (Kaltstarts wurden ohnehin schon vorab durchgeführt).
In der Tat meldet der LANCOM-Router "got malformed DNS packet from 10.0.1.235: invalid dns packet length".
Das Paket schaut wie folgt aus (den Rechnernamen habe ich durch einen Fantasienamen ersetzt):

Code: Alles auswählen

0000   00 a0 57 1f 7a e3 00 1e 8f 16 9c de 08 00 45 00  ..W.z.........E.
0010   00 50 61 2d 00 00 ff 11 42 b4 0a 00 01 eb 0a 00  .Pa-....B.......
0020   01 d1 04 00 00 35 00 3c 3c fb 60 9a 01 00 00 01  .....5.<<.`.....
0030   00 00 00 00 00 00 0c 61 61 61 2d 62 62 62 62 62  .......aaa-bbbbb
0040   2d 63 63 03 64 64 64 05 6c 6f 63 61 6c 00 00 01  -cc.ddd.local...
0050   00 01 00 00 00 00 00 00 00 00 00 00 00 00        ..............
Auffällig sind die 12 Null-Bytes, die am Ende des Pakets ab Offset 0x52 hängen. DNS-Pakete anderer Geräte haben diese Null-Bytes nicht.
Da das betroffene Gerät schon deutlich älter als 10 Jahre ist und keine Firmware-Updates verfügbar sind, vermute ich, dass es eine Änderung im LCOS gab, die die DNS-Pakete nun strikter prüft (Wireshark hat keine Probleme mit der Interpretation des Pakets).

Kann das jemand bestätigen?
Gibt es einen Lösungsvorschlag?
LANCOM 1781VA mit All-IP-Option

Hagen

backslash
Moderator
Moderator
Beiträge: 6147
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von backslash »

Hi Hagen,
vermute ich, dass es eine Änderung im LCOS gab, die die DNS-Pakete nun strikter prüft (Wireshark hat keine Probleme mit der Interpretation des Pakets).

Kann das jemand bestätigen?
ja, die Prüfung ist strikter geworden... Wenn nach dem Parsen des letzten Ressource-Records noch "Paket übrig" ist, stimmt die Längeangabe im Paket einfach nicht.
Wireshark hat keine Probleme mit der Interpretation des Pakets
Auch Wireshark sollte die überzähligen Null-Bytes zumindest als "padding" anmerken
Gibt es einen Lösungsvorschlag?
nun ja, was soll man zu
Da das betroffene Gerät schon deutlich älter als 10 Jahre ist
sagen? Ein so altes Gerät sollte eigentlich nicht mehr im Internet "herumlaufen"...

Gruß
Backslash

Hagen2000
Beiträge: 133
Registriert: 25 Jul 2008, 10:46
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Hallo Backslash,

Danke für das ausführliche Feedback. Ein kleiner Hinweis in den Release-Notes zum LCOS auf die striktere Prüfung hätte die Fehlersuche vielleicht ein wenig abgekürzt...

Als Workaround haben wir im Gerät jetzt IP-Adressen statt der Servernamen eingetragen, somit funktioniert erst einmal alles wieder.

:D
LANCOM 1781VA mit All-IP-Option

Hagen

Hagen2000
Beiträge: 133
Registriert: 25 Jul 2008, 10:46
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Hallo zusammen,

offenbar wurde das Verhalten seitens LANCOM doch als Fehler eingestuft, denn in LCOS 10.32 Rel wurde eine Korrektur vorgenommen. Hier der Auszug aus den LANCOM Release Notes:
Bei der Paketprüfung im DNS-Server kam es zu Fehlermeldungen und nicht funktionierenden DNS-Anfragen,
wenn die Paketlänge der DNS-Anfrage durch eine andere Netzwerkkomponente verändert wurde.
Jetzt funktionieren die DNS-Anfragen unseres Multifunktionsdruckers wieder.
LANCOM 1781VA mit All-IP-Option

Hagen

Benutzeravatar
Jirka
Beiträge: 4767
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Jirka »

Hallo Hagen,

hmm, interessant. Danke für die Info.

Backslash, ist man da jetzt zurückgerudert? Vielleicht, weil es in der Praxis zu viele Problemfälle gab?

Viele Grüße,
Jirka
15 Jahre LANCOM-Forum — 15 Jahre Kompetenz in Sachen LANCOM.

backslash
Moderator
Moderator
Beiträge: 6147
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von backslash »

Hi Jirka,

das Problem war, daß es immer noch Fremdhersteller-Router gibt, die DNS-Pakete verfälchen. Im vorliegenden Fall war das ein Router der einem Kunden von seinem Kabelnetzprovider auf's Auge gedrückt bekommt hat. Da es somit kein Problem von Uralt Geräten mehr war, wurde entschieden, hier Gnade vor Recht ergehen zu lassen...

Letztendlich ändert das aber nichts daran, daß diese kaputten Pakete nicht RFC-konform sind...

Gruß
Backslash

Hagen2000
Beiträge: 133
Registriert: 25 Jul 2008, 10:46
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Nur der Vollständigkeit halber: Ich hatte ursprünglich geschrieben, dass das Gerät - ein Canon i-SENSYS MF6680dn - schon älter als 10 Jahre ist. Das stimmt aber gar nicht, es wurde erst 2011 angeschafft. Canon bietet auch noch Support und liefert beispielsweise Treiber für Windows 10, aber leider kein Update für die Firmware. Ich mach' mir mal den Spaß und schicke denen eine Support-Anfrage :lol:
LANCOM 1781VA mit All-IP-Option

Hagen

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag

Zurück zu „aktuelle LANCOM Router Serie“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste