Termin für Final Releases bekannt?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Termin für Final Releases bekannt?

Beitrag von daniel337PVS »

Guten Tag zusammen,

gibt es aus gut intern unterrichteter Quelle eventuell schon einen möglichen Zeitpunkt für die offizielle Freigabe der neuen Versionen?

(LCOS 10.40 - LANtools 10.40 - VPN Client 5.01)

Wäre ja prima, wenn die neuen Releases doch bald die jetzige Beta-/RC-Phase verlassen würden.

Gruß Daniel
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Termin für Final Releases bekannt?

Beitrag von ua »

Moin,

meine Glaskugel sagt 2020 oder 2021... :roll:
Aber im Ernst, von den Insidern wird grantiert keiner auf die Frage antworten (zumindest nicht belastbar).

VG und einen schönen ersten Mai
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: Termin für Final Releases bekannt?

Beitrag von DirkK »

Hallo,

seit heute ist die Release 10.40 verfügbar und auch schon eine neue Beta, sowie ein 10.42 RC1.
Allerdings weiß ich nicht, ob man den Umstieg auf irgendeine dieser Versionen wagen sollte, denn nach der 0188 dürfte soweit ich es sehe ein kapitaler DNS-Server Bug enthalten sein.

Bin mal gespannt, wie sich das in den nächsten Tagen entwickelt... ich bin bestimmt nicht der einzige, den das erwischen wird. :roll:

Grüße
Dirk
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Termin für Final Releases bekannt?

Beitrag von hagicgn »

Ich bin auch dabei.
Nach dem Update des 1781VA von 10.32RU9 auf 10.40Rel klappt die Namensauflösung über den 1781VA nicht mehr.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Termin für Final Releases bekannt?

Beitrag von backslash »

Hi DirkK
denn nach der 0188 dürfte soweit ich es sehe ein kapitaler DNS-Server Bug enthalten sein.
was für ein DNS-Bug? Wo ist die Meldung dazu? Es gibt weder eine Meldung bei LANCIOM noch etwas dazu hier im Forum

Gruß
Backslash
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Termin für Final Releases bekannt?

Beitrag von backslash »

Hi hagicgn

was funktioniert denn nicht?

Gruß
Backslash
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Termin für Final Releases bekannt?

Beitrag von hagicgn »

Hallo backslash,

kurz zu meinem Setup:
Der 1781VA stellt über ein externes DSL-Modem die Internetverbindung her. Ganz mormal mit PPPoE und Einwahl zur Telekom.
Der 1781Va ist im lokalen Netz DHCP-Server und gibt seine Adresse als DNS-Server an. DNS-Anfragen ins Internet leitet er automatisch an die Telekom-DNS weiter, die er bei der Einwahl bekommt. Dafür muss ja nichts konfiguriert werden.
Also eigentlich Standard, das funktioniert auch mit V10.32.

Sofort nach dem Update auf 10.40rel können die Clients keine Webseite mehr öffnen. Ein Ping von einem Client auf eine beliebige Adresse ins Internet zeigt, dass keine Namen aufgelöst werden.
Trage ich bei einem Client händisch z.B. den Google-DNS 8.8.8.8 ein, kann der Client sofort alle Namen auflösen und Webseiten aufrufen.
Ein Downgrade auf 10.32Ru9 behebt das Fehlverhalten sofort, die DNS-Anfragen an den 1781va funktionieren wieder.

Hinweise: Ich nutze das VLAN-Modul. Die hier besprochenen Clients sind im gleichen Subnetz wie der 1781VA.
Das DSL-Modem ist über 2 Ethernetkabel verbunden, am 1781Va sind das dann die Ethernetports als DSL-1 und DSL-2.
Grund dafür ist die Konfugrationsseite des ext Modems (Zyxel VMG3006). Diese erreicht man nur über einen anderen Lan-Port des Modems.
Das klappt aber problemlos mit 10.32.

VG
Dirk

PS: Ich heiße zufällig auch Dirk. Ich bin aber nicht der TE
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: Termin für Final Releases bekannt?

Beitrag von DirkK »

Wie mein Namensvetter schon geschrieben hat: lokale DNS-Anfragen (z.B. nach DHCP-Clients) funktionieren, "globale" Anfragen werden einfach nicht ins WAN weitergeleitet. (Verwendet der Client IPv6 funktionieren diese natürlich)

Grüße
Dirk
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Termin für Final Releases bekannt?

Beitrag von backslash »

Hi Dirkk und hagicgn,

habt ihr zufällig Firewallregeln, die den Clients DNS verbieten bzw. fehlt ggf. eine Regel, die ihnen DNS erlaubt? Der DNS-Forwarder prüft, ob es eine Regel gibt, die die DNS-Anfrage blockiert - das war aber auch schon immer so...

Gruß
Backslash
hagicgn
Beiträge: 67
Registriert: 21 Jun 2019, 12:26

Re: Termin für Final Releases bekannt?

Beitrag von hagicgn »

Hallo backslash,

ja, ich habe eine Regel (ipv4), die keine direkten DNS-Anfragen über die defaultroute erlaubt, außer 8.8.8.8. (Google-DNS).
Das hat mit 10.32 aber funktioniert, es ist ja keine Regel nach dem Update hinzugekommen.

Dann werde ich nachher die Regel mal entfernen und erneut prüfen. Bzw der Regel eine Ausnahme für den 1781VA hinzufügen.

VG
Dirk
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: Termin für Final Releases bekannt?

Beitrag von DirkK »

backslash hat geschrieben: 20 Mai 2020, 14:53 habt ihr zufällig Firewallregeln, die den Clients DNS verbieten bzw. fehlt ggf. eine Regel, die ihnen DNS erlaubt? Der DNS-Forwarder prüft, ob es eine Regel gibt, die die DNS-Anfrage blockiert - das war aber auch schon immer so...
Ja natürlich: DENY_ALL, will ja u.U. den DNS-Verkehr reglementieren (z.B. Pihole).
Ich habe aber auch eine ALLOW_DNS_FORWAD Regel, die dem 1784 (und dem Pihole) DNS-Anfragen erlaubt.
Die ALLOW_DNS_FORWAD Regel verwendet als Quelle die LAN-IP des 1784
Das war bei mir aber auch schon immer so und bis einschließlich 10.40.0188 auch prima funktioniert.

Grüße
Dirk
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Termin für Final Releases bekannt?

Beitrag von backslash »

Hi DirkK,
Die ALLOW_DNS_FORWAD Regel verwendet als Quelle die LAN-IP des 1784
Das war bei mir aber auch schon immer so und bis einschließlich 10.40.0188 auch prima funktioniert.
Das ist aber falsch und wenn das in früheren Versionen funktioniert hat, dann ist das ein Fehler in diesen Versionen
Als Quelle mußt du die Adresse derjenigen nehmen, die DNS machen dürfen und als Ziel entweder "ANYHOST" oder die IP des LANCOMs (oder LOCALNET), da das Paket ja an den Forwarder gehen soll... Das ist zwar eine Inbound-Regel, obwohl es im IPv4 eigentlich nur die Forwarding-Firewall gibt, da die Prüfung aber vom Forwarder kommt, haben wir letztendendes den Forwarding-Fall.

Gruß
Backslash
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Termin für Final Releases bekannt?

Beitrag von backslash »

Hi hagicgn
ja, ich habe eine Regel (ipv4), die keine direkten DNS-Anfragen über die defaultroute erlaubt, außer 8.8.8.8. (Google-DNS).
das erklärt, warum dein PC die Auflösung hinbekommen hat, wenn du ihm direkt die 8.8.8.8 als DNS-Server gegeben hast.
Das hat mit 10.32 aber funktioniert, es ist ja keine Regel nach dem Update hinzugekommen.
wie ich schon dirkk schrieb: das es mit der 10.32 funktioniert hat, ist dann eher ein Bug der 10.32 (und/oder früheren Versionen)
Dann werde ich nachher die Regel mal entfernen und erneut prüfen. Bzw der Regel eine Ausnahme für den 1781VA hinzufügen.
Beim Entfernen der Allow-Regel wird dann auch der direkte Zugriff auf die 8.8.8.8 nicht mehr funktionieren. Ersetze stattdessen einfach das Ziel durch die IP des LANCOMs oder (oder LOCALNET)... bzw. füge sei dem Ziel hinzu, falls du auch die 8.8.8.8 weiter direkt zulassen willst

Gruß
Backslash
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: Termin für Final Releases bekannt?

Beitrag von DirkK »

Hallo Backslash
backslash hat geschrieben: 20 Mai 2020, 16:21 Das ist aber falsch und wenn das in früheren Versionen funktioniert hat, dann ist das ein Fehler in diesen Versionen
Dann ist das aber schon mind. 15 Jahre Version 5.??? bei meinem 1811'er... Seitdem habe ich dieses Konstrukt (damals natürlich noch ohne Pihole, aber immer nur DNS per Forwader)
backslash hat geschrieben: 20 Mai 2020, 16:21 Als Quelle mußt du die Adresse derjenigen nehmen, die DNS machen dürfen und als Ziel entweder "ANYHOST" oder die IP des LANCOMs (oder LOCALNET), da das Paket ja an den Forwarder gehen soll... Das ist zwar eine Inbound-Regel, obwohl es im IPv4 eigentlich nur die Forwarding-Firewall gibt, da die Prüfung aber vom Forwarder kommt, haben wir letztendendes den Forwarding-Fall.
Eine LOCALNET->IP-LANCOM für DNS habe ich zusätzlich drin, weil die DENY_ALL mal gemeckert hat. Dass dies dann die eigentliche Regel zum Forwarding war, war mir so nicht klar. Trotzdem funktioniert es nicht, bzw. hat es bis gerade nicht funktioniert. Was nämlich geholfen hat war diese Regel mit höchster Prio an den Anfang zu stellen, so scheint es jedenfalls zu funktionieren.

Grüße
Dirk
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Termin für Final Releases bekannt?

Beitrag von backslash »

Hi DirkK,

ich habe mir gerade den Code der 10.34 angeschaut... Auch da kann eine Regel mit IP-Adresse des LANCOMs als Quelle nicht auf die DNS-Anfrage gematcht haben. Der Forwarder prüft das DNS-Paket bevor es er weiterleitet. Daher hat das Paket in dem Moment niemals die Adresse des LANCOMs als Quell-IP...

Da muß eine andere Regel gematcht und das DNS-Paket erlaubt haben - Da ich deinen Regelsatz nicht kenne kann aber sonst nichts dazu sagen. In jedem Fall ist es jetzt definitiv "richtiger"...

Wobei ich schon immer ein Problem mit der Sonderbehandlung des DNS in der IPv4-Firewall habe, denn die Firewall hat schließlich nur den Forwarding-Pfad und wird im Falle des DNS quasi als Inbound-Filter mißbaucht - und da aber nur wenn die DNS-Anfrage wirklich weitergeleitet werden soll. Wird die DNS-Anfrage vom LANCOM selbst lokal beantwortet, greift überhaupt keine Regel...

In der IPv6-Fireasall gibtr es diese Probleme i.Ü. nicht, da sie hat auch Inbound-Regeln hat...

Gruß
Backslash
Antworten