Totale Anfängerfrage: Wo trage ich den DNS Server ein?

[Taupunkt]

Hallo,

ich kann den Punkt nicht finden, wo man den öffentlichen DNS Server einträgt. Bspw. den von seinem Provider, oder einen anderen öffentlichen DNS Server, bspw. von Google.

Könnt Ihr mir da einen Tipp geben?

Danke
Taupunkt

[Jirka]

Hallo Taupunkt,

da gibt es zwei Stellen:

Konfiguration -> TCP/IP -> DNS -> Weiterleitungen
Dort eintragen:
Domäne: *.*
Gegenstelle: 8.8.8.8
oder Gegenstelle (bei zwei DNS-Servern): 8.8.8.8 8.8.4.4

Konfiguration -> TCP/IP -> Adressen -> Erster/Zweiter DNS

In den DHCP-Einstellungen kann man den Clients auch direkt andere DNS-Server zuweisen, wenn das gewünscht sein sollte.
(Konfiguration -> TCP/IP -> DHCP -> DHCP-Netzwerke...)

Viele Grüße,
Jirka

[Taupunkt]

Vielen Dank für die schnelle Hilfe.

Darf ich vielleicht gleich noch eine andere Frage stellen:
Meine Firewall ist derzeit nach dem Prinzip deny all konfiguriert.
Nun würde ich gerne einzelne Ports für einzelne Dienste (OS X Server) öffnen.
Wo und wie mache ich das am einfachsten?
Geht's besser in der Web Oberfläche oder mit Lanconfig?

Danke im Voraus
Taupunkt

[hyperjojo]

hallo,

ich persönlich bevorzuge LANconfig, wenn immer es geht.
Die Allow-Regeln nimmst du in der Firewall vor, genau wie auch die Deny-All-Regel. Du schränkst dann nur die Stationen oder Dienste ein und gibst als Aktion "Accept" (statt Reject) an.

Gruß hyperjojo

[cpuprofi]

Hallo,

evtl. mußt Du noch ein Port-Forwarding machen, sofern Dein "OS X Server" auch von außen erreichbar sein sollte.

Grüße
Cpuprofi

[Taupunkt]

@ hyperjojo
Danke

@ cpuprofi

Danke. D.h. das Öffnen der Firewall genügt nicht? Ich muss zusätzlich den Port 'weiterleiten'.
Kannst Du mir sagen, an welcher Stelle ich das am besten mache?

Danke

[Pothos]

Hi Taupunkt,

die Portforwarding Tabelle findest du in LANconfig unter "IP-Router -> Maskierung -> Port-Forwarding-Tabelle" und auf der CLI unter "/Setup/IP-Router/1-N-NAT/Service-Table"

[cpuprofi]

Hallo Taupunkt,

mit der Antwort war Pothos schneller.

Grüße
Cpuprofi

[Taupunkt]

@cpuprofi und Pothos

Verständnisfrage:
Gibt es Situationen, in denen man einen Port in der Firewall nicht öffnet, aber ein Portforwarding für den Port einstellt?

oder anders gefragt:

Wird ein Port durch Portforwarding auch in der Firewall automatisch geöffnet?

oder nochmal anders gefragt:

Läuft ein Portforwarding ins Leere, wenn man vergiss, den zugehörigen Port in der Firewall zu öffnen?

Danke
Taupunkt

[hyperjojo]

hallo,

bei LANCOM brauchst du im Normalfall nur das Portforwarding zu machen.
Wenn du aber eine Deny-All-Firewall-Strategie hast, musst du zusätzlich eine Allow-Regel einsetzen.

Gruß hyperjojo

[backslash]

Hi hyperjojo,

aus Sicherheitsgründen sollte man immer eine Deny-All-Stategie benutzen...

Vor allem, weil die Maskierung alleine keinen wirksamen Schutz gegen Zugriffe von aussen darstellt - hier sei Beispielsweise STUN bei VoIP erwähnt, das einen Port im NAT öffnet und somit den Zugriff von aussen zuläßt. Nur eine Deny-All-Stategie mit einer Allow-Regel für abgehende UDP-Sessions blockiert eingehende Sessions, so daß der geöffnete Port erst dann genutzt werden kann, wenn das (interne) Telefon mit seinem (externen) Partner gesprochen hat - und danach werden auch nur Pakete des Gesprächstbpartners nach innen weitergeleitet...

Gruß
Backslash

[hyperjojo]

Hallo Backslash,

habe ja auch nicht zu einer Allow-All Strategie geraten, nur erklärt, wie es sich verhält

Wobei der Sicherheitsgewinn einer Deny-All auch von manchen Sicherheitsexperten in Frage gestellt wird - aber das diskutieren wir hier besser nicht...

Gruß hyperjojo

[Avalanche]

Ich muss gestehen, dieser Punkt ist mir auch nach fast 4 Jahren Lancom-Router (!!!) noch nicht so wirklich klar:

• wo kann ich beeinflussen, welcher DNS-Resolver vom Lancom Router verwendet wird (z.B. bei DHCP einen bestimmten DNS-Server statt den automatisch zugewiesenen zu verwenden)
• wo muss ich nachschauen, welcher DNS-Resolver vom Lancom Router tatsächlich verwendet wird (z.B. bei IPoE per DHCP zugewiesen wurde)

Dies ist ja je nach Einwahlmethode (IPoE, PPPOE) unterschiedlich und hat auch noch zeitliche Aspekte: * => 10.10.10.10 als Weiterleitung funktioniert möglicherweise erst nach dem Aufbau einer VPN-Verbindung. Wie also löst der Lancom Router die IP der VPN Gegenstelle auf?

[backslash]

Hi Avalanche,

wo kann ich beeinflussen, welcher DNS-Resolver vom Lancom Router verwendet wird (z.B. bei DHCP einen bestimmten DNS-Server statt den automatisch zugewiesenen zu verwenden)

Du kannst eine passende DNS-Weiterleitung für die Domain * einrichten (IPv4 -> DNS -> Weiterleitungen). Da kannst du dann entweder eine Gegenstelle eintragen, vor der dann die dort zugewiesenen DNS-Server verwendet werden. Oder du trägst dort bis zu zwei IP-Adressen kommasepariert ein, die das LANCOM dann verwendet.

wo muss ich nachschauen, welcher DNS-Resolver vom Lancom Router tatsächlich verwendet wird (z.B. bei IPoE per DHCP zugewiesen wurde)

Das hängt davon ab, was für eine Art Verbindung du nutzt:

- bei PPP(oE) stehen die unter /Status/PPP/Rx-Options/IPCP
- bei DHCP unter /Status/DHCP-Client/WAN-IP-List
- und bei IPoE hast du sie manuell konfiguriert

Oder du nimmst einfach den LANmonitor und klickst an der gewünschten Internet-Verbindung auf Protokoll -> Netzwerkprotokoll: IPv4 oder IPv6 und schaust nach, was zugewiesen wurde...

Das gilt natürlich nur für die Domains, für die keine Weiterleitungen konfiguriert wurden.

Dies ist ja je nach Einwahlmethode (IPoE, PPPOE) unterschiedlich und hat auch noch zeitliche Aspekte: * => 10.10.10.10 als Weiterleitung funktioniert möglicherweise erst nach dem Aufbau einer VPN-Verbindung. Wie also löst der Lancom Router die IP der VPN Gegenstelle auf?

in dem Fall gar nicht - es sei denn du hast sie als IP-Adresse eingetragen. Ansonsten mußt du eine Weiterleitung für den DNS-Namen der VPN-Gegenstelle an deinen Internet-Provider erstellen...

i.A. macht man das aber genau anders herum: Man läßt alles vom Provider auflösen und leitet nur die eigenen Domains im VPN weiter....

Gruß
Backslash

[Avalanche]

So, jetzt habe ich mir das mal endlich in meiner Wissenssammlung aufgeschrieben

Wenn ich das selbst beeinflussen will (Kommunikation > Protokolle > IP-Parameter) funktioniert das aber nur, wenn die Gegenstelle das nicht überschreibt (d.h. wenn per PPP oder DHCP kein DNS-Server ausgeteilt wird), oder?

Diese Ausnahmefälle sind deswegen interessant, weil man beim Ausprobieren immer mal wieder einzelne DNS Einträge umbiegen oder andere DNS-Server verwenden muss