DNS-Adresse in Firewall freigeben

[thommymail]

Hallo,

für unseren Hersteller benötige ich in der Firewall eine spezielle Freigabe auf ein DNS Ziel. Das lautet service-relay.xxxxxx.com:5000.
Leider wechseln da die IP Adresse immer wieder. D.h. es wäre sehr mühsam das auf IP Adressen festzumachen.

Nun fungiert der LC1906VA bei uns aber nicht als DNS Server. Dafür haben wir Windows 2016 Server mit AD.

Gibt es trotzdem eine Möglichkeit das der LC eine Firewall Regel mit einem DNS Ziel ermöglicht und die oben genannte Regel auf TCP Port 5000 freigibt. Im Moment wird diese Regel nicht ausgeführt, vermutlich weil der Client den DNS Namen schon aufgelöst hat.

Wie könnte ein Lösung aussehen???

Gruß
Thomas

[Dr.Einstein]

Hey Thomas,

DNS auf den Lancom Router setzen, und eine DNS Weiterleitung für eure interne Domain an den DNS konfigurieren.

Eine Alternative, die ich aber für instabil halte und auch nur dann gut funktioniert, wenn sich hinter der Domain wirklich nur eine IP-Adresse verbirgt und keine Art Loadbalancer, der bei mehreren Anfragen unterschiedliche IPs zurückgibt:

DNS bleibt der Server. Der Server fragt aber für unbekannte Domains den Lancom Router. Du solltest dann aber Min Caching Zeit für DNS Firewallziele sehr hoch wählen.

Gruß Dr.Einstein

[tstimper]

für unseren Hersteller benötige ich in der Firewall eine spezielle Freigabe auf ein DNS Ziel. Das lautet service-relay.xxxxxx.com:5000.
Leider wechseln da die IP Adresse immer wieder. D.h. es wäre sehr mühsam das auf IP Adressen festzumachen.

Wenn ich Dich richtig verstanden habe, möchtest Du eine OUTGOING Rule anlegen.

Für Firmware 10.50.x in Lanconfig

Firewall > General > DNS destination lists eine neue DNS Destination List anlegen
Add > Name (service-relay.xxxxxx.com) > Destinations -> service-relay.xxxxxx.com eintragen

Dann:

Firewall > IPv4 Rules > Rules > Add > Name Allow-service-relay.xxxxxx.com
> Actions > ACCEPT > Stations > Connection Source localnet (oder was auch immer) > Connection Destinaton > DNS Destination service-relay.xxxxxx.com
> Services > target > New Service Object > TCP-5000 > Services > Custom Protocols > TCP Y Ports > 5000

Das wärs.

Incomming geht das nicht, soweit ich weiß.

Viele Grüße

ts

[thommymail]

Hallo,

Wenn ich Dich richtig verstanden habe, möchtest Du eine OUTGOING Rule anlegen.

Für Firmware 10.50.x in Lanconfig

korrekt!

Ich habe es so angelegt, aber leider verwirft die Firewall die Pakete über die Deny-All Regel.

Code: Alles auswählen

cd /Setup/Firewall/DNS-Destination-List 
del *
#    Name                                  Destinations                                                                                                                                                                                                                                                
#    ======================================------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "DNS-JD-RDA"                         {Destinations}  "RELAY-SERVICE.*****.COM"

Muss ich bei der DNS Adresse irgendwie mit WildCard's arbeiten??

Lässt sich loggen warum die Regel nicht greift??

Gruß
Thomas

[tstimper]

Ich habe es so angelegt, aber leider verwirft die Firewall die Pakete über die Deny-All Regel.

Kannst Du bitte testweise folgendes versuchen:

auf der CLI des Routers einmal einen ping auf RELAY-SERVICE.*****.COM machen.

Greift dannach die Firewall Allow Regel?

Viele Grüße

ts

[Dr.Einstein]

Die Firewall springt nur an, wenn die DNS Auflösung vorher über den Lancom ging.

Du kannst das überprüfen mit

Code: Alles auswählen

trace # FW-DNS

[tstimper]

Die Firewall springt nur an, wenn die DNS Auflösung vorher über den Lancom ging.

Genau das ist das Problem, dem wir seit Monaten hinterher rennen.

Entweder die Firewall macht das bei der Regelüberprüfung selbst oder die Funktion wird weggelassen.
So wie es jetzt ist machts keinen Sinn.

Viele Grüße

ts

[Dr.Einstein]

Wie sollte das gehen? Bei 0815 Szenarien wo ein Name immer nur eine IP hat, ist das natürlich möglich. Aber wenn die DNS Server eine Art Loadbalancing machen und dir jedes Mal unterschiedliche Antworten geben, so hätte der Lancom Router eine andere aufgelöste IP Adresse als der Client. Das aktuelle Verfahren ist somit nachvollziehbar. Sprich die großen Player wie O365, Google, Azure wirst du so nie bekommen.

[OnkelThomas]

Die Firewall springt nur an, wenn die DNS Auflösung vorher über den Lancom ging.

Genau das ist das Problem, dem wir seit Monaten hinterher rennen.

Entweder die Firewall macht das bei der Regelüberprüfung selbst oder die Funktion wird weggelassen.

(Ich weis der Beitrag ist schon älter, aber er kam mir gerade so vor die Linse.)
Man kann den AD DNS so einstellen, das er den LANCOM DNS verwendet, bzw. das er ihn nur für service-relay.xxxxxx.com anfragen verwendet.
Dann muss man bezüglich DNS keine Client-Configs anpassen und die Firewall ist trotzdem im bilde.
Wenn die AD-Betreuer nicht kompetente genug für so eine Regel sind, hilft es nur den Betreiber von service-relay.xxxxxx.com nach den verwendeten IP-Netzen zu fragen. Oder wie geschrieben die Funktion wegzulassen und 5000 für alle Ziele freizugeben.

[tstimper]

Oder wie geschrieben die Funktion wegzulassen .

Meine Anmerkung "die Funktion wegzulassen" bezog sich auf das aus meiner Sicht nicht immer konsistente bzw. verständliche Verhalten der DNS Destination Firewall im LCOS.

Viele Grüße

ts