Firewall-Regel greift nicht, Netz dann quasi offline

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
van Grunz
Beiträge: 51
Registriert: 16 Feb 2007, 09:36

Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von van Grunz »

Hallo zusammen,

folgendes, aus meiner Sicht merkwürdiges Szenario:
- Smart-TV an extra LAN-Buchse in einem VLAN, abgeschottet vom restlichen LAN/WLAN
- DNS-Ziel "TV_TRACKING" mit dem Inhalt "*tracking*,*adproxy*,*tracksrv*,*71i*,*.redbutton.de,*theadex*,*smartclip*,*doubleclick*,*sitestat*,*analytic*,*xiti*,*edgesuite*,*samsungads*,*samsungtvads*,*samsungqbe*,*samsungcloud*" erstellt
- Firewall-Regel erstellt, die genau dieses Tracking verhindern soll:
o Aktion: REJECT;NOTIFY
o Priorität: 50
o Verbindungsquelle: "SMART-TV"
o Verbindungszielt ist das vorgefertigte DNS-Ziel "TV_TRACKING"
o alle anderen Einstellungen wurden so belassen

Mit dieser Regel sind sogar meine Stationen aus dem LAN ganz oder teilweise offline, das TV erhält keine Verbindung, und im LANmonitor taucht kein Match der Sperr-Regel auf. Selbst im Trace-Log "FW-DNS" und "Firewall" finden sich keine Einträge, welche dieses mysteriöse Verhalten erklären.

Meine IPv4-DNS-Filterliste hatte eine stattliche Größe erreicht und dafür gesorgt, daß der Router schlecht reagiert, bis hin zu Fehlern beim Hochladen der Konfiguration. Ist das normal?
Deswegen mein Vorhaben, die Filter über die Firewall umzusetzen.
Kann man DNS-Ziele auch ohne Wildcards definieren? In der Dokumentation habe ich keinen entsprechenden Hinweis gefunden.
Muß ich irgendwelche Tags angeben? Wo finde ich die entsprechenden Zuordnungen?

Wo liegt mein Denkfehler?

Firmware/Router: LANCOM 1793VA 10.40.0210Rel
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von backslash »

Hi van Grunz
Firmware/Router: LANCOM 1793VA 10.40.0210Rel
als aller erstes updaten auf 10.40 RU3 - die 10.40Rel hat einige Probleme im Zusammehnag mit DNS und Firewall.
Und wenn du in der Firewall eine Deny-All-Strategis fährst, dann zusätzlich schauen, ob du DNS explizit erlaubt hast:

Code: Alles auswählen

Aktion:  übertragen
Quelle : alle stationen im lokalen Netz
Ziel:    IP des LANCOMs
Dienste: DNS
Meine IPv4-DNS-Filterliste hatte eine stattliche Größe erreicht und dafür gesorgt, daß der Router schlecht reagiert, bis hin zu Fehlern beim Hochladen der Konfiguration. Ist das normal?
was heißt "normal"... Wenn du da tausende Einträge drin hast, dann kann das parsen der Konfig länger dauern und LANconfig ggf. in einen Timeout rennen (andererseits habe ich schon gesehen, daß LANconfig mehrere Minuten sauber darauf gewartet hat, daß das LANCOM "OK" sagte)
Kann man DNS-Ziele auch ohne Wildcards definieren? In der Dokumentation habe ich keinen entsprechenden Hinweis gefunden.
ja, aber es bringt dir keinen Vorteil... Die DNS-Ziele werden in einem speziellen Suchbaum abgelegt und jede DNS-Auflösung wird duch den Baum geschickt. In dem Baum ist die Suchdauer nur abhängig von der Länge des aufgelösten Namen, nicht aber von der Anzahl der gespeicherten Wildcards
Muß ich irgendwelche Tags angeben?
nein, hier geht es ja erstmal um die DNS-Auflösung.
Wo finde ich die entsprechenden Zuordnungen?
unter /Status/Firewall/DNS-Database

Gruß
Backslash
Benutzeravatar
van Grunz
Beiträge: 51
Registriert: 16 Feb 2007, 09:36

Re: Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von van Grunz »

Hallo backslash,
backslash hat geschrieben: 16 Nov 2020, 14:42 als aller erstes updaten auf 10.40 RU3 - die 10.40Rel hat einige Probleme im Zusammehnag mit DNS und Firewall.
Und wenn du in der Firewall eine Deny-All-Strategis fährst, dann zusätzlich schauen, ob du DNS explizit erlaubt hast:

Code: Alles auswählen

Aktion:  übertragen
Quelle : alle stationen im lokalen Netz
Ziel:    IP des LANCOMs
Dienste: DNS
Vielen Dank für den Hinweis, ich habe schon an meinem Verstand gezweifelt. Die 10.40 RU3 habe ich installiert.

Wo kann ich umstellen, welche Strategie ich fahren? Es ist keine "deny-all"-Regel definiert. Aktuell sind nur zwei aktiv: die "block NetBIOS" und meine "TV-Tracking". Nach meinem Verständnis werden dann alle Pakete ohne Probleme weitergeleitet.
Meine IPv4-DNS-Filterliste hatte eine stattliche Größe erreicht und dafür gesorgt, daß der Router schlecht reagiert, bis hin zu Fehlern beim Hochladen der Konfiguration. Ist das normal?
was heißt "normal"... Wenn du da tausende Einträge drin hast, dann kann das parsen der Konfig länger dauern und LANconfig ggf. in einen Timeout rennen (andererseits habe ich schon gesehen, daß LANconfig mehrere Minuten sauber darauf gewartet hat, daß das LANCOM "OK" sagte)
Es waren vielleicht 50 Einträge, etwas mehr als eine Bildschirmseite in LANconfig. Täte ich jetzt nicht als so die Masse ansehen.
Kann man DNS-Ziele auch ohne Wildcards definieren? In der Dokumentation habe ich keinen entsprechenden Hinweis gefunden.
ja, aber es bringt dir keinen Vorteil... Die DNS-Ziele werden in einem speziellen Suchbaum abgelegt und jede DNS-Auflösung wird duch den Baum geschickt. In dem Baum ist die Suchdauer nur abhängig von der Länge des aufgelösten Namen, nicht aber von der Anzahl der gespeicherten Wildcards
OK. Eine mögliche Fehlerquelle wäre auch gewesen, wenn die Firewall-Regeln ausschließlich Einträge mit Wildcards erlaubten, sprich: sobald ein Eintrag ohne Wildcard drin ist, gäbe das unvorhergesehene Blockaden.

Jetzt habe ich aber ein weiteres Problem. Mit der Filterliste werden auch Seiten wie ec2-54-73-1-163.eu-west-1.compute.amazonaws.com (54.73.1.163), fra16s08-in-f211.1e100.net (172.217.16.211) geblockt, obwohl deren Namen überhaupt nicht im Filter drin stehen, auch nicht mit Wildcards.

Hier nochmal mein Filter, leicht überarbeitet:
*tracking*,*adproxy*,*71i*,*theadex*,*smartclip*,*doubleclick*,*sitestat*,*analytic*,*xiti*,*edgesuite*,*samsungads*,*samsungtvads*,*samsungqbe*,*samsungcloud*,tracksrv.zdf.de,dns.google.com

Selbst mit Deiner oben angegebenen Filterregel ganz am Ende der Tabelle (niedrigste Priorität 0) werden die angegebenen Seiten blockiert.

Irgend eine Idee, was ich falsch mache?

Auf jeden Fall schonmal Danke für Deine Hilfe.
Benutzeravatar
van Grunz
Beiträge: 51
Registriert: 16 Feb 2007, 09:36

Re: Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von van Grunz »

Wie ich gerade hier gesehen habe: fragen-zur-lancom-systems-routern-und-g ... 17683.html

unterlag auch ich der uneindeutigen Beschreibung der DNSv4-Umleitungen (man lernt nie aus :wink: ).

Die DNS-Server unter IPv4 -> Adressen habe ich nun gelöscht, eine Weiterleitung unter IPv4 -> DNS -> Weiterleitungen eingerichtet, allerdings anders, als in der Hilfe vorgesehen (dort ist von "mindestens einem Leerzeichen" die Rede, aber nicht von einem Komma, geschweige denn einem Komma PLUS Leerzeichen, wie von backslash dargestellt). Dies funktioniert nun anstandslos -- mit Komma und Leerzeichen (kann man auch mehr als 2 IP-Adressen angeben?).

Eine kleine Bemerkung am Rande:
Eine doppelte Eintragung, IPv4 -> Adressen & IPv4 -> DNS -> Weiterleitungen, habe ich einmal probiert, was in einer nicht funktionierenden Namensauflösung resultiert. Dies nur am Rande, falls es jemandem von Interesse ist. Scheinbar ist hier etwas rekursiv am Werk.

An der Stelle eine kleine Nebenfrage:
Wie kann ich feststellen, daß tatsächlich die unten genannten DNS-Server genutzt werden? Der LANmonitor zeigt mir nur die vom Anbieter zugewiesenen DNS-Server, ein nslookup unter Windows liefert den LANCOM als Router zurück (was an sich auch korrekt ist, da ja dieser den Namen auflösen soll).

Eingetragen ist nun:

Domäne: ?*
Routing-Tag: 0
Gegenstelle: 46.182.19.48, 185.95.218.42

Wenn ich nun wieder in die Smart-TV-Anwendung hinein gehe und in der ZDF-Mediathek einen Film aufrufe, sehe ich im LANmonitor wieder Blockierungen ohne Ende. Der Fernseher sagt mir prompt, ich sei offline. Geändert hat sich an dem Sachverhalt scheinbar nichts. Solange die Firewall-Regel nicht funktioniert, wird sie deaktiviert.

PS: Stimmt es, daß man einen Router-Kaltstart vornehmen muß, wenn man in Bezug auf DNS etwas an der Konfig ändert? Ich vernahm da so einen Tipp beim Durchlesen des einen oder anderen Forum-Beitrages. Sollte die DNS-Auflösung nicht funktionieren, sehe ich das in der Regel zeitnah im LANmonitor, wenn VoIP offline ist. Ich wünsche mir ISDN zurück, vor allem mit der LANcapi...
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von backslash »

Hi van Grunz,
Wo kann ich umstellen, welche Strategie ich fahren? Es ist keine "deny-all"-Regel definiert.
anhand der Deny-All-Regel - keine = Allow-All-Strategie
Aktuell sind nur zwei aktiv: die "block NetBIOS" und meine "TV-Tracking". Nach meinem Verständnis werden dann alle Pakete ohne Probleme weitergeleitet.
so ist es
Es waren vielleicht 50 Einträge, etwas mehr als eine Bildschirmseite in LANconfig. Täte ich jetzt nicht als so die Masse ansehen.
das ist auch kein Problem - ich hatte eher an sowas gedacht, was ein von mit seit Monaten boykottierter Forumsteilnehmer so ständig vor sich hin shwdroniert...
OK. Eine mögliche Fehlerquelle wäre auch gewesen, wenn die Firewall-Regeln ausschließlich Einträge mit Wildcards erlaubten, sprich: sobald ein Eintrag ohne Wildcard drin ist, gäbe das unvorhergesehene Blockaden.
Einträg ohne Wildcard erwzingen einfach nur einen exakten Match...
Jetzt habe ich aber ein weiteres Problem. Mit der Filterliste werden auch Seiten wie ec2-54-73-1-163.eu-west-1.compute.amazonaws.com (54.73.1.163), fra16s08-in-f211.1e100.net (172.217.16.211) geblockt, obwohl deren Namen überhaupt nicht im Filter drin stehen, auch nicht mit Wildcards.
Die Regel blockt am Ende nur das, was auch in der DNS-Datenbank (unter /Status/Firewall/DNS-Database) drinsteht. Wenn da irgendwo die Adresse auftaucht, dann kannst du z.B. unter "Wildcard-Records" sehen, über welche Anfrage die reingekommen ist. Du kannst auch auf der Konsole "show filter" eingeben - dann siehst du für welche Adressen die Regel aktuell matcht...
Wie kann ich feststellen, daß tatsächlich die unten genannten DNS-Server genutzt werden?
das kannst du im DNS-Trace sehen
PS: Stimmt es, daß man einen Router-Kaltstart vornehmen muß, wenn man in Bezug auf DNS etwas an der Konfig ändert?
nein. Es kann aber nötig sein die WAN-Verbindung zu trennen - z.B. wenn man ihr den DNS-Server statisch über die IP-Parameterliste zuweist.
Und natürlich: ein LANCOM ist ein sehr komplexes Teil. Wenn es sich seltsam verhält, dann kann ein Reboot helfen - wie bei einem Windows oder Linux auch

Gruß
Backslash
Benutzeravatar
van Grunz
Beiträge: 51
Registriert: 16 Feb 2007, 09:36

Re: Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von van Grunz »

Hallo backslash,

Deine Tipps haben mir sehr geholfen. So konnte ich herausfinden, daß "edgesuite" für den Stream notwendig ist. Erst in der DNS-Datenbank konnte ich erkennen, daß akamai.net ein CNAME auf edgesuite.net hat.

Im DNS-Trace sehe ich auch, daß die DNS-Weiterleitung funktioniert. Warum allerdings mal der erste und mal der zweite DNS-Server verwendet wird, wird nicht angezeigt. Kann es sein, daß der LANCOM hier eine Art DNS-Load-Balancing vornimmt?

Auf jeden Fall nochmal ein dickes und aufrichtiges "Danke"! Anhand des Traces konnte ich beispielsweise sehen, daß die ZDF-Mediathek mit xiti.com und tracksrv.zdf.de verseucht ist. Das hat nun ein Ende. :mrgreen:

Ich bin immer wieder verblüfft, wie mächtig die LANCOM-Router sind. Keinen einzigen Kauf meiner nicht wenigen Geräte habe ich bisher bereut.
Benutzeravatar
van Grunz
Beiträge: 51
Registriert: 16 Feb 2007, 09:36

Re: Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von van Grunz »

Update:
Die DNS-Server, die ich zur Weiterleitung eingetragen hatte, brachten oft einen Timeout oder auch nur eine IPv6-Adresse als Wert zurück, was bei IPv4 natürlich nicht funktioniert. Ein anderer DNS-Server arbeitet einwandfrei.

Es scheint also kein Fehler vom LANCOM zu sein.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall-Regel greift nicht, Netz dann quasi offline

Beitrag von backslash »

Hi van Grunz,
Warum allerdings mal der erste und mal der zweite DNS-Server verwendet wird, wird nicht angezeigt. Kann es sein, daß der LANCOM hier eine Art DNS-Load-Balancing vornimmt?
das LANCOM nimmt zunächst immer den ersten. Wenn eine DNS-Anfrage wiederholt wird, wechselt das LANCOM auf den nächsten...
Die DNS-Server, die ich zur Weiterleitung eingetragen hatte, brachten oft einen Timeout oder auch nur eine IPv6-Adresse als Wert zurück,
das erklärt dann auch warum das LANCOM die DNS-Server immer wieder gewechselt hat.


Es ist schön, daß jetzt alles läuft...

Gruß
Backslash
Antworten