ARF Netz und DNS Auflösung Internet Domains

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Uller
Beiträge: 23
Registriert: 28 Jul 2018, 20:17

ARF Netz und DNS Auflösung Internet Domains

Beitrag von Uller »

Hallo zusammen,

zum Thema ARF Netze und DNS gibt es hier ja schon einige Beiträge, aber irgendwie bin ich offensichtlich zu blöd das für mein Problem zu adaptieren. Daher würde ich mich über Eure Unterstützung freuen.

Zur Ausgangslage:

In meinem 1781VA sind mehrere IPv4 Netze definiert, IPv6 ist deaktiviert, unter anderem:
- INTRANET: Netz 192.168.100.1, Typ: Intranet, VLAN ID 1, Tag 0, LAN 1
- VOIP: 192.168.190.1, Typ: Intranet, VLAN ID 9, Tag 9, LAN 1

Interne Domain: uller.internal

Das VLAN Modul im Lancom ist deaktiviert, die Zuweisung der VLANS erfolgt im vorgeschalteten Switch

Der Lancom fungiert als DNS Server und leitet Anfragen für unbekannte Domains an den Server des Providers weiter

Aus dem Intranet (192.168.100.0) funktioniert auch alles wie es soll, interne Rechner und Ziele im Internet können durch die Clients aufgelöst werden.

Aus dem VOIP Netz werden allerdings nur interne Domains aufgelöst, ein nslookup auf Domains im Internet liefert beim Client ein "REFUSED", im DNS Trace des Lancom ist folgendes zu finden:

Code: Alles auswählen

[DNS] 2020/10/05 18:45:49,836
DNS Rx (VLAN_VOIP): Src-IP 192.168.190.112, RtgTag 9
Transaction ID: 0x562a
Flags: 0x0100 (Standard query, No error)
Queries
  www.heise.de: type A, class IN

STD A for www.heise.de
Not found in local DNS database => forward to next server

Was ich probiert habe:

1. IPv4 DNS -> Tag Kontext Tabelle, neuer Eintrag mit Tag 9, alle Werte aktiviert.
Ob der Eintrag vorhanden ist scheint aber keinerlei Auswirkungen zu haben, in beiden Fällen können interne Domains aufgelöst werden, externe nicht. Warum die internen Domains aufgelöst werde, wenn der Eintrag nicht vorhanden ist, ist mir auch nicht klar...

2. IPv4 DNS -> Weiterleitungen
Domäne: *
Tag: 9
Gegenstelle: 192.168.100.1@0

3. Eine Firewallregel die testweise alle Verbindungen aus dem VOIP Netz zum Intranet erlaubt, ohne Einschränkungen des Protokolls


Ziel ist, das die Clients aus dem VOIP Netz auch externe Domains über den DNS des Lancoms auflösen können.


Irgend etwas übersehe ich, aber was?

Für Eure Hilfe schon einmal vielen Dank!

Uller
Nach oben
backslash
Moderator
Moderator
Beiträge: 7011
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: ARF Netz und DNS Auflösung Internet Domains

Beitrag von backslash »

Hi Uller,

normalerweise sollte das ohne Einschränkungen und besondere Einträge in der Konfiguration funktionieren - insbesondere ohne Weiterleitung an die IP des LANCOMs (das ist völlig falsch!)
Im DNS-Trace sollte auch mehr stehen - nämlich welcher Server genommen wird, z.B.

Code: Alles auswählen

[DNS] 2020/10/06 10:57:17,298
DNS Rx (intern): Src-IP 192.168.1.145, RtgTag 0
Transaction ID: 0xfdf5
Flags: 0x0100 (Standard query, No error)
Queries
  www.heise.de: type AAAA, class IN

STD AAAA for www.heise.de
DnsGetDest: Match found: forwarding www.heise.de to 6RDGW
Not found in local DNS database => forward to next server


[DNS] 2020/10/06 10:57:17,299 [info] :
using IPv6 DNS server 2001:470:1f0b:1bc3:a0:57ff:fe0f:c9f8 on 6RDGW
oder hast du den Trace gefiltert...

Ansonsten: Wenn du eine 10.40 einsetzt und Firewallregeln mit QoS hast, dann könnte es sein, daß diese das DNS fälschlicherwesie blockieren. Da hilt als Workarround eine Firewallregel, die DNS-Anfragen eplizit zuläßt:

Code: Alles auswählen

ALLOW-DNS-VOIP
Aktion:      übetragen
Quelle:      alle Stationen im lokalen VOIP
Ziel:        IP des LANCOMs im netz VOIP (192.168.190.1)
Dienste:     DNS
Die Regel muß eine höhere Priorität haben, als die QoS-Regel - am besten "schiebst" du sie ganz nach oben...

Das ist ein bekannter Fehler und wird in der nächsten Version gefixt sein


Gruß
Backslash
Nach oben
Uller
Beiträge: 23
Registriert: 28 Jul 2018, 20:17

Re: ARF Netz und DNS Auflösung Internet Domains

Beitrag von Uller »

Hallo Backslash,

erst einmal vielen Dank für Deine Hilfe, Du hast mir wirklich sehr geholfen!

Ich verwende die 10.34RU1 (von der 10.40 hält mich momentan noch dieser Thread ab: aktuelle-lancom-router-serie-f41/1781va ... 18196.html).

Trotzdem war die von die genannte Firewallregel die Lösung, jetzt funktioniert es wie gewünscht! Bei meinem Test gestern hab ich nur eine Regel für die Verbindung zum Intranet erlaubt, nicht zur IP des Lancom im VoIP Netz.

Der Ausschnitt aus dem Trace war nicht gefiltert, aber vermutlich habe ich die nächsten Zeilen beim Kopieren einfach übersehen, im DNS Trace ist ja eine Menge los. Mit der von Dir genannten Firewallregel sieht es jetzt so aus, ich denke dass ist korrekt:

Code: Alles auswählen

[DNS] 2020/10/06 17:34:07,899
DNS Rx (VLAN_VOIP): Src-IP 192.168.190.112, RtgTag 9
Transaction ID: 0xfc7f
Flags: 0x0100 (Standard query, No error)
Queries
  www.heise.de: type A, class IN

STD A for www.heise.de
Not found in local DNS database => forward to next server


[DNS] 2020/10/06 17:34:07,900 [info] : 
create new source map entry for 192.168.190.112
using IPv4 DNS server 217.237.150.115 on T-CLSURF

[DNS] 2020/10/06 17:34:07,914 [info] : 
DNS Rx (T-CLSURF): Src-IP 217.237.150.115, RtgTag 0
Transaction ID: 0xfc7f
Flags: 0x8180 (Standard query response, No error)
Queries
  www.heise.de: type A, class IN
Answers records
  www.heise.de: type A, class IN, ttl 13 hours, 58 minutes, 3 seconds, addr 193.99.144.85
forward to host 192.168.190.112

Noch einmal vielen Dank, das Problem hat mich schon länger beschäftigt...

Viele Grüße,
Uller
Nach oben
Antworten

Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“