DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Hallo liebe Spezialisten,

wir haben seit ein paar Tagen (oder eher Wochen) ein merkwürdiges Problem: Ein bestimmtes Gerät - ein Multifunktionsdrucker/-scanner von Canon - kann keine DNS-Anfragen mehr durchführen. Dadurch kann es unter anderem keine Scans mehr auf eine SMB-Freigabe ablegen oder als E-Mail versenden. Ein Mitschnitt mit Wireshark zeigt, dass die DNS-Anfrage auf Port #53 vom LANCOM-Router von diesem mit einem ICMP Port unreachable-Paket beantwortet wird.

Darauf können wir uns keinen Reim machen, denn ansonsten sind keine Störungen beim DNS zu beobachten. Vor gut zwei Wochen, bevor das LCOS-Update durchgeführt wurde, hat es noch einwandfrei funktioniert, wie man anhand von Protokolldateien nachprüfen kann. Ob es mit dem Update überhaupt zusammenhängt, ist jedoch unklar.

Das Gerät erhält seine eigene IP-Adresse korrekt per DHCP und auch die Wartungsseite ist per Browser problemlos erreichbar. Stellt man die SMB-Freigabe vom Servernamen auf IP-Adresse um, so funktioniert auch wieder der Zugriff durch das Gerät auf die SMB-Freigabe. Es scheint also wirklich nur am DNS zu liegen.

Irgendwelche Ideen / Tipps, wie wir den Fehler einkreisen können?

LCOS 10.30.0075Rel (09.05.2019)
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von GrandDixence »

Hatte vor kurzem das Problem, dass ein neues Smartphone keine IP-Adresse vom LANCOM-internen DHCP-Server zugewiesen wurde. Vorgängig habe ich unter /Setup/DHCP/DHCP-Tabelle den Eintrag mit der MAC-Adresse des alten Smartphone gelöscht und durch einen neuen Eintrag mit der MAC-Adresse des neuen Smartphones ersetzt. Das alte wie das neue Smartphone nutzten beide die genau gleiche IP-Adresse, welche vom DHCP-Server zugewiesen wurde.

Erfahrungsgemäss sollte nach jeder Konfigurationsänderung im Bereich DNS-/DHCP-Server das LANCOM-Gerät (mit LCOS-Betriebsystem) neu gestartet werden. Also gut, habe ich den LANCOM-Router per "Knopfdruck" im Webinterface neu gestartet. Der LANCOM-Router hat brav einen Warmstart durchgeführt und im Logbuch des LANCOM-Routers (SYSLOG) war eine Zeile "warm start/warm boot" ersichtlich.

Aber oh Wunder, nach dem Warmstart verweigerte der LANCOM-interne DHCP-Server dem neuen Smartphone die Zuweisung der IP-Adresse, da offenbar diese IP-Adresse bereits vom Gerät mit der alten MAC-Adresse (altes Smartphone) verwendet wird!? Dabei wurde das alte Smartphone schon längere Zeit nicht mehr benutzt, also die DHCP-Miete/Lease schon lange abgelaufen...

Abhilfe: Kaltstart => LANCOM-Gerät für eine Minute von der Stromzufuhr trennen. Danach war im Logbuch des LANCOM-Routers (SYSLOG) eine Zeile "cold start/cold boot" ersichtlich und der DHCP-Server hat ordnungsgemäss die IP-Adresse an das neue Smartphone vergeben.

=> Wenn das beschriebene Problem auch nach einem Kaltstart des LANCOM-Routers weiterhin besteht, sollte mit dem entsprechenden DNS-Trace der Fehler eingegrenzt werden.

Hinweis: Der LANCOM-interne DNS-Server/DNS-Forwarder ist nicht konform zu RFC 7766 und beantwortet deshalb keine Anfragen über Port TCP 53:
lancom-feature-wuensche-f22/dns-transpo ... 16059.html
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Danke, der Tipp mit dem DNS-Trace war hilfreich (Kaltstarts wurden ohnehin schon vorab durchgeführt).
In der Tat meldet der LANCOM-Router "got malformed DNS packet from 10.0.1.235: invalid dns packet length".
Das Paket schaut wie folgt aus (den Rechnernamen habe ich durch einen Fantasienamen ersetzt):

Code: Alles auswählen

0000   00 a0 57 1f 7a e3 00 1e 8f 16 9c de 08 00 45 00  ..W.z.........E.
0010   00 50 61 2d 00 00 ff 11 42 b4 0a 00 01 eb 0a 00  .Pa-....B.......
0020   01 d1 04 00 00 35 00 3c 3c fb 60 9a 01 00 00 01  .....5.<<.`.....
0030   00 00 00 00 00 00 0c 61 61 61 2d 62 62 62 62 62  .......aaa-bbbbb
0040   2d 63 63 03 64 64 64 05 6c 6f 63 61 6c 00 00 01  -cc.ddd.local...
0050   00 01 00 00 00 00 00 00 00 00 00 00 00 00        ..............
Auffällig sind die 12 Null-Bytes, die am Ende des Pakets ab Offset 0x52 hängen. DNS-Pakete anderer Geräte haben diese Null-Bytes nicht.
Da das betroffene Gerät schon deutlich älter als 10 Jahre ist und keine Firmware-Updates verfügbar sind, vermute ich, dass es eine Änderung im LCOS gab, die die DNS-Pakete nun strikter prüft (Wireshark hat keine Probleme mit der Interpretation des Pakets).

Kann das jemand bestätigen?
Gibt es einen Lösungsvorschlag?
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von backslash »

Hi Hagen,
vermute ich, dass es eine Änderung im LCOS gab, die die DNS-Pakete nun strikter prüft (Wireshark hat keine Probleme mit der Interpretation des Pakets).

Kann das jemand bestätigen?
ja, die Prüfung ist strikter geworden... Wenn nach dem Parsen des letzten Ressource-Records noch "Paket übrig" ist, stimmt die Längeangabe im Paket einfach nicht.
Wireshark hat keine Probleme mit der Interpretation des Pakets
Auch Wireshark sollte die überzähligen Null-Bytes zumindest als "padding" anmerken
Gibt es einen Lösungsvorschlag?
nun ja, was soll man zu
Da das betroffene Gerät schon deutlich älter als 10 Jahre ist
sagen? Ein so altes Gerät sollte eigentlich nicht mehr im Internet "herumlaufen"...

Gruß
Backslash
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Hallo Backslash,

Danke für das ausführliche Feedback. Ein kleiner Hinweis in den Release-Notes zum LCOS auf die striktere Prüfung hätte die Fehlersuche vielleicht ein wenig abgekürzt...

Als Workaround haben wir im Gerät jetzt IP-Adressen statt der Servernamen eingetragen, somit funktioniert erst einmal alles wieder.

:D
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Hallo zusammen,

offenbar wurde das Verhalten seitens LANCOM doch als Fehler eingestuft, denn in LCOS 10.32 Rel wurde eine Korrektur vorgenommen. Hier der Auszug aus den LANCOM Release Notes:
Bei der Paketprüfung im DNS-Server kam es zu Fehlermeldungen und nicht funktionierenden DNS-Anfragen,
wenn die Paketlänge der DNS-Anfrage durch eine andere Netzwerkkomponente verändert wurde.
Jetzt funktionieren die DNS-Anfragen unseres Multifunktionsdruckers wieder.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Jirka »

Hallo Hagen,

hmm, interessant. Danke für die Info.

Backslash, ist man da jetzt zurückgerudert? Vielleicht, weil es in der Praxis zu viele Problemfälle gab?

Viele Grüße,
Jirka
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von backslash »

Hi Jirka,

das Problem war, daß es immer noch Fremdhersteller-Router gibt, die DNS-Pakete verfälchen. Im vorliegenden Fall war das ein Router der einem Kunden von seinem Kabelnetzprovider auf's Auge gedrückt bekommt hat. Da es somit kein Problem von Uralt Geräten mehr war, wurde entschieden, hier Gnade vor Recht ergehen zu lassen...

Letztendlich ändert das aber nichts daran, daß diese kaputten Pakete nicht RFC-konform sind...

Gruß
Backslash
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von Hagen2000 »

Nur der Vollständigkeit halber: Ich hatte ursprünglich geschrieben, dass das Gerät - ein Canon i-SENSYS MF6680dn - schon älter als 10 Jahre ist. Das stimmt aber gar nicht, es wurde erst 2011 angeschafft. Canon bietet auch noch Support und liefert beispielsweise Treiber für Windows 10, aber leider kein Update für die Firmware. Ich mach' mir mal den Spaß und schicke denen eine Support-Anfrage :lol:
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
失败是成功之母
Beiträge: 73
Registriert: 03 Aug 2020, 14:18

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von 失败是成功之母 »

DNS bekommt seit zwei Dekaden immer neue Aufgaben. Es wird immer komplexer und komplexer. Ich bin mir nicht sicher, ob die DNS-Forwarder in unseren heutigen Routern wie Lancom (aber auch AVM) dieser Aufgabe noch gerecht werden. Bei AVM FRITZ!OS hatte ich schon nachweislich Fehler mit DNS over TCP. In Lancom gibt es das gar nicht erst. Daher gehe ich – in Netzen in denen keine lokalen Dienste nötig sind – immer öfter den Weg, direkt den DNS-Server des/eines Internet-Anbieters zu verteilen. Geht das in Lancom LCOS irgendwie automatisch? Also dass ich LCOS sagen kann, nimm nicht Dich selbst als DNS-Forwarder, sondern verteile über DHCP, RA, DHCPv6 direkt die DNS-Server des Anbieters? DrayTek Vigor kann das dynamisch. In LCOS und FRITZ!OS geht das nur statisch, also ich muss die aktuellen DNS-Server im Router fest eintragen. Klar, ich könnte auch einen öffentlichen DNS-Anbieter wie Cloudflare 1.1.1.1 nehmen – mit den üblichen Folgen, dass z.B. VoWiFi oder vielleicht Internet-TV dann nicht mehr gehen.
[DNS] [info] … : got malformed DNS packet from … : invalid txt record
Ähnliches Drama hier, aber nicht seit LCOS 10.30 sondern erst seit LCOS 10.32 Rel. In jenem Fall war die Antwort ein Character-String. Ein solcher String ist bereits length-prefixed. Aber meine Gegenstelle schreibt jenen String als C-String, also zusätzlich auch noch Null terminiert. Natürlich Quark. Aber alle Längen-Bytes stimmen. Und man könnte jetzt RFC-Exegese betreiben, ob das erlaubt ist oder nicht. Wireshark erkennt dieses zusätzliche Null-Byte als zweiten Character-String ohne Länge.

Nach dem Robustheitsgrundsatz existiert kein Grund diese TXT-Antwort komplett zu werfen. Außer man interpretiert einen DNS-Forwarder so, dass dieser auch den Inhalt seiner Antworten zu verantworten also zu überprüfen hat. Aber selbst dann, ein aktuelles LCOS 10.20 lässt die Antwort durch. AVM FRITZ!OS. 1&1. CloudFlare 1.1.1.1. Google DNS. Alle lassen sie dieses TXT-Antwort durch. Nur Lancom sträubt sich seit LCOS 10.32. Schlimmer: Man muss das erst mal verstehen (können). Glücklicherweise hatte ich in diesem Fall die Gegenstelle unter Kontrolle – dank Open-Source – und konnte das anpassen. Aber auch das hat Zeit gekostet.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von GrandDixence »

Empfehlenswert in kleinen Firmen- und Heimnetzwerke ist der Parallelbetrieb eines Raspberry Pi neben dem LANCOM-Router. Der Raspberry Pi übernimmt die Aufgabe des DNS-Forwarders (-> unbound oder dnsmasq). Auf allen Netzwerkteilnehmern im Firmen- oder Heimnetzwerk wird als DNS-Server die IP-Adresse des Raspberry Pi konfiguriert.

Siehe für mehr Informationen:

fragen-zur-lancom-systems-routern-und-g ... ml#p101750

fragen-zur-lancom-systems-routern-und-g ... ml#p103913

fragen-zum-thema-vpn-f14/vpn-mit-16-kle ... ml#p106335

fragen-zur-lancom-systems-routern-und-g ... ml#p102320

Auch die Angaben in der "Gute Performance Regel Nr. 23" beachten:
https://community.upc.ch/d/4397-diagnos ... ge-probl/2
Zuletzt geändert von GrandDixence am 24 Nov 2021, 16:35, insgesamt 1-mal geändert.
失败是成功之母
Beiträge: 73
Registriert: 03 Aug 2020, 14:18

Re: DNS-Anfrage für bestimmtes Gerät wird zurückgewiesen

Beitrag von 失败是成功之母 »

Oder so … ja … wenn man den lokalen DNS-Server auch noch DHCP(v6)-Server spielen lässt (z.B. mittels Pi-hole), klappen sogar lokale dynamisch registrierte Hostnamen (wie Drucker). Ansätze gibt es viele. Die Frage war nur, wie das mit diesen Router integrierten Forwardern noch weiter gehen soll.
Antworten