Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Problem bei der Konfiguration 2 Router und LAN

Mitglied: Wayne

Wayne (Level 1) - Jetzt verbinden

19.05.2008, aktualisiert 22.05.2008, 8713 Aufrufe, 9 Kommentare

Konfiguration Astaro Security Gateway plus Netgear Router plus LAN klappt nicht. Die DNS lässt sich nicht auflösen.

Hallo zusammen,

ich habe ein Problem mit meiner Netzwerkkonfiguration. Ich habe mir schon einige Beiträge zum Thema Router in Reihe geschaltet angesehen, aber bisher keine Lösung gefunden. Ich möchte über diesen Beitrag festellen lassen, das es nicht an meiner LAN-Konfiguration liegt, sondern an dem Paketfilter der Firewall. Dann könnte ich die Fehlersuche einkreisen.

Folgender Aufbau ist bei mir gegeben:
1) 1 Dell Optiplex konfiguriert als Firewall und Router mit Astaro Security Gateway. WAN ist PPPOE und IP intern fest172.168.0.X/24. Gateway intern ist IP intern. DNS Server sind zwei IPs vom Provider.
2) Am internen Port von Astaro kommt ein Netgear Router WGR614 v7. WAN Port ist hier die feste IP 172.168.0.Y/24. Gateway hier ist die IP intern des Astaro Router. DNS ist auch die IP intern des Astaro Router. Am internen Port des Netgear mit IP 192.168.0.X/24 läuft DHCP dass den Rechnern im LAN IPs mit 192.168.0.XY vergibt.

Nun kommt mein Problem. Ich komme vom LAN ohne Problem auf das webinterface von Astaro auf 172.168.0.X, aber nicht weiter. Laut Astaro ist die WAN-Verbindung up. Es sieht so aus, als ob der Paketfilter Anfragen auf port 53 verwirft, obwohl ich das interne Netzwerk, sowie IP extern Netgear Router für DNS-Anfragen freigegeben habe. Auch tracert hört bei der internen IP Astaro auf. Ist das also nun ein Fehler im Paketfilter, oder haben hier die Router Kommunikationsprobleme? Zwischen beiden Routern befindet sich auch cross-over Kabel. Wenn es an der LAN-Konfiguration liegen würde, dann dürfte ich aus dem LAN 192.168.0.0/24 doch gar nicht in das Netz 172.168.0.0/24 kommen, oder sehe ich das falsch? Es scheinen auch andere User Probleme mit den DNS-Anfragen bei Astaro zu haben, aber bisher konnte ich dieses Problem nirgendswo gelöst finden.

Wäre schön, wenn mir jemand eine Hilfestellung geben könnte, was ich falsch mache.

Grüsse!
Mitglied: aqui
19.05.2008 um 15:52 Uhr
Die Kardinalsfrage ist ob dein Astaro Gateway eine DNS Proxy Funktion hat ?? Wenn nicht ist die Konfiguration der IP Adresse des Astaro Gateways als DNS Server ein Fehler, denn der kann dan kein DNS Reply machen.
So oder so hättest du es aber mit ein bischen Nachdenken auch mal ganz ohne DNS testen können indem du als Ziel die nackte IP Adresse des Zielhosts z.B. 193.99.144.85 (heise.de) eingeben können. Damit schliesst du dann Port 53 Probleme von vorn herein aus !
Du musst im NetGear dann die beiden DNS IPs des Carriers eintragen, was sowieso von der Konfiguration richtiger wäre.
Damit sollte sich dann dein Problem auf Schlag lösen !
Es ist ungewöhnlich das die Firewall DNS Packete filtert. Nebenbei wäre es auch völlig unsinnig, denn dann könnte kein einziger Host der am Astaro internen Interface hängt eine DNS Auflösung machen...
Dein Netzwerk sollte dann so aussehen:

819f819b56bc910f4dc2594c5c77a6b6-dell - Klicke auf das Bild, um es zu vergrößern


Im Grunde ist das genau dasselbe und banale Design wie es auch hier vorgestellt ist:

http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397

Alles was hier zu beachten ist gilt für dich auch !

Noch ein wichtiger Punkt:
Etwas problematisch sind noch deine internen 172.168er Adressen. Das sind KEINE RFC 1918 Adressen mehr sondern öffentlich vergebene Internet IPs !!! Siehe hier:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Intern sollte man besser immer RFC 1918 konforme, also private IPs verwenden die im Internet nicht verwendet werden !!
Der private 172er Class B Bereich in dem du dich bewegen solltest geht von 172.16.0.0–172.31.255.255 !! (siehe Wiki Artikel !)
Bitte warten ..
Mitglied: Wayne
19.05.2008 um 17:22 Uhr
Hallo und Danke für die schnelle Antwort!!!

Hmmm... Also soweit ich das sehe verfügt Astaro über einen DNS-Proxy. Desweiteren habe ich auch mit den IPs vom Provider experimentiert. Die DNS-Server vom Provider sind auch normalerweise frei zugänglich. Aber auch wenn ich sie dem Netgear als DNS eintrage, hilft es nicht. Soweit war ich nämlich schon.

Stimmt. Mit dem Netz hast Du recht. Ich sollte nicht unbedingt 172.168.... nehmen.

Aber so wie es aussieht, liegt es wohl tatsächlich an Astaro. Dessen bin ich mir nach Deiner Antwort ziemlich sicher. Ich werde einmal sehen, wie ich das Problem in den Griff kriege. Vielleicht bin ich wirklich nur zu unerfahren einen Paketfilter zu konfigurieren. Wahrscheinlich liegt wie immer der Fehler vor dem Monitor...

Grüsse!!
Bitte warten ..
Mitglied: aqui
19.05.2008 um 17:30 Uhr
Du kannst das ja ganz einfach testen und wasserdicht machen:

  • Nimm einen Client (PC) in das Segment LAN-1 gebe ihm statisch eine IP aus dem 172.168.0er Netz und konfiguriere ihm statisch als default Gateway die 172.168.0.X (Astaro). Ebenfalls trägst du als DNS die 172.168.0.X (Astaro) ein.
  • Ein Ping auf die nackte IP 193.99.144.85 (www.heise.de) sollte klappen...
  • Wenn nein was sagt ein traceroute 193.99.144.85 ??
  • Klappt es, sollte auch ping www.heise.de und oder traceroute www.heise.de funktionieren !
  • Wahlweise mast du den gesamten o.a. Test nochmal mit der Provider DNS IP Adresse als DNS Server Eintrag !
(Traceroute ist tracert oder pathping bei Winblows !)

Ein Ping oder Traceroute auf die nackte IP sollte von dem Client immer funktionieren, denn damit ist gar kein PORT 53 (DNS) Traffic involviert. Es ist dann also völlig egal ob die Astaro Firewall das filtern sollte oder nicht.
Klappt es und funktioniert dasgleiche auf den Hostnamen nicht, hast du in der Tat ein DNS Problem. Sei es einmal das die proxy Funktion einfach nicht funktioniert oder ausgeschaltet ist oder das tatsächlich Port 53 Traffic gefiltert wird !!
Bitte warten ..
Mitglied: Wayne
20.05.2008 um 08:14 Uhr
Also...

Ich habe Astaro entfernt und nutze jetzt Smoothwall. Jetzt funktioniert es reibungslos.

Ich habe gestern noch lange mit allen möglichen EInstellungen herumprobiert und nichts führte zur Lösung. Astaro filtert alles. Das ist auch gut so, aber es liessen sich Ausnahmen nicht einrichten. Da in den Astaro-Foren von einem ähnlichen DNS Problem berichtet wird, vermute ich, dass es sich hier um einen bug in Zusammenhang mit bestimmter hardware handelt. Aber dafür bin ich eigentlich zu unerfahren um das wirklich zu erkennen und zu bewerten.

Wie auch immer. Ich nutze jetzt Smoothwall, die übrigens ein schnelleres webinterface hat. Astaro hatte zwar viele features, aber wenn es eben nicht geht...

Danke noch einmal für die Hilfe!!
Bitte warten ..
Mitglied: aqui
20.05.2008 um 21:47 Uhr
Gerne wieder....
Bitte dann
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: Wayne
21.05.2008 um 10:04 Uhr
...hmm...

Doch noch nicht ganz gelöst. Irgendwie hat mich das alles geärgert. Also Smoothwall runter, Astaro wider rauf. Und, siehe da, Astaro funktionierte! ...bis zum update. Jetzt habe ich das gleiche Problem wie vorher. Ich werde heute Abend einmal alle möglichen Einstellungen ausprobieren, bis ich es gelöst kriege. Das muss ja schliesslich zu schaffen sein.

Wenn ich eine Lösung gefunden habe, werde ich diese hier eintragen und anschliessend auch auf gelöst setzen (stimmt, dass hatte ich vergessen - zum Glück).

Also, auf in den Kampf!
Bitte warten ..
Mitglied: aqui
21.05.2008 um 11:10 Uhr
Das riecht ja dann klar nach einem Astaro Bug. Oder das Update verändert was an den Einstellungen. Ggf. hilft deren Hotline weiter ?!
Bitte warten ..
Mitglied: Wayne
22.05.2008 um 12:30 Uhr
Es geht! Ich habe es geschafft!

So wie es sehe ist das Problem ganz banal gewesen. Astaro benötigt einfach mehr Ressourcen als erwartet. Meine proxy-hardware ist aber etwas älter. Generell benötigt Astaro etwas, bis die Änderungen im webinterface tatsächlich umgesetzt sind. Das im Zusammenspiel mit langsamer hardware führte zu Problemen. Meine Lösung ist gewesen, dass ich mir einfach für alles Zeit gelassen habe. Denn jetzt, wo alles konfiguriert ist, funktioniert auch der proxy. Denn im Betrieb klappt es auch mit meiner hardware. Und die Möglichkeiten ansich sind bei Astaro ausgefeilter als bei Smoothwall, finde ich.

Wie auch immer, gelöst.
Bitte warten ..
Mitglied: aqui
22.05.2008 um 15:07 Uhr
Alles wird gut ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Habe ein Problem im Heimnetzwerk (2 Router)

Frage von deb10er0LAN, WAN, Wireless11 Kommentare

Hi, ich habe ein Problem bei mir zu Hause. Ich habe eine Fritzbox 7390 welche als Router dient. Zusätzlich ...

Router & Routing

Ein Server. 2 Netzwerkkarten und 2 Router .Routing Problem

Frage von darksoul666Router & Routing7 Kommentare

Hallo! Dies ist mein erster Beitrag hier und ich hoffe, ich mach nicht alles falsch ;-) Es geht um ...

Router & Routing

Router mit WLAN und 2 getrennten LAN Ports

gelöst Frage von BlainethemonoRouter & Routing6 Kommentare

Hallo liebe Administratoren, Ich habe folgendes geplant: Zwei volkommen voneinander getrente Netze INTERNAL: 192.168.1.0/24 GUEST: 192.168.2.0/24 Dabei befinden sich ...

LAN, WAN, Wireless

PC mit 2 Routern verbinden (über LAN und WLAN)

gelöst Frage von arta86LAN, WAN, Wireless3 Kommentare

Hallo, ich wollte gerne von euch Wissen ob man einen PC mit 2 Routern verbinden kann, bzw. ob es ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 3 StundenErkennung und -Abwehr1 Kommentar

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 10 StundenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 2 TagenDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 3 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Heiß diskutierte Inhalte
Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
gelöst Frage von Marcel1989Datenbanken19 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Windows Server
Programme auf DC ausführen
gelöst Frage von chris123Windows Server14 Kommentare

Hallo, ich bin gerade dabei einen weiteren Admin für unser Domäne zu konfigurieren. Er soll auch auf dem DC-Server ...

Exchange Server
Exchange 2016: Abwesenheitsnotiz für deaktivierten Benutzer
Frage von honeybeeExchange Server13 Kommentare

Hallo, kann man über Regeln eine Abwesenheitsnotiz erstellen, in der darauf hingewiesen wird, dass der Benutzer nicht mehr im ...