3
DNS-Server hinter Webfilter und Firewall
Ich bin Administratorlaie und habe ein technisches Problem.
Hallo zusammen!
Unser kleines Internatsnetzwerk (Windows Server 2003) ist mit einem Webfilter (Hardwarelösung), der zugleich Proxy und Firewall ist, ausgestattet. Der Webfilter ist vor den Server geschaltet.
An sich funktioniert das System seit einigen Jahren ganz ordentlich, allerdings macht die Namensauflösung von IP-Adressen bei einigen Internetseiten Probleme. Hierzu zählen oftmals Update-Seiten und v.a. der Login bei Facebook. Hier klappt der Zugang ab und zu nur, zumeist aber kommt ein Fehlermeldung, die besagt, dass die Namensauflösung nicht funktioniert - allerdings die der Quell-IP. Hier erfolgt zumeist eine Rückmeldung des angesteuerten Quell-Servers über eine andere IP-Adresse, die scheinbar von der Firewall blockiert wird und somit nicht erkannt wird oder nicht durch den DNS-Dienst aufgelöst werden kann. Folglich lassen sich diese Seiten auch nicht anpingen... (also z.B. http://login.facebook.com).
Welche Lösungsmöglichkeiten habe ich denn? Ich habe etwas von einem vor die Firewall geschalteten DNS-Server gelesen. Macht das Sinn oder gibt es noch andere Lösungen?
Vielen Dank für die Hilfe. Ich hoffe die Problemstellung war halbwegs klar.
Unser kleines Internatsnetzwerk (Windows Server 2003) ist mit einem Webfilter (Hardwarelösung), der zugleich Proxy und Firewall ist, ausgestattet. Der Webfilter ist vor den Server geschaltet.
An sich funktioniert das System seit einigen Jahren ganz ordentlich, allerdings macht die Namensauflösung von IP-Adressen bei einigen Internetseiten Probleme. Hierzu zählen oftmals Update-Seiten und v.a. der Login bei Facebook. Hier klappt der Zugang ab und zu nur, zumeist aber kommt ein Fehlermeldung, die besagt, dass die Namensauflösung nicht funktioniert - allerdings die der Quell-IP. Hier erfolgt zumeist eine Rückmeldung des angesteuerten Quell-Servers über eine andere IP-Adresse, die scheinbar von der Firewall blockiert wird und somit nicht erkannt wird oder nicht durch den DNS-Dienst aufgelöst werden kann. Folglich lassen sich diese Seiten auch nicht anpingen... (also z.B. http://login.facebook.com).
Welche Lösungsmöglichkeiten habe ich denn? Ich habe etwas von einem vor die Firewall geschalteten DNS-Server gelesen. Macht das Sinn oder gibt es noch andere Lösungen?
Vielen Dank für die Hilfe. Ich hoffe die Problemstellung war halbwegs klar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 115892
Url: https://administrator.de/contentid/115892
Printed on: April 24, 2024 at 20:04 o'clock
3 Comments
Latest comment
Nein, das wäre Unsinn, denn die FW ist vermutlich wie immer nur Proxy DNS und reicht dann den DNS Request an den Provider bzw. dessen DNS Server den die FW mit der PPPoE Verbindung übermittelt wurde, weiter.
Oder befindet sich noch ein Router vor der FW. Diese Information fehlt wie so vieles...leider !
Leider teilst du uns ebenfalls gar nichts zur Konfiguration dieser FW mit so das man nur im freien Fall raten kann ohne dir wirklich konkret helfen zu können.
Nichtmal für die Namensnennung des FW/Filter Produktes hat es gereicht bei diesem Thread
Ebenso ob die FW Proxy DNS ist oder ihr DNS zentral mit dem Win Server macht und einer Weiterleitung an die FW als Proxs DNS.
Da kann man wie bereits bemerkt nur sinnfrei raten...
Wer der Buhmann bei diesem Problem ist bekommst du aber ganz einfach raus wenn du das Netz einmal temporär nur mit einem NAT DSL Router betreibst und prüfst ob die Probleme sich reproduzieren lassen.
Vermutlich ists der Webfilter bzw. dessen fehlerhafte Konfiguration die Ursache.
Ggf. hilt da erstmal ein Update auf die neueste Firmware Version und natürlich die Überprüfung ob DNS Daten sauber weitergereicht werden.
Ggf. hat der FW Filter ein Log oder eine Syslog Möglichkeit für ein Fehlerprotokoll ??
Über all das lässt du uns im Unklaren...
Oder befindet sich noch ein Router vor der FW. Diese Information fehlt wie so vieles...leider !
Leider teilst du uns ebenfalls gar nichts zur Konfiguration dieser FW mit so das man nur im freien Fall raten kann ohne dir wirklich konkret helfen zu können.
Nichtmal für die Namensnennung des FW/Filter Produktes hat es gereicht bei diesem Thread
Ebenso ob die FW Proxy DNS ist oder ihr DNS zentral mit dem Win Server macht und einer Weiterleitung an die FW als Proxs DNS.
Da kann man wie bereits bemerkt nur sinnfrei raten...
Wer der Buhmann bei diesem Problem ist bekommst du aber ganz einfach raus wenn du das Netz einmal temporär nur mit einem NAT DSL Router betreibst und prüfst ob die Probleme sich reproduzieren lassen.
Vermutlich ists der Webfilter bzw. dessen fehlerhafte Konfiguration die Ursache.
Ggf. hilt da erstmal ein Update auf die neueste Firmware Version und natürlich die Überprüfung ob DNS Daten sauber weitergereicht werden.
Ggf. hat der FW Filter ein Log oder eine Syslog Möglichkeit für ein Fehlerprotokoll ??
Über all das lässt du uns im Unklaren...
Ok, sorry erst mal. Muss mich da in einige Sachen einarbeiten, von denen ich keine Ahnung habe. Der DNS-Server scheint nach meinen Recherchen (Literatur, googeln...) soweit richtig eingerichtet zu sein und funktioniert. Der DNS arbeitet zentral auf dem Win Server und wird per Gateway über den als Proxy arbeitenden Webfilter weitergeleitet.
Unser Server befindet sich hinter einem Webfilter von der Firma DOMDV - das Gerät nennt sich SBOX und beinhaltet eine Firewall. Vor dem Webfilter befindet sich noch ein Router. Ein LOG bzw. Syslog konnte ich leider nicht finden - und auch der Servicetechniker vom Hersteller weiß nach internsiver Suche nicht weiter.
NOCHMAL ZU DEN PROBLEMEN:
Manche Internetseiten haben trotz selber Namensgebung (z.B. https://login.facebook.com) unterschiedliche Quell-und Ziel-IP's. Scheinbar lässt die FW die Rückmeldung unter der neuen IP nicht ins System rein. Komischerweise funktioniert es bei manchen Clients, bei manchen nicht. Das differiert von Zeit zu Zeit und von User zu User.
LöSUNGSWEG?
Ich habe gelesen, dass es möglich wäre, den DNS-Dienst über Port 53 umzuleiten, also direkt auf den Windows-DNS-Server. Wäre dies eine sinnvolle Alternative?
ANMERKUNGEN
Seltsamerweise lässt sich auch kein ping mehr ausführen. Hier scheint wohl auch das ICMP geblockt zu werden. Selbst ein ping des localhost geht nicht. Kann es auch hiermit in Zusammenhang stehen?
Unser Server befindet sich hinter einem Webfilter von der Firma DOMDV - das Gerät nennt sich SBOX und beinhaltet eine Firewall. Vor dem Webfilter befindet sich noch ein Router. Ein LOG bzw. Syslog konnte ich leider nicht finden - und auch der Servicetechniker vom Hersteller weiß nach internsiver Suche nicht weiter.
NOCHMAL ZU DEN PROBLEMEN:
Manche Internetseiten haben trotz selber Namensgebung (z.B. https://login.facebook.com) unterschiedliche Quell-und Ziel-IP's. Scheinbar lässt die FW die Rückmeldung unter der neuen IP nicht ins System rein. Komischerweise funktioniert es bei manchen Clients, bei manchen nicht. Das differiert von Zeit zu Zeit und von User zu User.
LöSUNGSWEG?
Ich habe gelesen, dass es möglich wäre, den DNS-Dienst über Port 53 umzuleiten, also direkt auf den Windows-DNS-Server. Wäre dies eine sinnvolle Alternative?
ANMERKUNGEN
Seltsamerweise lässt sich auch kein ping mehr ausführen. Hier scheint wohl auch das ICMP geblockt zu werden. Selbst ein ping des localhost geht nicht. Kann es auch hiermit in Zusammenhang stehen?
Nein, das mit der DNS Umleitung ist unsinnig ! So wie ihr es gelöst habt ist es ok.
Der Win DNS löst alles auf was lokal ist in eurem Netz und alles was er nicht kennt, dazu gehören alle Internet Domains natürlich..., werden dann an den DNS Proxy im Filter geleitet der es dann beantwortet wenn er es im Cache hat.
Hat er es nicht im Cache, dann fragt er den DNS Server vom Provider den er immer aktuell mit der PPPoE Anmeldung bekommt !!
So ist der technsiche Gang der Dinge und das ist korrekt bei euch.
Was du testweise versuchen kannst ist direkt die Webfilter IP als DNS anzugeben (statisch) bei einem Client oder eben den DNS Server des Providers.
Damit schliesst du das rerouting und caching aus bei euch und gehst direkt an einen Provider DNS.
Dann solltest du prüfen ob sich die Probleme reproduzieren lassen !!!
Wenn sie nicht wieder auftauchen hast du ein internes DNS Problem.
Das sowas wie die Firewall/Webfilter kein Log oder Syslog hat ist eigentlich unverständlich und unüblich..
Wenn aber ein Servicetechniker schon suchen muss zeugt das nicht gerade von überragender Produktkenntniss, wenn überhaupt von irgendwelchen profunden Kenntnissen....
Also Wireshark Sniffer an die Hand nehemn und den DNS Traffic analysieren bzw. die o.a. beschrieben Tests durchführen durch Umsetzen der DNS Server IP.
Das sollte eigentlich dein Problem aufdecken.
Das Webseiten unterschiedliche IPs haben leigt daran das dort ein DNS Load Balancing ausgeführt wird, weil mehrere gespiegelte Webserver verwendet werden um den Traffic zu handeln. Kein gutes Verfahren aber durchaus nicht unüblich bei großen Websites...
Der Win DNS löst alles auf was lokal ist in eurem Netz und alles was er nicht kennt, dazu gehören alle Internet Domains natürlich..., werden dann an den DNS Proxy im Filter geleitet der es dann beantwortet wenn er es im Cache hat.
Hat er es nicht im Cache, dann fragt er den DNS Server vom Provider den er immer aktuell mit der PPPoE Anmeldung bekommt !!
So ist der technsiche Gang der Dinge und das ist korrekt bei euch.
Was du testweise versuchen kannst ist direkt die Webfilter IP als DNS anzugeben (statisch) bei einem Client oder eben den DNS Server des Providers.
Damit schliesst du das rerouting und caching aus bei euch und gehst direkt an einen Provider DNS.
Dann solltest du prüfen ob sich die Probleme reproduzieren lassen !!!
Wenn sie nicht wieder auftauchen hast du ein internes DNS Problem.
Das sowas wie die Firewall/Webfilter kein Log oder Syslog hat ist eigentlich unverständlich und unüblich..
Wenn aber ein Servicetechniker schon suchen muss zeugt das nicht gerade von überragender Produktkenntniss, wenn überhaupt von irgendwelchen profunden Kenntnissen....
Also Wireshark Sniffer an die Hand nehemn und den DNS Traffic analysieren bzw. die o.a. beschrieben Tests durchführen durch Umsetzen der DNS Server IP.
Das sollte eigentlich dein Problem aufdecken.
Das Webseiten unterschiedliche IPs haben leigt daran das dort ein DNS Load Balancing ausgeführt wird, weil mehrere gespiegelte Webserver verwendet werden um den Traffic zu handeln. Kein gutes Verfahren aber durchaus nicht unüblich bei großen Websites...
