9
Problem bei der Konfiguration 2 Router und LAN
Konfiguration Astaro Security Gateway plus Netgear Router plus LAN klappt nicht. Die DNS lässt sich nicht auflösen.
Hallo zusammen,
ich habe ein Problem mit meiner Netzwerkkonfiguration. Ich habe mir schon einige Beiträge zum Thema Router in Reihe geschaltet angesehen, aber bisher keine Lösung gefunden. Ich möchte über diesen Beitrag festellen lassen, das es nicht an meiner LAN-Konfiguration liegt, sondern an dem Paketfilter der Firewall. Dann könnte ich die Fehlersuche einkreisen.
Folgender Aufbau ist bei mir gegeben:
1) 1 Dell Optiplex konfiguriert als Firewall und Router mit Astaro Security Gateway. WAN ist PPPOE und IP intern fest172.168.0.X/24. Gateway intern ist IP intern. DNS Server sind zwei IPs vom Provider.
2) Am internen Port von Astaro kommt ein Netgear Router WGR614 v7. WAN Port ist hier die feste IP 172.168.0.Y/24. Gateway hier ist die IP intern des Astaro Router. DNS ist auch die IP intern des Astaro Router. Am internen Port des Netgear mit IP 192.168.0.X/24 läuft DHCP dass den Rechnern im LAN IPs mit 192.168.0.XY vergibt.
Nun kommt mein Problem. Ich komme vom LAN ohne Problem auf das webinterface von Astaro auf 172.168.0.X, aber nicht weiter. Laut Astaro ist die WAN-Verbindung up. Es sieht so aus, als ob der Paketfilter Anfragen auf port 53 verwirft, obwohl ich das interne Netzwerk, sowie IP extern Netgear Router für DNS-Anfragen freigegeben habe. Auch tracert hört bei der internen IP Astaro auf. Ist das also nun ein Fehler im Paketfilter, oder haben hier die Router Kommunikationsprobleme? Zwischen beiden Routern befindet sich auch cross-over Kabel. Wenn es an der LAN-Konfiguration liegen würde, dann dürfte ich aus dem LAN 192.168.0.0/24 doch gar nicht in das Netz 172.168.0.0/24 kommen, oder sehe ich das falsch? Es scheinen auch andere User Probleme mit den DNS-Anfragen bei Astaro zu haben, aber bisher konnte ich dieses Problem nirgendswo gelöst finden.
Wäre schön, wenn mir jemand eine Hilfestellung geben könnte, was ich falsch mache.
Grüsse!
ich habe ein Problem mit meiner Netzwerkkonfiguration. Ich habe mir schon einige Beiträge zum Thema Router in Reihe geschaltet angesehen, aber bisher keine Lösung gefunden. Ich möchte über diesen Beitrag festellen lassen, das es nicht an meiner LAN-Konfiguration liegt, sondern an dem Paketfilter der Firewall. Dann könnte ich die Fehlersuche einkreisen.
Folgender Aufbau ist bei mir gegeben:
1) 1 Dell Optiplex konfiguriert als Firewall und Router mit Astaro Security Gateway. WAN ist PPPOE und IP intern fest172.168.0.X/24. Gateway intern ist IP intern. DNS Server sind zwei IPs vom Provider.
2) Am internen Port von Astaro kommt ein Netgear Router WGR614 v7. WAN Port ist hier die feste IP 172.168.0.Y/24. Gateway hier ist die IP intern des Astaro Router. DNS ist auch die IP intern des Astaro Router. Am internen Port des Netgear mit IP 192.168.0.X/24 läuft DHCP dass den Rechnern im LAN IPs mit 192.168.0.XY vergibt.
Nun kommt mein Problem. Ich komme vom LAN ohne Problem auf das webinterface von Astaro auf 172.168.0.X, aber nicht weiter. Laut Astaro ist die WAN-Verbindung up. Es sieht so aus, als ob der Paketfilter Anfragen auf port 53 verwirft, obwohl ich das interne Netzwerk, sowie IP extern Netgear Router für DNS-Anfragen freigegeben habe. Auch tracert hört bei der internen IP Astaro auf. Ist das also nun ein Fehler im Paketfilter, oder haben hier die Router Kommunikationsprobleme? Zwischen beiden Routern befindet sich auch cross-over Kabel. Wenn es an der LAN-Konfiguration liegen würde, dann dürfte ich aus dem LAN 192.168.0.0/24 doch gar nicht in das Netz 172.168.0.0/24 kommen, oder sehe ich das falsch? Es scheinen auch andere User Probleme mit den DNS-Anfragen bei Astaro zu haben, aber bisher konnte ich dieses Problem nirgendswo gelöst finden.
Wäre schön, wenn mir jemand eine Hilfestellung geben könnte, was ich falsch mache.
Grüsse!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 87960
Url: https://administrator.de/contentid/87960
Printed on: April 19, 2024 at 18:04 o'clock
9 Comments
Latest comment
Die Kardinalsfrage ist ob dein Astaro Gateway eine DNS Proxy Funktion hat ?? Wenn nicht ist die Konfiguration der IP Adresse des Astaro Gateways als DNS Server ein Fehler, denn der kann dan kein DNS Reply machen.
So oder so hättest du es aber mit ein bischen Nachdenken auch mal ganz ohne DNS testen können indem du als Ziel die nackte IP Adresse des Zielhosts z.B. 193.99.144.85 (heise.de) eingeben können. Damit schliesst du dann Port 53 Probleme von vorn herein aus !
Du musst im NetGear dann die beiden DNS IPs des Carriers eintragen, was sowieso von der Konfiguration richtiger wäre.
Damit sollte sich dann dein Problem auf Schlag lösen !
Es ist ungewöhnlich das die Firewall DNS Packete filtert. Nebenbei wäre es auch völlig unsinnig, denn dann könnte kein einziger Host der am Astaro internen Interface hängt eine DNS Auflösung machen...
Dein Netzwerk sollte dann so aussehen:
Im Grunde ist das genau dasselbe und banale Design wie es auch hier vorgestellt ist:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
Alles was hier zu beachten ist gilt für dich auch !
Noch ein wichtiger Punkt:
Etwas problematisch sind noch deine internen 172.168er Adressen. Das sind KEINE RFC 1918 Adressen mehr sondern öffentlich vergebene Internet IPs !!! Siehe hier:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Intern sollte man besser immer RFC 1918 konforme, also private IPs verwenden die im Internet nicht verwendet werden !!
Der private 172er Class B Bereich in dem du dich bewegen solltest geht von 172.16.0.0–172.31.255.255 !! (siehe Wiki Artikel !)
So oder so hättest du es aber mit ein bischen Nachdenken auch mal ganz ohne DNS testen können indem du als Ziel die nackte IP Adresse des Zielhosts z.B. 193.99.144.85 (heise.de) eingeben können. Damit schliesst du dann Port 53 Probleme von vorn herein aus !
Du musst im NetGear dann die beiden DNS IPs des Carriers eintragen, was sowieso von der Konfiguration richtiger wäre.
Damit sollte sich dann dein Problem auf Schlag lösen !
Es ist ungewöhnlich das die Firewall DNS Packete filtert. Nebenbei wäre es auch völlig unsinnig, denn dann könnte kein einziger Host der am Astaro internen Interface hängt eine DNS Auflösung machen...
Dein Netzwerk sollte dann so aussehen:
Im Grunde ist das genau dasselbe und banale Design wie es auch hier vorgestellt ist:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
Alles was hier zu beachten ist gilt für dich auch !
Noch ein wichtiger Punkt:
Etwas problematisch sind noch deine internen 172.168er Adressen. Das sind KEINE RFC 1918 Adressen mehr sondern öffentlich vergebene Internet IPs !!! Siehe hier:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Intern sollte man besser immer RFC 1918 konforme, also private IPs verwenden die im Internet nicht verwendet werden !!
Der private 172er Class B Bereich in dem du dich bewegen solltest geht von 172.16.0.0–172.31.255.255 !! (siehe Wiki Artikel !)
Hallo und Danke für die schnelle Antwort!!!
Hmmm... Also soweit ich das sehe verfügt Astaro über einen DNS-Proxy. Desweiteren habe ich auch mit den IPs vom Provider experimentiert. Die DNS-Server vom Provider sind auch normalerweise frei zugänglich. Aber auch wenn ich sie dem Netgear als DNS eintrage, hilft es nicht. Soweit war ich nämlich schon.
Stimmt. Mit dem Netz hast Du recht. Ich sollte nicht unbedingt 172.168.... nehmen.
Aber so wie es aussieht, liegt es wohl tatsächlich an Astaro. Dessen bin ich mir nach Deiner Antwort ziemlich sicher. Ich werde einmal sehen, wie ich das Problem in den Griff kriege. Vielleicht bin ich wirklich nur zu unerfahren einen Paketfilter zu konfigurieren. Wahrscheinlich liegt wie immer der Fehler vor dem Monitor...
Grüsse!!
Hmmm... Also soweit ich das sehe verfügt Astaro über einen DNS-Proxy. Desweiteren habe ich auch mit den IPs vom Provider experimentiert. Die DNS-Server vom Provider sind auch normalerweise frei zugänglich. Aber auch wenn ich sie dem Netgear als DNS eintrage, hilft es nicht. Soweit war ich nämlich schon.
Stimmt. Mit dem Netz hast Du recht. Ich sollte nicht unbedingt 172.168.... nehmen.
Aber so wie es aussieht, liegt es wohl tatsächlich an Astaro. Dessen bin ich mir nach Deiner Antwort ziemlich sicher. Ich werde einmal sehen, wie ich das Problem in den Griff kriege. Vielleicht bin ich wirklich nur zu unerfahren einen Paketfilter zu konfigurieren. Wahrscheinlich liegt wie immer der Fehler vor dem Monitor...
Grüsse!!
Du kannst das ja ganz einfach testen und wasserdicht machen:
Ein Ping oder Traceroute auf die nackte IP sollte von dem Client immer funktionieren, denn damit ist gar kein PORT 53 (DNS) Traffic involviert. Es ist dann also völlig egal ob die Astaro Firewall das filtern sollte oder nicht.
Klappt es und funktioniert dasgleiche auf den Hostnamen nicht, hast du in der Tat ein DNS Problem. Sei es einmal das die proxy Funktion einfach nicht funktioniert oder ausgeschaltet ist oder das tatsächlich Port 53 Traffic gefiltert wird !!
- Nimm einen Client (PC) in das Segment LAN-1 gebe ihm statisch eine IP aus dem 172.168.0er Netz und konfiguriere ihm statisch als default Gateway die 172.168.0.X (Astaro). Ebenfalls trägst du als DNS die 172.168.0.X (Astaro) ein.
- Ein Ping auf die nackte IP 193.99.144.85 (www.heise.de) sollte klappen...
- Wenn nein was sagt ein traceroute 193.99.144.85 ??
- Klappt es, sollte auch ping www.heise.de und oder traceroute www.heise.de funktionieren !
- Wahlweise mast du den gesamten o.a. Test nochmal mit der Provider DNS IP Adresse als DNS Server Eintrag !
Ein Ping oder Traceroute auf die nackte IP sollte von dem Client immer funktionieren, denn damit ist gar kein PORT 53 (DNS) Traffic involviert. Es ist dann also völlig egal ob die Astaro Firewall das filtern sollte oder nicht.
Klappt es und funktioniert dasgleiche auf den Hostnamen nicht, hast du in der Tat ein DNS Problem. Sei es einmal das die proxy Funktion einfach nicht funktioniert oder ausgeschaltet ist oder das tatsächlich Port 53 Traffic gefiltert wird !!
Also...
Ich habe Astaro entfernt und nutze jetzt Smoothwall. Jetzt funktioniert es reibungslos.
Ich habe gestern noch lange mit allen möglichen EInstellungen herumprobiert und nichts führte zur Lösung. Astaro filtert alles. Das ist auch gut so, aber es liessen sich Ausnahmen nicht einrichten. Da in den Astaro-Foren von einem ähnlichen DNS Problem berichtet wird, vermute ich, dass es sich hier um einen bug in Zusammenhang mit bestimmter hardware handelt. Aber dafür bin ich eigentlich zu unerfahren um das wirklich zu erkennen und zu bewerten.
Wie auch immer. Ich nutze jetzt Smoothwall, die übrigens ein schnelleres webinterface hat. Astaro hatte zwar viele features, aber wenn es eben nicht geht...
Danke noch einmal für die Hilfe!!
Ich habe Astaro entfernt und nutze jetzt Smoothwall. Jetzt funktioniert es reibungslos.
Ich habe gestern noch lange mit allen möglichen EInstellungen herumprobiert und nichts führte zur Lösung. Astaro filtert alles. Das ist auch gut so, aber es liessen sich Ausnahmen nicht einrichten. Da in den Astaro-Foren von einem ähnlichen DNS Problem berichtet wird, vermute ich, dass es sich hier um einen bug in Zusammenhang mit bestimmter hardware handelt. Aber dafür bin ich eigentlich zu unerfahren um das wirklich zu erkennen und zu bewerten.
Wie auch immer. Ich nutze jetzt Smoothwall, die übrigens ein schnelleres webinterface hat. Astaro hatte zwar viele features, aber wenn es eben nicht geht...
Danke noch einmal für die Hilfe!!
...hmm... 
Doch noch nicht ganz gelöst. Irgendwie hat mich das alles geärgert. Also Smoothwall runter, Astaro wider rauf. Und, siehe da, Astaro funktionierte! ...bis zum update. Jetzt habe ich das gleiche Problem wie vorher. Ich werde heute Abend einmal alle möglichen Einstellungen ausprobieren, bis ich es gelöst kriege. Das muss ja schliesslich zu schaffen sein.
Wenn ich eine Lösung gefunden habe, werde ich diese hier eintragen und anschliessend auch auf gelöst setzen (stimmt, dass hatte ich vergessen - zum Glück).
Also, auf in den Kampf!
Doch noch nicht ganz gelöst. Irgendwie hat mich das alles geärgert. Also Smoothwall runter, Astaro wider rauf. Und, siehe da, Astaro funktionierte! ...bis zum update. Jetzt habe ich das gleiche Problem wie vorher. Ich werde heute Abend einmal alle möglichen Einstellungen ausprobieren, bis ich es gelöst kriege. Das muss ja schliesslich zu schaffen sein.
Wenn ich eine Lösung gefunden habe, werde ich diese hier eintragen und anschliessend auch auf gelöst setzen (stimmt, dass hatte ich vergessen - zum Glück).
Also, auf in den Kampf!
Das riecht ja dann klar nach einem Astaro Bug. Oder das Update verändert was an den Einstellungen. Ggf. hilft deren Hotline weiter ?!
Es geht! Ich habe es geschafft!
So wie es sehe ist das Problem ganz banal gewesen. Astaro benötigt einfach mehr Ressourcen als erwartet. Meine proxy-hardware ist aber etwas älter. Generell benötigt Astaro etwas, bis die Änderungen im webinterface tatsächlich umgesetzt sind. Das im Zusammenspiel mit langsamer hardware führte zu Problemen. Meine Lösung ist gewesen, dass ich mir einfach für alles Zeit gelassen habe. Denn jetzt, wo alles konfiguriert ist, funktioniert auch der proxy. Denn im Betrieb klappt es auch mit meiner hardware. Und die Möglichkeiten ansich sind bei Astaro ausgefeilter als bei Smoothwall, finde ich.
Wie auch immer, gelöst.
So wie es sehe ist das Problem ganz banal gewesen. Astaro benötigt einfach mehr Ressourcen als erwartet. Meine proxy-hardware ist aber etwas älter. Generell benötigt Astaro etwas, bis die Änderungen im webinterface tatsächlich umgesetzt sind. Das im Zusammenspiel mit langsamer hardware führte zu Problemen. Meine Lösung ist gewesen, dass ich mir einfach für alles Zeit gelassen habe. Denn jetzt, wo alles konfiguriert ist, funktioniert auch der proxy. Denn im Betrieb klappt es auch mit meiner hardware. Und die Möglichkeiten ansich sind bei Astaro ausgefeilter als bei Smoothwall, finde ich.
Wie auch immer, gelöst.
Alles wird gut ...
