[Gelöst] DNS Problem aus internen Netz auf UTM:53 Deny

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Snoopy77
Beiträge: 42
Registriert: Mo 17.02.2014, 19:57

[Gelöst] DNS Problem aus internen Netz auf UTM:53 Deny

Beitrag von Snoopy77 »

Hallo,
ich habe ein Problem mit dem DNS Zugriff aus meinem internen Netzwerk von einigen Clients aus.
Die Clients erhalten ihre IP oder einen DHCP Server auf Win Server 2012 R2.
Dort ebenfalls die DNS Einstellungen und GW etc.
Diese sind:
UTM: 192.168.20.10
Clients 192.168.20.100-150
GW 192.168.20.10
Win-Server DNS/DHCP 192.168.20.30

DNS Server für DHCP: 192.168.20.30 und 192.168.20.10

Auf beiden DNS-Servern ist eine WEiterleitung an 8.8.8.8 defniert.

Nun habe ich auf einigen Clients das Phänomen, dass diese ein Deny von der Firewall bekommen.
Also Deny 192.168.20.106:13224 -> Eth1 -> 192.168.20.10:53

Ich habe schon diverse Regeln ausprobiert, aber ich finde den Fehler nicht.
Es sind folgende Regeln definiert, die damit zu tun haben:
internal Netzworks -> UTM -> any
UTM -> Internet -> DNS HN
WinServer -> Internet-> DNS HN

Sonst läuft der Zugriff ins Internet über einen transparenten Proxy. Aber selbst wenn ich diesen deaktivere, kommt dieser Fehler.
Das Verrückte ist, dass ich zum Teil einige Geräte gar nicht aktiviert bekomme, es sei denn ich stelle den DNS manuell gleich auf 8.8.8.8
Leider geht dies nicht bei allen Geräten...

Hat jemand eine Idee, woran dies liegen könnte?

Gruß

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Es liegt vermutlich an einer nicht zusammenpassenden Kombination aus "Zone auf Interface", "Netzwerkobjekt in Zone", "IP-Adresse in Netzwerkobjekt" oder "Netzwerkobjekt in Regel". Da gibt es jetzt nicht "den einen" Tip, man muss einfach alles kontrollieren.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Wenn in dem Netzwerk eine Domäne eingerichtet ist und der Windows-Server DC, DNS, und DHCP-Dienste für das Netzwerk bereitstellt, sollte unbedingt auf den Netzwerkkarten des Servers und bei den Clients (dann per DHCP) ausschließlich der oder die lokale(n) DNS eingetragen sein (hier vermutlich 192.168.20.30). In der DNS-Konfiguration des lokalen DNS-Dienstes sollte eine Weiterleitung auf mindestens einen externen DNS (z.B. 8.8.8.8 ) eingerichtet werden. Der Windows-Server übernimmt dann für das Netzwerk die Namensauflösung. Der Server sollte dann allerdings auch wirklich DNS-Anfragen ins Internet absetzen können. Da dürfte vielleicht der Tipp von Erik zum tragen kommen.

Gruß

Franz

Antworten