Zone Forwarding

[mlion]

Hallo Securepoint-Forum,
ich habe ein Problem mit dem Zone-Forwarding. Irgendwo ist da bei mir der Wurm drin. Vielleicht kann mir hier jemand helfen.

Zur Ausgangssituation (ich hoffe man kann sich das gut vorstellen):
Wir haben zwei Internetanschlüsse. Einer (A) wird von unserem Firmennetzwerk genutzt. Der Zweite (B) wird genutzt, um über einen VPN Router eine Verbindung zu einem Kunden aufzubauen.
An A hängt die RC100 am ETH0. ETH1 geht an einen Switch und von dort in unser Firmennetzwerk. ETH2 hängt an einem anderen Switch, an welchem eigene Clients für das Kundennetz sind und auch der VPN Router (feste IP 10.25.140.1 – vom Kunden vorgegeben und konfiguriert), der am Anschluss B hängt. ETH2 hat die feste IP (Vorgabe vom Kunden) 10.25.140.10 und die RC100 soll auch als DNS dienen. Die Clients im Kundennetz erhalten über DHCP ihre IPs. Anfragen von den Clients in die Kundendomäne (kunde.corp) sollen von der RC100 über den Gateway 10.25.140.1 an den DNS Server hinter dem VPN Tunnel mit der IP 193.50.40.200 geleitet werden. Darüber hinaus soll nur Traffic zum AntiVirus- und WindowsUpdate Server vom Client über die RC100 zum Anschluss A möglich sein. Dies soll aber jetzt noch nicht implementiert werden.
 
Folgende Einstellungen habe ich in der RC100 vorgenommen:
Netzwerk-Servereinstellungen-DNS-Server

• Pri: 127.0.0.1
• Sec: 8.8.8.8

 
Netzwerk-Netzwerkkonfiguration-Routing

• Quelle: 10.25.140.0/24
• Gateway: 10.25.140.1
• Ziel: 193.50.40.0/24

 
Netzwerk-Zoneneinstellungen

• kunde-internal am ETH2
• kunde-internal-Firewall am ETH2 als INTERFACE

 
Firewall-Portfilter-Netzwerkobjekte

• Name: kunde-network; Zone: kunden-internal; Adresse: 10.25.140.0/24
• Name: kunde-firewall; Zone: kunde-internal-Firewall; Adresse 10.25.140.10/24
• Name: kundeDNS; Zone: kunde-internal; Adresse: 193.50.40.200/32

 
Firewall-Portfilter-Portfilter (in eigener Gruppe und in der Reihenfolge wie hier angegeben)

• Quelle: kunde- network; Ziel: kunde-firewall; Dienst: dns; NAT: none
• Quelle: kunde-firewall; Ziel: kundeDNS; Dienst: dns; NAT: none

 
Anwendungen-Nameserver-Zonen (Forward Zone)

• Zonenname: kunde.corp
• Nameserver Hostname: localhost
• Mit zwei Einträgen:

1. Name (leer); Typ: NS; Wert: localhost; Priorität: 0 (wurde so von der RC100 bereits vorgegeben)
2. Name „kunde.corp.“; Typ: A; Wert: 193.50.40.200; Priorität: 0

 
Wenn ich unter Netzwerk-Netzwerkzeuge-Host "Abfragetyp: A; Hostname: irgendwas.kunde.corp; Nameserver: 195.50.40.200" ausführe, erhalte ich die Fehlermeldung: ";; connection timed out; no servers could be reached"
Wenn ich am Client nslookup „irgendwas.kunde.corp“ ausführe, erhalte ich die Meldung:
Server: Unknown
Adress: 10.25.140.10
*** irgendwas.kunde.corp wurde von Unknown nicht gefunden: Server failed.
 
Was mache ich falsch? Wo ist mein Denkfehler?
 
Vielen Dank schon mal für jeden Input.

Gruß,
Marcel

[kennethj]

Hallo,

einmal in kurz für mich zusammengefasst (damit ich das richtig verstanden habe):

Das aktuelle Problem ist da die DNS Auflösung nicht korrekt funktioniert?

Vorweg schonmal:

In dem Fall benötigen Sie keine Forward Zone sondern nur eine Relay Zone -> Leite alles an kunde.crp an die IP 193.50.40.200 weiter.

Die Konfiguration sieht so auf dem ersten Blickt gut aus.
Könnte es eventuell sein, dass die Gegenstelle die Pakete verwirft oder keine Rückroute kennt?

Gruß

[mlion]

Hallo kennethj,

ja, alle Pakete aus dem 10.25.140.0-Netz, die in die Domäne des Kunden gehen sollten, sollen von der RC100 an den DNS Server beim Kunden (193.50.40.200) weiter-/umgeleitet werden. Alles übrige soll im Zweifelsfall über die RC100 laufen.

Ich bin jetzt gerade beim Kunden vor Ort und kann die Einstellungen bzgl Relay nicht prüfen. Ich werde das morgen früh gleich in Angriff nehmen. Gleichzeitig werde ich heute hier beim Kunden nochmals die Einstellungen vor Ort prüfen lassen. Nicht dass hier irgendwas vom Kunden die Rückmeldungen oder auch die Anfragen blockiert.

Danke erstmal. Ich geb morgen Rückmeldung.

Gruß,
Marcel

[Mario]

Hi,

bei den Servereinstellungen den Google DNS bitte entfernen! Dieser behindert den Nameserver der Firewall. Am besten immer 127.0.0.1 hinterlegen.

Den Google-DNS unter Anwendungen > Nameserver > DNS-Forwarding hinterlegen. Damit klappt die Namensaufleosung der UTM schneller, da sie sonst die Debian Root-Server verwendet.

Ich habe folgenden Vorschlag:

Auf der UTM > Serverseite:

DNS-Relay einrichten: Domain.zone: DNS-Relay > Interner DNS-Server + PTR-Zone: DNS-Relay > interner DNS-Server

Beispiel:
huberthans.local > Relay 192.168.175.100
175.168.192.in-addr.arpa > Relay 192.168.175.100

Wenn SSL-VPN: Portfilterregel erstellen: Transfernetz des Tunnels (Muss als Netzwerkobjekt angelegt werden) > Internal Interface : Dienst: DNS
Fuer SSL-Roadwarrior kann genauso eine Regel erstellt werden!
IPSEC: Zugriff von Remoteseite auf das Interne Interface zulassen. Nahezu gleiche Regel, jedoch andere Quelle!

Auf der Clientseitigen Firewall:
DNS-Relay einrichten: Domain.zone: DNS-Relay > Interne IP der Serverseitigen Firewall + PTR-Zone: DNS-Relay > Interne IP der Serverseitigen Firewall

Beispiel:
huberthans.local > Relay 192.168.175.1
175.168.192.in-addr.arpa > Relay 192.168.175.1

Bei IPSEC muss nun noch eine Portfilterregel erstellt werden:

Quelle: External-Interface Ziel: Interne IP der Server-Firewall (Zone external, nicht VPN-IPSEC) Dienst: DNS + HIDENAT Internal Interface

[mlion]

Hi kenethj,

das mit dem Relay funktioniert auch nicht.

Hi Mario,

der VPN wird nicht über die UTM aufgebaut, sondern über einen VPN Router des Kunden, der bei uns auch im Netz hängt, aber einem eigenen Internetanschluss. Den Rest prüfen ich auch gleich nochmal.

Generell noch ein Nachtrag:
Bei den Adaptereinstellungen des Clients habe ich bei IP4 Settings DHCP angegeben und als DNS die 10.25.140.10. Wenn ich hier aber direkt den DNS 193.50.40.200 einsetzte, dann funktioniert das mit dem NSLOOKUP einwandfrei, aber ich habe dann halt keinen Internetzugang, weil der wiederum kundenseitig geblockt ist. Ich kann mich dort nur im Kundennetz bewegen. Daher soll die Abwicklung prinzipiell über die UTM laufen bis auf eben die Pakete in die Kunden Domäne kunde.corp.

Ich bin gerade nochmal mit dem Kunden im Kontakt, um zu prüfen, ob auf deren Seite noch irgendwas falsch eingestellt ist. 

Danke soweit schon mal.

[Mario]

Ok, ich zeichne mir den Netzwerkaufbau einmal genau auf. Dann kann ich eine passende Anleitung geben.

[Mario]

Ok,

wenn ich es jetzt richtig verstanden habe (haette es vorhin genau lesen sollen) brauchen wir eine Route.

Die 193.50.40.200 liegt ja laut Beschreibung hinter dem VPN-Gateway.

Also brauchen wir eine Route: Netzwerk > Netzwerkkonfiguration: Routing
Gatway: 10.25.140.1 Ziel: 193.50.40.200/32

Lassen Sie die Quelle weg. (Richtig waere sonst 10.25.140.10/32) Der Rest war theoretisch Ok, es reicht jedoch der Host als Ziel.

Damit wird die Firewall nicht versuchen, den DNS-Server ueber das Standardgateway zu erreichen.

Per DHCP dann enstprechend die RC100 als DNS-Server hinterlegen (10.25.140.10)

DNS-Relay bauen (Wie bereits vorgeschlagen)
Servereinstellungen: 127.0.0.1
Nameserver: kunde.corp Relay: 193.50.40.200 + PTR-Zone, wenn vorhanden. Die PTR-Zone ist wichtig, da hier ein oeffentliches Netz vorliegt! Z.B.: 40.50.193.in-addr.arpa relay: 193.50.40.200


Also so muss das funktionieren.

[Mario]

Edit: Hatte noch kleine Korrekturen

Falls das nicht klappt waere ein TCPDUMP ueber die Rootshell der Firewall sicherlich aufschlussreich. Ich kann mir durchaus auch vorstellen, das da nichts aus dem Tunnel zurueck kommt.