dsn vor Firewall

AliManali

AliManali

cpt sunday flyer
Thread Starter
Mitglied seit
07.03.2012
Beiträge
4.732
Ort
Ostschweiz
Hi

Ich habe am VPN Gateway für die Admin Oberfläche eine DSN. Nun habe ich aber hinter dem Gateway noch eine Firewall (Endian). Vor der Endian kann ich die Adresse aus dem Browser per DSN erreichen, hinter der FW nicht.

Dünkt mich ja auch relativ logisch, dass man im Normalfall eine Domain nicht über eine Firewall hinaus erreichen möchte, normalerweise hat man dafür verschiedene separate Schnittstellen an ein und derselben Firewall.

Aber wie kriege ich das hin, wenn ich das trotzdem möchte? Also vom Client aus durch die Firewall durch auf die DSN des Gateways zugreifen?

Und ich meine nicht durch die Hosts Datei am Client, sondern generell?


Ausgehende Firewall ist deaktiviert.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mit dieser Problembeschreibung kannst du glaube ich lange warten. Ich habs jetzt dreimal durchgelesen und keinen Plan, wie das aussieht, was du machen willst oder was eine DSN sein soll.
 
Er meint wohl DNS-Adresse für die Weboberfläche des VPN diese kann hinter der dahinter geschalteten Firewall nicht mehr erreicht werden.
Das heißt eigentlich nix anderes als das die DNS Adresse der VPN Weboberfläche nicht DNS seitig in der Firewall bekannt ist.

Per IP kannst du Admin Oberfläche des VPN Servers erreichen?

Wenn ich dein Problem richtig verstehe musst du in deinem DNS die zuordnung DNS Web Admin = IP XYZ eintragen.
dann sollte das funktionieren, aber keine Ahnung ob dein Router die Option anbietet private DNS Einträge einzurichten.
 
Zuletzt bearbeitet:
OMG, "die DNS". Man sollte wenigstens rudimentär die gleiche Sprache sprechen und sich nicht irgendwas ausdenken. Das ist "der DNS-Name" und keine Adresse.

Als Nächstes wäre ein Netzdiagramm mit den benutzten IP-Adressen hilfreich sowie eine genauere Diagnose als "nicht erreichbar". Nicht auflösbar? Nicht per IP erreichbar? etc. Wie und wo wurde der Name überhaupt festgelegt? Der sollte schon in einem zentralen DNS-Server stehen, den auch alle Clients benutzen.
 
Zuletzt bearbeitet:
Ja richtig, kalgani. Ja, per IP ist's erreichbar.
 
Zuletzt bearbeitet:
Hat absolut nichts mit DNS zu tun, außer dass ein DNS-Name drin vorkommen kann.

Edit:
Der Data Source Name (DSN) ist eine Datenstruktur (zum Beispiel eine URI, oder ein Dateipfad), welche bei Datenbankabstraktions-Frameworks
Zum Vergrößern anklicken....
Und selbst wenn, wäre es trotzdem "der DSN".

Würde mich mal interessieren, wie du auf DSN kommst in diesem Kontext hier.
 
Zuletzt bearbeitet:
Gut, wo wird der Name definiert? Welcher DNS-Server ist überall eingestellt?
 
Der Name stammt von der VPN Box, welche ich virtualisiert habe (Enigmabox). Das ist ein Gateway. Dort habe ich hinten eine Endian angehängt, an welcher die Clients hängen.

Ich nehme an, dass in Box ein DNS Dienst läuft, darauf habe ich aber kein Zugriff. Das VPN Gateway basiert auf openWRT. Ich habe nur per SSH Zugriff auf die Box, da kann man aber nicht viel machen.

Das ganze soll also an der Firewall konfiguriert werden, so dass am Client hinter der Firewall die URL von der Box im Browser erreichbar ist.

IP Konfiguration ist alles auf DHCP.
 
Ich verstehe das Problem ehrlich gesagt nicht...

Du willst offenbar einen FQDN im Browser auf den Clients ansprechen um die Admin Oberfläche irgend eines Gerätes zu erreichen. -> also nimmst du dir einen DNS Server deiner Wahl, klimperst die Zone samt Eintrag dort ein und fertig die Laube. Wo der DNS Server läuft/steht, ist primär uninteressant -> wichtig ist nur, die Clients müssen diesen erreichen. Wenn jetzt DNS Anfragen auf die Firewall/den VPN Router laufen, und der das gewünschte nicht kann, stell halt nen anderen DNS Dienst hin. Du sprachst von virtuell -> also gibts wohl doch auch die Möglichkeit, dort einfach nen (von mir aus in nem separaten Netz, über die Firewall abgeschottet) DNS Server aufzusetzen. Irgendwas schmales mit ner Mini Linux VM und Bind oder was auch immer drauf...

Die oben schonmal angesprochene Zeichnung über den Netzaufbau samt IPs und Geräten wäre nach wie vor sinnvoll. Denn irgendwie ist hier nur Bahnhof zu lesen.
Sinnvollerweise sollte aus der Zeichnung auch hervorgehen, wer nun bei dir überhaupt DNS Server spielt und welche DNS Server die Clients anfragen (also die IP) -> und welche Geräte welche IPs haben.
 
Hi

Den Host "box" kann ich jetzt von hinter der FW erreichen (Admin Interface der Enigmabox). Das kann ich auch per IP.

Bei der Endian hats leider nur einen sehr rudimentären NS Dienst, dort nennt sich das Host Konfiguration.

EndianHosts.jpg

Das Problem ist jetzt aber, dass ich auf der Enigmabox eine Zone des Hosts "mail.box" erreichen muss, diese Zone läuft auch auf der Box. Einen Domainnamen gibts nicht, oder ist nicht bekannt. Ich nehme an, auf der Box (openWRT) läuft ein NS Dienst für das. Aber ich habe keinen Zugriff auf die Box. Eine rudimentäre Shell gibts da, und allenfalls per Live Linux hätte ich Zugriff auf die Daten. Aber ich will, wenn möglich, das an der Firewall konfigurieren.

Wenn ich jetzt am Client hinter der Endian im Browser "box" eingebe, dann komme ich aufs Admin Interface. Wenn ich nun "mail.box" eingebe, dann versucht der Browser die Domain im Internet zu suchen.

Ein separater DNS Server ist mir für das Problem dann doch zu kompliziert. Ich kann am Client Gast mehrere NIC's zuweisen, und so vor die FW switchen. Ich habe auch noch versucht, am Client den ersten NS auf die Box zu setzen. Ohne Erfolg.

Vielleicht muss ich dann auf eine andere FW Distri zurückgreifen, die einen NS schon an Board hat. Schade, die Endian gefällt mir sonst recht gut, hatte ich vor meiner Zywall immer am laufen.

Und sorry für die DSN, ich dachte da grad, den Kürzel dürfte man für Pfade verwenden. Hab da was verwechselt.

Sieht aus wie Türkisch. Sollte weniger Gras rauchen :p

Enigmagate.png

Das Enigmagate LAN hat 192.168.100.1/24
Die Endian hängt dahinter und das LAN ist 192.168.15.1/24
 
Zuletzt bearbeitet:
Das ist doch Kraut und Rüben. Wenn man lokale DNS-Zonen haben will, dann ist ein lokaler, zentraler DNS-Server das Erste, was man einrichtet. Die komplexesten Netze zusammenzimmern, aber die Basics sind "zu kompliziert". Also was ist denn das...
 
AliManali schrieb:
Das Problem ist jetzt aber, dass ich auf der Enigmabox eine Zone des Hosts "mail.box" erreichen muss, diese Zone läuft auch auf der Box. Einen Domainnamen gibts nicht, oder ist nicht bekannt. Ich nehme an, auf der Box (openWRT) läuft ein NS Dienst für das. Aber ich habe keinen Zugriff auf die Box. Eine rudimentäre Shell gibts da, und allenfalls per Live Linux hätte ich Zugriff auf die Daten. Aber ich will, wenn möglich, das an der Firewall konfigurieren.
Zum Vergrößern anklicken....

Hää?
Du haust hier gerade die einfachsten begriffe durcheinander...
Was ist denn bitte "eine Zone des Hosts "mail.box""
Du willst doch keine Zonen erreichen. Du willst doch schlicht und ergreifend A Records auflösen... Welche Zone/Domain die sind, ist doch dabei völlig hupe.

Was passiert denn, wenn du wie im ersten Bild zu sehen, bei dem einen (aus meiner Sicht eher unsinnigen) Eintrag auf den gelben Stift drückst? -> Gelber Stift = Edit, wenn ich das nicht verkenne.
Da muss man doch entsprechende Werte reinklimpern können.

Aber wenn es dir zu viel Aufwand ist, nen simplen DNS Dienst an den Start zu bringen und stattdessen eher so ne Bastelei fabrizieren willst, dann kann man dir aber leider auch nicht helfen ;)
 
Jo. Wie gesagt, ich will nicht noch ne dritte VM. Wenn, dann müsste ich wohl auf eine FW Distribution mit NS wechseln. Aber wenns geht, würde ich gerne bei der Endian bleiben.

Im allerschlimmsten Fall bearbeite ich halt doch die hosts Datei, aber auf das möchte ich eben auch verzichten. Ich habe das auch versucht, aber hat nicht geklappt, grad auf Anhieb.

Aber muss doch einen Weg geben, an den NS des übergeordnetem Gates zu kommen via FW. Wie gesagt, am Client habe ich auch als primären DNS das Enigmagate angegeben. Bringt auch nichts.

Wenn ich da beim ominösen Bild 1 als zweiten Eintrag mail.box und 192.168.100.1 eintragen will, dann kommt von der Endian der Fehler "ungültiger Hostname".

Vor der Firewall funktionierts ja.
 
Zuletzt bearbeitet:
Idealerweise hat man für sowas einen separaten Mini-Rechner wie einen RPi oder so, denn Sachen wie NTP, die nicht gut in einer VM laufen, DNS und ggf. DHCP, von denen auch der ESXi selbst abhängen kann, sollte man nicht in VMs packen.
 
AliManali schrieb:
Im allerschlimmsten Fall bearbeite ich halt doch die hosts Datei, aber auf das möchte ich eben auch verzichten. Ich habe das auch versucht, aber hat nicht geklappt, grad auf Anhieb.

Aber muss doch einen Weg geben, an den NS des übergeordnetem Gates zu kommen via FW. Wie gesagt, am Client habe ich auch als primären DNS das Enigmagate angegeben. Bringt auch nichts.
Zum Vergrößern anklicken....

Mhh, wie kann man bei der Hosts was falsch machen?
IP -> Leerzeichen/Tab -> FQDN -> Leerzeichen/Tab -> NetBios Name
Das geht eigentlich IMMER.

Und was das zweite angeht -> du musst internen Kiste natürlich auch sagen, dass da extern (also bildlich gesehen, davor) noch ein DNS Dienst fungiert. Sinnvollerweise über nen Forwarder auf die Zone, oder halt komplett, sprich global nach eine Ebene weiter vorn forwarden. Sonst kann die interne Kiste das gar nicht kennen.
mail.box ist im übrigen genau genommen auch kein Hostname ;) Der Hostname wäre mail und die Domain wäre box -> was mail.box ergibt.

Die Frage ist eher, was dein Client/Browser dann draus macht und ob er das überhaupt zu deinem hinterlegten DNS Server schickt.

Aber wie gesagt, so recht versteh ich die Abneigung nicht, das einfach einmal sauber und richtig aufzuziehen. DNS ist mehr oder weniger globaler Bestandteil eines funktionierenden Netzes... Das sollte man schon in funktionstüchtigem Zustand haben und nicht so ne Spielerei mit irgendwelchen statischen Einträgen über irgend so ne Klicki Bunti Oberfläche...
Keine Ahnung, ich kenne diese Produkte dort nun nicht. Aber es gibt auch Sachen am Markt, die machen das, was sie sollen und nicht mehr ;) Ne Firewall, die DNS Server spielt ist eben keine reine Firewall mehr. Die Frage ist, soll die Firewall DNS Server spielen?
Du kannst dir auch ne Sophos UTM mit der Home Lizenz respektive ne XG VM mit ner Home Lizenz hinstellen. Die ist dann wirklich Klicki Bunti und kann quasi alles :fresse:
 
Zuletzt bearbeitet:
Das mit Hostname "mail" und Domain "box" habe ich selbsregend auch versucht. Nur kam da dann keine Antwort vom Browser. Weil "box" keine Domain ist, sondern ein Host. Und mail wäre da drauf eine Zone (daher...), wenn die box eine Domain wäre. Ist sie aber nicht. Ist nen Host, und Domain Name ist nicht bekannt.

Aber egal, ich find da schon ne Lösung. Läuft ja, soweit.
 
Nochmal Hä?
Wieso ist "box" keine Domain? Natürlich ist "box" eine Domain... Wenn du dem Ding das einträgst, dann ist "box" eine Domain.
Was du dem Ding als Domainnamen einträgst, sollte dem DNS Dienst grundsätzlich egal sein... Je nachdem, wie er sich an die Standards hält, kannst du dich da völlig austoben.
In deinem konkreten Ansatz wäre "box" übrigens eine TopLevelDomain... Wie es bspw. ".de" oder ".com" auch wäre. -> du kannst analog bspw. google.de (ohne www.) einen Domainnamen als "Host" missbrauchen, indem du einfach dem Namen der Zone eine IP mitgibst. Wie das genau konfiguriert ist, ist von Gerät zu Gerät unterschiedlich. Bei meinem public Anbieter gibts nur Hostnames (CNAMEs, TXT, ...) und dergleichen Einträge. Will ich da "mail.box.domain.tld" public eintragen, ist "mail.box" der Hostname, während "domain.tld" die Zone ist, für die der Nameserver zuständig ist... Eigentlich könnte es aber auch die Zone "box.domain.tld" sein mit dem Hosteintrag "mail" ;) Das versteht das Ding bei mir aber nicht... Von daher.

Wie gesagt, du solltest dir generell mal Gedanken über DNS machen, ich denke das ist durchaus sinnvoll, wenn man grundsätzlich versteht, was da phase ist.
Der einzelne Eintrag mit "box" bei dir ist aus meiner Sicht eher unsinn. Denk dir statdessen einen sauberen Namen für die Domain aus. Irgendwas internes. Ggf. hast du auch ne Domain in deinem Besitz, die du dafür "missbrauchen" kannst. Seit nicht allzulanger Zeit ist bei Microsoft bspw. best practice als interne AD Domain den Namen einer public subdomain zu nutzen. Also quaso so: public = "domain.tld", Intern = "internal.domain.tld". Dann setzt du, wenn es nach MS geht, auf dem public Nameservern eine Delegierung zu deinem internen Nameserver(n) für die Zone "internal.domain.tld". Jegliche Hosteinträge, Aliaseinträge, TXT-Einträge usw. würden dann in der Zone "internal.domain.tld" landen... Vorteil liegt klar auf der Hand -> es KANN niemals nicht zu Überschneidungen der Namen kommen. Denn die Domain "gehört" einem ja. Wohingegen selbst ausgedachte Namen gern auch vielleicht in Zukunft dann public in use sind und man damit selbst nicht mehr diese ansprechen kann. Genau so wie der Sackgang mit der ".local" Empfehlung bei MS -> was eine Multicast Domain ist -> eher quatsch das für sich selbst zu nutzen!
 
Hi

Mit nslookup habe ich nun herausgefunden, dass sowohl die Domain, als auch der Host "box" lautet. Also "box.box".

Nun habe ich folgendes in der Hosts Konfiguration eingetragen:

Hosts.PNG

So läufts, wie's soll. Muss man erst mal darauf kommen. Ich dachte, box sei nur der Hostname.

Danke!

TCM schrieb:
Idealerweise hat man für sowas einen separaten Mini-Rechner wie einen RPi oder so, denn Sachen wie NTP, die nicht gut in einer VM laufen, DNS und ggf. DHCP, von denen auch der ESXi selbst abhängen kann, sollte man nicht in VMs packen.
Zum Vergrößern anklicken....

Das restliche Netzwerk läuft über eine Zywall. Ist ja eben jetzt virtualisiert worden, die Box. Das waren vorher 2 Geräte. Aber bis auf die angeklemmten NIC's ist das eine rein virtuelle Angelegenheit.
 
Zuletzt bearbeitet:
Hi

Manchmal lustig, sich die Threads nochmals durch zu lesen.

Natürlich ist es so, dass das VPN Gateway den NS, bzw. die Namensauflösung für "box" macht.

Abhilfe schafft hier bei der Netzwerkkonfiguration vom WAN der FW den NS auf das VPN Gateway zu setzen. Oder alternativ den NS am Client manuell einzutragen.

Das mit dem separaten NS Dienst halte ich für mit Kanonen auf Spatzen geschossen. Es hängt ja nicht irgend ein komplexes Netzwerk dahinter. Da geht es wirklich nur darum, die Dienste der vorgeschalteten Box zu erreichen.
 
Zuletzt bearbeitet:
Das mit der zentralen Wasserversorgung halte ich für mit Kanonen auf Spatzen geschossen. Ich trinke ja nicht aus der Toilette, also kann ich da Regenwasser sammeln, und für die Küche trage ich halt die paar Liter jeden Tag.

PS:
Ausserdem ist es bei dem Problem hilfreich, die WAN Adresse vom VPN Gateway per MAC Bindung in der primären Firewall fix zu setzen.
Zum Vergrößern anklicken....
Ich will gar nicht wissen, welches Problem das angeblich wieder lösen soll. Dieses Netzwerk würde ich komplett entsorgen und neu aufziehen.
 
Zuletzt bearbeitet:
TCM schrieb:
PS: Ich will gar nicht wissen, welches Problem das angeblich wieder lösen soll.
Zum Vergrößern anklicken....

Jo, da hast Du natürlich recht. ^^

TCM schrieb:
Dieses Netzwerk würde ich komplett entsorgen und neu aufziehen.
Zum Vergrößern anklicken....

Bitte? Macht ja was es soll jetzt.

Edit:

TCM schrieb:
Dieses Netzwerk würde ich komplett entsorgen und neu aufziehen.
Zum Vergrößern anklicken....

Irgendwann mal setze ich tatsächlich mal ein komplett neues Netzwerk auf, mit allen Passwörtern, Benutzer und allem Pipapo. Aber in den letzten paar Jahren war halt alles Laborbetrieb, und somit wurden die Entwicklungszyklen aussen vor gelassen. Aber da ja eh alles virtualisiert ist, spielt das mit dem "komplett entsorgen und neu aufziehen", wie es der Standart eigentlich fordern würde, nur eine untergeordnete Rolle. Das Ganze dient ja mehr zu Forschungszwecken und dem Spieltrieb, bislang :p
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

AliManali
Pilot und Copilot können nicht gegenseitig joinen
Antworten
7
Aufrufe
613
AliManali
AliManali
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
438
justinh999
J
patrickbuhr
[User-Review] MSI MPG 271QRXDE QD-OLED
Antworten
14
Aufrufe
2K
patrickbuhr
patrickbuhr
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh