Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 6 Nächste Version anzeigen »


Beschreibung:

In verschiedenen Szenarien kann es bei LANCOM Routern vorkommen, dass eine Warnmeldung zum DNS-Server angezeigt wird. Diese suggeriert, dass der DNS-Server aus dem WAN erreichbar ist, obwohl dies in den meisten Konstellationen gar nicht der Fall ist. 

In diesem Artikel wird beschrieben, in welchen Konstellationen die Warnmeldung zum DNS-Server angezeigt wird und welche Maßnahmen ergriffen werden können, damit diese nicht mehr angezeigt wird.


Warnmeldung in der LMC:

1. Warnmeldungen zu Geräten finden Sie in der LMC im Security-Dashboard rechts unter Geräte-Dienste. Klicken Sie auf ein Gerät, bei dem Kritische Meldungen angezeigt werden, um in die Geräte-Übersicht zu gelangen.

2. Scrollen Sie in der Geräte-Übersicht nach unten zum Abschnitt Dienste. Dort wird die genaue Meldung angezeigt (in diesem Fall die Meldung zum DNS-Server).


Warnmeldung auf einem Standalone-Router:

Auf einem Standalone-Router finden Sie die Meldung in WEBconfig in dem Menü Systeminformationen → Dienste.

Konstellationen sowie Risiko-Bewertung und Lösungsmöglichkeiten für Warnmeldungen zum DNS-Server:

  • Wird eine Default-Route für eine Internet-Verbindung mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt. Dies gilt auch für einen Loadbalancer
    • Risiko: Der DNS-Server ist in diesem Fall aus dem WAN erreichbar.
    • Lösung: Es handelt sich hierbei um eine Fehl-Konfiguration. Die Default-Route für die Internet-Verbindung muss zwingend maskiert werden.
  • Wird eine Default-Route für eine Internet-Verbindung mit der Einstellung Nur Intranet maskieren verwendet, wird die Warnmeldung zum DNS-Server angezeigt. Dies gilt auch für einen Loadbalancer
    • Risiko: Aufgrund der Maskierung ist der DNS-Server nicht aus dem WAN erreichbar.
    • Lösung:
      • Wird keine DMZ verwendet, sollte die Einstellung Intranet und DMZ maskieren (Standard) verwendet werden. Die Warnmeldung wird dann nicht mehr angezeigt. 
      • Wird eine DMZ verwendet, muss die Einstellung auf Nur Intranet maskieren verbleiben, damit die Kommunikation mit der DMZ funktioniert. Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.
  • Wird eine Default-Route für eine IKEv1-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen), wird die Warnmeldung zum DNS-Server angezeigt
    • RisikoAufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
    • Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.
  • Wird eine Default-Route für einen VPN-Loadbalancer (sowohl IKEv1 als auch IKEv2) mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
    • RisikoAufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
    • Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.
  • Wird eine Default-Route mit einer IP-Adresse des vorgeschalteten Gateways in einem Transfernetz mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
    • RisikoAufgrund der Maskierung der Internet-Verbindung des vorgeschalteten Gateways ist der DNS-Server nicht aus dem WAN erreichbar.
    • Lösung: Wird im Routing-Eintrag die Einstellung Intranet und DMZ maskieren (Standard) gesetzt, wird die Warnmeldung nicht mehr angezeigt. Die Maskierung findet keine Anwendung.
  • Wird eine Default-Route für einen PPTP- oder L2TP-Verbindung mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
    • RisikoAufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
    • Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.

Bei Verwendung einer Default-Route für eine IKEv2-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) gibt es eine Sonderbehandlung, sodass dort keine Warnmeldung zum DNS-Server angezeigt wird.

Weitere Lösungsmöglichkeiten:

1. IPv4-Zugriff auf den DNS-Server aus dem WAN einschränken:

Ab LCOS 10.94 Rel ist in dem Menü DNS → Allgemein die neue Funktion IPv4-Zugriff vom WAN vorhanden. Diese Funktion steuert, ob der Zugriff auf den DNS-Server / DNS-Forwarder des Routers aus dem LAN, per VPN (IKEv1, IKEv2 und WireGuard) sowie aus dem WAN (Internet-Verbindungen sowie PPPoE-, PPTP- und L2TP-Einwahlen) erlaubt ist.

In der Standard-Einstellung wird die Option nur über VPN verwendet. Dadurch ist der DNS-Server / DNS-Forwarder aus dem LAN sowie per VPN erreichbar. Diese Einstellung ist erforderlich, wenn die DNS-Auflösung über eine VPN-Einwahl möglich sein soll.

Werden keine VPN-Einwahlen verwendet oder ist für diese ein separater DNS-Server hinterlegt, kann auch die Option nicht erlaubt verwendet werden. Dann ist der Zugriff auf den DNS-Server / DNS-Forwarder nur noch aus dem LAN möglich.

Diese Einstellung beeinflusst auch die Anzeige der Warnmeldungen zum DNS-Server. Ist der IPv4-Zugriff auf den DNS-Server / DNS-Forwarder aus dem WAN deaktiviert (nur über VPN und nicht erlaubt), wird bei einer unmaskierten Internet-Verbindung bzw. RAS-Einwahl keine Warnmeldung angezeigt.


2. Warnmeldung für DNS durch Override unterdrücken: 

Ab LCOS 10.94 gibt es die Möglichkeit den Override für bestimmte Protokolle zu aktivieren, damit für diese keine Warnmeldung mehr angezeigt wird. Dies kann z.B. erforderlich sein, wenn eine L2TP-RAS-Einwahl (zählt als WAN-Verbindung) mit einer unmaskierten Default-Route verwendet wird und dafür der IPv4-Zugriff aus dem WAN für DNS auf erlaubt gesetzt werden muss.

Die Overrides sollten mit Bedacht verwendet werden, da sie den eigentlichen Sicherheitsmechanismus aushebeln. 

2.1 Override für den DNS-Server / DNS-Forwarder per Konsole aktivieren:

Führen Sie auf der Konsole die folgenden beiden Befehle aus, um den Override aus dem WAN für den DNS-Server / DNS-Forwarder zu aktivieren.

set Setup/Config/Manual-Service-Status-Override/DNS-Server {Override-active} Yes {WAN} Yes

set Setup/Config/Manual-Service-Status-Override/DNS-Forwarder {Override-active} Yes {WAN} Yes


2.1 Override für den DNS-Server / DNS-Forwarder per LCOS-Menübaum in WEBconfig aktivieren:

2.1.1 Verbinden Sie sich per WEBconfig mit dem Router und wechseln das Menü Extras → LCOS-Menübaum → Setup → Manual-Service-Status-Override.

2.1.2. Bearbeiten Sie nacheinander die Dienste DNS-Forwarder und DNS-Server.

2.1.3 Wählen Sie bei beiden Diensten jeweils für Override aktiv und WAN die Option ja aus und klicken auf Setzen.


Weitere Artikel zu diesem Thema:

 

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2026 LANCOM Systems GmbH