Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 17 Nächste Version anzeigen »


Beschreibung:

In verschiedenen Szenarien kann es bei LANCOM Routern vorkommen, dass eine Warnmeldung zu den DNS-Diensten (DNS-Forwarder und DNS-Server) angezeigt wird. Diese zeigt an, dass die DNS-Dienste aus dem WAN erreichbar sind, obwohl dies in den meisten Konstellationen gar nicht der Fall ist. 

In diesem Artikel wird beschrieben, in welchen Konstellationen die Warnmeldung zu den DNS-Diensten angezeigt wird und welche Maßnahmen dagegen ergriffen werden können.

Es kann vorkommen, dass eine Warnmeldung zum DNS-Forwarder und DNS-Server angezeigt wird oder auch nur zum DNS-Server.


Warnmeldung in der LMC:

1. Warnmeldungen zu Geräten finden Sie in der LMC im Security-Dashboard rechts unter Geräte-Dienste. Klicken Sie auf ein Gerät, bei dem Kritische Meldungen angezeigt werden, um in die Geräte-Übersicht zu gelangen.

Warnmeldungen zu Geräte-Diensten im Security-Dashboard der LMC aufrufen

2. Scrollen Sie in der Geräte-Übersicht nach unten zum Abschnitt Dienste. Dort wird die genaue Meldung angezeigt (in diesem Fall die Meldung zum DNS-Server).

Genaue Warnmeldung im Abschnitt Dienste einsehen


Warnmeldung auf einem Standalone-Router:

Auf einem Standalone-Router finden Sie die Meldung in WEBconfig in dem Menü Systeminformationen → Dienste (in diesem Fall die Meldung zum DNS-Server).

Warnmeldungen zu Geräte-Diensten per WEBconfig auf dem Router einsehen


Konstellationen sowie Risiko-Bewertung und Lösungsmöglichkeiten für Warnmeldungen zu den DNS-Diensten:

  • Bei einer Konfiguration mit einer Default-Route für eine Internet-Verbindung mit der Einstellung IP-Maskierung abgeschaltet wird die Warnmeldung zu den DNS-Diensten angezeigt. Dies gilt auch für einen Loadbalancer
    • Bewertung: Die DNS-Dienste sind in diesem Fall aus dem WAN erreichbar. Es muss ein vorgeschaltetes Gateway verwendet werden, welches die Maskierung übernimmt.
    • Lösung: Damit die Warnmeldung nicht mehr angezeigt wird, kann der IPv4-Zugriff aus dem WAN für die DNS-Dienste eingeschränkt werden (siehe Abschnitt Weitere Lösungsmöglichkeiten).
  • Bei einer Konfiguration mit einer Default-Route für eine Internet-Verbindung mit der Einstellung Nur Intranet maskieren wird die Warnmeldung zu den DNS-Diensten angezeigt. Dies gilt auch für einen Loadbalancer
    • BewertungAufgrund der Maskierung sind die DNS-Dienste nicht aus dem WAN erreichbar.
    • Lösung:
      • Wird keine DMZ verwendet, sollte die Einstellung Intranet und DMZ maskieren (Standard) verwendet werden. Die Warnmeldung wird dann nicht mehr angezeigt
      • Wird eine DMZ verwendet, muss die Einstellung auf Nur Intranet maskieren verbleiben, damit die Kommunikation mit der DMZ funktioniert. Damit die Warnmeldung nicht mehr angezeigt wird, kann der IPv4-Zugriff aus dem WAN für die DNS-Dienste eingeschränkt werden (siehe Abschnitt Weitere Lösungsmöglichkeiten).
  • Bei einer Konfiguration mit einer Default-Route für eine IKEv1-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) wird die Warnmeldung zu den DNS-Diensten angezeigt
    • Bewertung: Aufgrund der Maskierung der Internet-Verbindung sind die DNS-Dienste nicht aus dem WAN erreichbar.
    • Lösung: Damit die Warnmeldung nicht mehr angezeigt wird, kann der IPv4-Zugriff aus dem WAN für die DNS-Dienste eingeschränkt werden (siehe Abschnitt Weitere Lösungsmöglichkeiten).
  • Bei einer Konfiguration mit einer Default-Route für einen VPN-Loadbalancer (sowohl IKEv1 als auch IKEv2) mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) wird die Warnmeldung zu den DNS-Diensten angezeigt.
    • Bewertung: Aufgrund der Maskierung der Internet-Verbindung sind die DNS-Dienste nicht aus dem WAN erreichbar.
    • Lösung: Damit die Warnmeldung nicht mehr angezeigt wird, kann der IPv4-Zugriff aus dem WAN für die DNS-Dienste eingeschränkt werden (siehe Abschnitt Weitere Lösungsmöglichkeiten).
  • Bei einer Konfiguration mit einer Default-Route mit einer IP-Adresse des vorgeschalteten Gateways in einem Transfernetz mit der Einstellung IP-Maskierung abgeschaltet wird die Warnmeldung zu den DNS-Diensten angezeigt.
    • Bewertung: Aufgrund der Maskierung der Internet-Verbindung des vorgeschalteten Gateways sind die DNS-Dienste nicht aus dem WAN erreichbar.
    • Lösung: Durch Setzen der Maskierungs-Option Intranet und DMZ maskieren (Standard) im Routing-Eintrag wird die Warnmeldung nicht mehr angezeigt. Die Maskierung findet keine Anwendung.
  • Bei einer Konfiguration mit aktivem IPv4-Zugriff auf die DNS-Dienste aus dem WAN für eine PPTP- oder L2TP-Verbindung (ab LCOS 10.94 Rel) wird die Warnmeldung zu den DNS-Diensten angezeigt.
    • Bewertung: Aufgrund der Maskierung der Internet-Verbindung sind die DNS-Dienste nicht aus dem WAN erreichbar.
    • Lösung: Da in diesem Fall der IPv4-Zugriff auf die DNS-Dienste aus dem WAN erlaubt werden muss, ist es erforderlich, einen Override für das WAN zu konfigurieren (siehe Abschnitt Weitere Lösungsmöglichkeiten).

Bei Verwendung einer Default-Route für eine IKEv2-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) gibt es eine Sonderbehandlung, sodass dort keine Warnmeldung zum DNS-Server angezeigt wird.


Weitere Lösungsmöglichkeiten:

1. IPv4-Zugriff auf den DNS-Server aus dem WAN einschränken:

Ab LCOS 10.94 Rel ist in dem Menü DNS → Allgemein die neue Funktion IPv4-Zugriff vom WAN vorhanden. Diese Funktion steuert, ob der Zugriff auf den DNS-Server / DNS-Forwarder des Routers aus dem LAN, per VPN (IKEv1, IKEv2 und WireGuard) sowie aus dem WAN (Internet-Verbindungen sowie PPPoE-, PPTP- und L2TP-Einwahlen) erlaubt ist.

In der Standard-Einstellung wird die Option nur über VPN verwendet. Dadurch ist der DNS-Server / DNS-Forwarder aus dem LAN sowie per VPN erreichbar. Diese Einstellung ist erforderlich, wenn die DNS-Auflösung über eine VPN-Einwahl möglich sein soll.

Werden keine VPN-Einwahlen verwendet oder ist für diese ein separater DNS-Server hinterlegt, kann auch die Option nicht erlaubt verwendet werden. Dann ist der Zugriff auf den DNS-Server / DNS-Forwarder nur noch aus dem LAN möglich.

Diese Einstellung beeinflusst die Anzeige der Warnmeldungen zu den DNS-Diensten. Ist der IPv4-Zugriff auf den DNS-Server / DNS-Forwarder aus dem WAN deaktiviert (nur über VPN und nicht erlaubt), wird bei einer unmaskierten Internet-Verbindung bzw. RAS-Einwahl keine Warnmeldung angezeigt.

IPv4-Zugriff aus dem WAN für die DNS-Dienste per LANconfig konfigurieren


2. Warnmeldung für DNS durch Override unterdrücken: 

Ab LCOS 10.94 gibt es die Möglichkeit den Override für Dienste und deren verschiedene Kommunikationswege (LAN, WAN und VPN) zu aktivieren, damit für diese keine Warnmeldung mehr angezeigt wird. 

Die Overrides sollten mit Bedacht verwendet werden, da sie den eigentlichen Sicherheitsmechanismus aushebeln. 

2.1 Override für den DNS-Server / DNS-Forwarder per Konsole aktivieren:

Führen Sie auf der Konsole die folgenden beiden Befehle aus, um den Override aus dem WAN für den DNS-Server / DNS-Forwarder zu aktivieren.

set Setup/Config/Manual-Service-Status-Override/DNS-Server {Override-active} Yes {WAN} No

set Setup/Config/Manual-Service-Status-Override/DNS-Forwarder {Override-active} Yes {WAN} No


2.1 Override für den DNS-Server / DNS-Forwarder per LCOS-Menübaum in WEBconfig aktivieren:

2.1.1 Verbinden Sie sich per WEBconfig mit dem Router und wechseln in das Menü Extras → LCOS-Menübaum → Setup → Manual-Service-Status-Override.

Konsolen-Pfad Manual-Service-Status-Override über den LCOS-Menübaum in WEBconfig aufrufen

2.1.2. Bearbeiten Sie nacheinander die Dienste DNS-Forwarder und DNS-Server.

Dienste DNS-Forwarder und DNS-Server nacheinander bearbeiten

2.1.3 Wählen Sie bei beiden Diensten jeweils für Override aktiv die Option ja aus und stellen sicher, dass bei WAN die Option nein ausgewählt ist. Klicken Sie anschließend auf Setzen.

Override für den Zugriff vom WAN für den DNS-Forwarder aktivieren Override für den Zugriff vom WAN für den DNS-Server aktivieren


Weitere Artikel zu diesem Thema:

 

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2026 LANCOM Systems GmbH