Quelle anzeigen

Beschreibung:

In verschiedenen Szenarien kann es bei LANCOM Routern vorkommen, dass eine Warnmeldung zum DNS-Server angezeigt wird. Diese suggeriert, dass der DNS-Server aus dem WAN erreichbar ist, obwohl dies in den meisten Konstellationen gar nicht der Fall ist.

In diesem Artikel wird beschrieben, in welchen Konstellationen die Warnmeldung zum DNS-Server angezeigt wird und welche Maßnahmen ergriffen werden können, damit diese nicht mehr angezeigt wird.

Warnmeldung in der LMC:

1. Warnmeldungen zu Geräten finden Sie in der LMC im Security-Dashboard rechts unter Geräte-Dienste. Klicken Sie auf ein Gerät, bei dem Kritische Meldungen angezeigt werden, um in die Geräte-Übersicht zu gelangen.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > Security_Dashboard_DE.png

2. Scrollen Sie in der Geräte-Übersicht nach unten zum Abschnitt Dienste. Dort wird die genaue Meldung angezeigt (in diesem Fall die Meldung zum DNS-Server).

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > LMC-DNS-WAN.png

Warnmeldung auf einem Standalone-Router:

Auf einem Standalone-Router finden Sie die Meldung in WEBconfig in dem Menü Systeminformationen → Dienste.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > WEBconfig-Dienste-DNS.png

In welchen Konstellationen wird eine Warnmeldung zum DNS-Server angezeigt?

Wird eine Default-Route für eine Internet-Verbindung mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt. Dies gilt auch für einen Loadbalancer.
- Risiko: Der DNS-Server ist in diesem Fall aus dem WAN erreichbar.
- Lösung: Es handelt sich hierbei um eine Fehl-Konfiguration. Die Default-Route für die Internet-Verbindung muss zwingend maskiert werden.
Wird eine Default-Route für eine Internet-Verbindung mit der Einstellung Nur Intranet maskieren verwendet, wird die Warnmeldung zum DNS-Server angezeigt. Dies gilt auch für einen Loadbalancer.
- Risiko: Aufgrund der Maskierung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung:
  - Wird keine DMZ verwendet, sollte die Einstellung Intranet und DMZ maskieren (Standard) verwendet werden. Die Warnmeldung wird dann nicht mehr angezeigt.
  - Wird eine DMZ verwendet, muss die Einstellung auf Nur Intranet maskieren verbleiben, damit die Kommunikation mit der DMZ funktioniert. Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten ab LCOS 10.94.
Wird eine Default-Route für eine IKEv1-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen), wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten ab LCOS 10.94.
Wird eine Default-Route für einen VPN-Loadbalancer (sowohl IKEv1 als auch IKEv2) mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten ab LCOS 10.94.
Wird eine Default-Route mit einer IP-Adresse des vorgeschalteten Gateways in einem Transfernetz mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung des vorgeschalteten Gateways ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Wird im Routing-Eintrag die Einstellung Intranet und DMZ maskieren (Standard) gesetzt, wird die Warnmeldung nicht mehr angezeigt. Die Maskierung findet keine Anwendung.
Wird eine Default-Route für einen PPTP- oder L2TP-Verbindung mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten ab LCOS 10.94.

Bei Verwendung einer Default-Route für eine IKEv2-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) gibt es eine Sonderbehandlung, sodass dort keine Warnmeldung zum DNS-Server angezeigt wird.

Weitere Lösungsmöglichkeiten ab LCOS 10.94:

1. IPv4-Zugriff aus dem WAN einschränken:

Ab LCOS 10.94 ist in dem Menü DNS → Allgemein die neue Funktion IPv4-Zugriff vom WAN vorhanden. Diese Funktion steuert, ob der Zugriff auf den DNS-Server / DNS-Forwarder des Routers aus dem LAN, per VPN (IKEv1, IKEv2 und WireGuard) sowie aus dem WAN (Internet-Verbindungen sowie PPPoE-, PPTP- und L2TP-Einwahlen) erlaubt ist.

In der Standard-Einstellung wird die Option nur über VPN verwendet. Dadurch ist der DNS-Server / DNS-Forwarder aus dem LAN sowie per VPN erreichbar. Diese Einstellung ist erforderlich, wenn über eine VPN-Einwahl

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > LANconfig-DNS-Zugriff.png

2. Warnmeldung für den Dienst DNS durch Override unterdrücken:

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.