Quelle anzeigen

Beschreibung:

In verschiedenen Szenarien kann es bei LANCOM Routern vorkommen, dass eine Warnmeldung zum DNS-Server angezeigt wird. Diese suggeriert, dass der DNS-Server aus dem WAN erreichbar ist, obwohl dies in den meisten Konstellationen gar nicht der Fall ist.

In diesem Artikel wird beschrieben, in welchen Konstellationen die Warnmeldung zum DNS-Server angezeigt wird und welche Maßnahmen ergriffen werden können, damit diese nicht mehr angezeigt wird.

Warnmeldung in der LMC:

1. Warnmeldungen zu Geräten finden Sie in der LMC im Security-Dashboard rechts unter Geräte-Dienste. Klicken Sie auf ein Gerät, bei dem Kritische Meldungen angezeigt werden, um in die Geräte-Übersicht zu gelangen.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > Security_Dashboard_DE.png

2. Scrollen Sie in der Geräte-Übersicht nach unten zum Abschnitt Dienste. Dort wird die genaue Meldung angezeigt (in diesem Fall die Meldung zum DNS-Server).

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > LMC-DNS-WAN.png

Warnmeldung auf einem Standalone-Router:

Auf einem Standalone-Router finden Sie die Meldung in WEBconfig in dem Menü Systeminformationen → Dienste.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > WEBconfig-Dienste-DNS.png

Konstellationen sowie Risiko-Bewertung und Lösungsmöglichkeiten für Warnmeldungen zum DNS-Server:

Wird eine Default-Route für eine Internet-Verbindung mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt. Dies gilt auch für einen Loadbalancer.
- Risiko: Der DNS-Server ist in diesem Fall aus dem WAN erreichbar.
- Lösung: Es handelt sich hierbei um eine Fehl-Konfiguration. Die Default-Route für die Internet-Verbindung muss zwingend maskiert werden.
Wird eine Default-Route für eine Internet-Verbindung mit der Einstellung Nur Intranet maskieren verwendet, wird die Warnmeldung zum DNS-Server angezeigt. Dies gilt auch für einen Loadbalancer.
- Risiko: Aufgrund der Maskierung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung:
  - Wird keine DMZ verwendet, sollte die Einstellung Intranet und DMZ maskieren (Standard) verwendet werden. Die Warnmeldung wird dann nicht mehr angezeigt.
  - Wird eine DMZ verwendet, muss die Einstellung auf Nur Intranet maskieren verbleiben, damit die Kommunikation mit der DMZ funktioniert. Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.
Wird eine Default-Route für eine IKEv1-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen), wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.
Wird eine Default-Route für einen VPN-Loadbalancer (sowohl IKEv1 als auch IKEv2) mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.
Wird eine Default-Route mit einer IP-Adresse des vorgeschalteten Gateways in einem Transfernetz mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung des vorgeschalteten Gateways ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Wird im Routing-Eintrag die Einstellung Intranet und DMZ maskieren (Standard) gesetzt, wird die Warnmeldung nicht mehr angezeigt. Die Maskierung findet keine Anwendung.
Wird eine Default-Route für einen PPTP- oder L2TP-Verbindung mit der Einstellung IP-Maskierung abgeschaltet verwendet, wird die Warnmeldung zum DNS-Server angezeigt.
- Risiko: Aufgrund der Maskierung der Internet-Verbindung ist der DNS-Server nicht aus dem WAN erreichbar.
- Lösung: Eine Lösungsmöglichkeit finden Sie in dem Abschnitt Weitere Lösungsmöglichkeiten.

Bei Verwendung einer Default-Route für eine IKEv2-Verbindung mit der Einstellung IP-Maskierung abgeschaltet (Standard-Einstellung bei VPN-Verbindungen) gibt es eine Sonderbehandlung, sodass dort keine Warnmeldung zum DNS-Server angezeigt wird.

Weitere Lösungsmöglichkeiten:

1. IPv4-Zugriff auf den DNS-Server aus dem WAN einschränken:

Ab LCOS 10.94 Rel ist in dem Menü DNS → Allgemein die neue Funktion IPv4-Zugriff vom WAN vorhanden. Diese Funktion steuert, ob der Zugriff auf den DNS-Server / DNS-Forwarder des Routers aus dem LAN, per VPN (IKEv1, IKEv2 und WireGuard) sowie aus dem WAN (Internet-Verbindungen sowie PPPoE-, PPTP- und L2TP-Einwahlen) erlaubt ist.

In der Standard-Einstellung wird die Option nur über VPN verwendet. Dadurch ist der DNS-Server / DNS-Forwarder aus dem LAN sowie per VPN erreichbar. Diese Einstellung ist erforderlich, wenn die DNS-Auflösung über eine VPN-Einwahl möglich sein soll.

Werden keine VPN-Einwahlen verwendet oder ist für diese ein separater DNS-Server hinterlegt, kann auch die Option nicht erlaubt verwendet werden. Dann ist der Zugriff auf den DNS-Server / DNS-Forwarder nur noch aus dem LAN möglich.

Diese Einstellung beeinflusst auch die Anzeige der Warnmeldungen zum DNS-Server. Ist der IPv4-Zugriff auf den DNS-Server / DNS-Forwarder aus dem WAN deaktiviert (nur über VPN und nicht erlaubt), wird bei einer unmaskierten Internet-Verbindung bzw. RAS-Einwahl keine Warnmeldung angezeigt.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > LANconfig-DNS-Zugriff.png

2. Warnmeldung für DNS durch Override unterdrücken:

Ab LCOS 10.94 gibt es die Möglichkeit den Override für bestimmte Protokolle zu aktivieren, damit für diese keine Warnmeldung mehr angezeigt wird. Dies kann z.B. erforderlich sein, wenn eine L2TP-RAS-Einwahl (zählt als WAN-Verbindung) mit einer unmaskierten Default-Route verwendet wird und dafür der IPv4-Zugriff aus dem WAN für DNS auf erlaubt gesetzt werden muss.

Die Overrides sollten mit Bedacht verwendet werden, da sie den eigentlichen Sicherheitsmechanismus aushebeln.

2.1 Override für den DNS-Server / DNS-Forwarder per Konsole aktivieren:

Führen Sie auf der Konsole die folgenden beiden Befehle aus, um den Override aus dem WAN für den DNS-Server / DNS-Forwarder zu aktivieren.

set Setup/Config/Manual-Service-Status-Override/DNS-Server {Override-active} Yes {WAN} Yes

set Setup/Config/Manual-Service-Status-Override/DNS-Forwarder {Override-active} Yes {WAN} Yes

2.1 Override für den DNS-Server / DNS-Forwarder per LCOS-Menübaum in WEBconfig aktivieren:

2.1.1 Verbinden Sie sich per WEBconfig mit dem Router und wechseln das Menü Extras → LCOS-Menübaum → Setup → Manual-Service-Status-Override.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > Manual-Service-Override1.png

2.1.2. Bearbeiten Sie nacheinander die Dienste DNS-Forwarder und DNS-Server.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > Manual-Service-Override2.png

2.1.3 Wählen Sie bei beiden Diensten jeweils für Override aktiv und WAN die Option ja aus und klicken auf Setzen.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Warnmeldungen zur Erreichbarkeit der DNS-Dienste aus dem WAN > Manual-Service-Override3.png

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.