Google DNS aus grün nicht erreichbar

Alex · 4. Juli 2017 um 16:10

Liebe Alle,

ich glaube der Grund dafür, dass meine Chromecast nicht laufen liegt darin, dass ich von Clients aus dem grünen Netz heraus den Google-DNS 8.8.8.8 nicht erreichen kann.

Die Befehle
dig @10.16.1.254 www.heise.de
dig @10.16.1.1 www.heise.de
funktionieren vom ipfire, vom server und von clients aus.

Der Befehl
dig @8.8.8.8 www.heise.de
funktioniert nur vom ipfire und vom server aus, aber nicht von einem client im grünen Netz.

Wie gehe ich vor, um das hinzubekommen? Bin leider in diesem Thema kein Experte…

LG Alex

alois · 4. Juli 2017 um 16:32

Hallo Alex,

ggf. in der Firewall den DNS-Port für die Google Server freigeben.

Gruß

Alois

Am 4. Juli 2017 um 18:20 schrieb Alexander Wollmann <noreply@linuxmuster.net

Alex · 4. Juli 2017 um 16:34

Wie mache ich das?

baumhof · 4. Juli 2017 um 20:09

Hallo,

Wie mache ich das?

im IPFire unter Firewall den Port 53 von Grün nach Rot erlauben.
Das würde ich aber auf die IPs der Sticks begrenzen, da es ein nicht zu
vernachlässigendes Sicherheitsloch ist, wenn der DNS nicht in deiner
Hand ist.
Du kannst es auch auf 8.8.8.8 begrenzen.

LG

Holger

Alex · 5. Juli 2017 um 15:30

Hallo Holger,

wahrscheinlich verstehe ich es nicht: Warum muss ich denn am IPfire etwas ändern, wenn ich doch vom Server (10.16.1.1) aus eine Abfrage bei den Google-Servern hinbekomme? Der Server muss doch auch über den IPFire raus. Die Clients hinter dem Server kommen nicht an die Google-Server ran, also muss es für meine Begriffe doch der Server selber sein, der das blockiert, oder sehe ich das falsch?

LG Alex

Sven · 5. Juli 2017 um 15:46

Hallo Alex,

der Server darf per default auf allen Ports Anfragen nach rot stellen (d.h. der IPFire lässt sie durch), normale Clients nicht, d.h. z.B. werden DNS-Anfragen vom IPFire geblockt.
Stellt der Client eine DNS-Anfrage an google ist der Server überhaupt nicht beteiligt.

Grüße,
Sven

jrichter · 5. Juli 2017 um 15:50

Hallo Alex,

ganz einfach: Für den Server gibt es schon so eine Regel, aber eben nur
für den Server und nicht für andere Rechner.

Viele Grüße

Jörg Richter

Alex · 5. Juli 2017 um 16:19

Danke für die Infos. Ich habe eine entsprechende Regel erstellt, und kann am Freitag testen ob das einen Effekt hat.

LG Alex

Alex · 6. Juli 2017 um 13:04

So, also das hat geholfen! Die Chromecast müssen wohl unbedingt “nach Hause telefonieren”. Klar, Google will halt wissen welche Seiten man aufruft. Jedenfalls laufen die Dinger jetzt superschnell!
Da ich kein ipfire-Experte bin: Kann jemand mal auf die Regel schauen, ob ich das jetzt richtig gemacht habe, sprich: Nur das Nötigste erlaubt? Der Chromecast hat natürlich die 10.31.1.2 .

LG Alex

baumhof · 6. Juli 2017 um 14:32

Hallo Alex,

Da ich kein ipfire-Experte bin: Kann jemand mal auf die Regel schauen,
ob ich das jetzt richtig gemacht habe, sprich: Nur das Nötigste erlaubt?
Der Chromecast hat natürlich die 10.31.1.2 .

die Regel ist super so: genau auf die IP des Chromecast zugeschnitten:
das Sicherheitsloch ist also minimal.

Nachteil: du mußt für jeden Chromecast so eine Regel machen…

LG

Holger

wlechner · 6. Juli 2017 um 15:15

hallo holger und alex,

Nachteil: du mußt für jeden Chromecast so eine Regel machen…

alternativ könnte man auch eine hostgruppe unter firewall/firewallgruppe erstellen (analog zu allowedhosts), in der alle chromecasts eingetragen werden. die gruppe wählt man dann in den firewallregeln aus und gibt ihr den gewünschten port.
lg
wolfgang

Alex · 8. Juli 2017 um 08:39

Hallo an alle,

ich habe es jetzt über eine firewallgruppe gelöst. Vielen Dank an alle für die Hilfe!

LG Alex