Google DNS aus grün nicht erreichbar


#1

Liebe Alle,

ich glaube der Grund dafür, dass meine Chromecast nicht laufen liegt darin, dass ich von Clients aus dem grünen Netz heraus den Google-DNS 8.8.8.8 nicht erreichen kann.

Die Befehle
dig @10.16.1.254 www.heise.de
dig @10.16.1.1 www.heise.de
funktionieren vom ipfire, vom server und von clients aus.

Der Befehl
dig @8.8.8.8 www.heise.de
funktioniert nur vom ipfire und vom server aus, aber nicht von einem client im grünen Netz.

Wie gehe ich vor, um das hinzubekommen? Bin leider in diesem Thema kein Experte…

LG Alex


#2

Hallo Alex,

ggf. in der Firewall den DNS-Port für die Google Server freigeben.

Gruß

Alois

Am 4. Juli 2017 um 18:20 schrieb Alexander Wollmann <noreply@linuxmuster.net


#3

Wie mache ich das?


#4

Hallo,

Wie mache ich das?

im IPFire unter Firewall den Port 53 von Grün nach Rot erlauben.
Das würde ich aber auf die IPs der Sticks begrenzen, da es ein nicht zu
vernachlässigendes Sicherheitsloch ist, wenn der DNS nicht in deiner
Hand ist.
Du kannst es auch auf 8.8.8.8 begrenzen.

LG

Holger


#5

Hallo Holger,

wahrscheinlich verstehe ich es nicht: Warum muss ich denn am IPfire etwas ändern, wenn ich doch vom Server (10.16.1.1) aus eine Abfrage bei den Google-Servern hinbekomme? Der Server muss doch auch über den IPFire raus. Die Clients hinter dem Server kommen nicht an die Google-Server ran, also muss es für meine Begriffe doch der Server selber sein, der das blockiert, oder sehe ich das falsch?

LG Alex


#6

Hallo Alex,

der Server darf per default auf allen Ports Anfragen nach rot stellen (d.h. der IPFire lässt sie durch), normale Clients nicht, d.h. z.B. werden DNS-Anfragen vom IPFire geblockt.
Stellt der Client eine DNS-Anfrage an google ist der Server überhaupt nicht beteiligt.

Grüße,
Sven


#7

Hallo Alex,

ganz einfach: Für den Server gibt es schon so eine Regel, aber eben nur
für den Server und nicht für andere Rechner.

Viele Grüße

Jörg Richter


#8

Danke für die Infos. Ich habe eine entsprechende Regel erstellt, und kann am Freitag testen ob das einen Effekt hat.

LG Alex


#9

So, also das hat geholfen! Die Chromecast müssen wohl unbedingt “nach Hause telefonieren”. Klar, Google will halt wissen welche Seiten man aufruft. Jedenfalls laufen die Dinger jetzt superschnell!
Da ich kein ipfire-Experte bin: Kann jemand mal auf die Regel schauen, ob ich das jetzt richtig gemacht habe, sprich: Nur das Nötigste erlaubt? Der Chromecast hat natürlich die 10.31.1.2 .

LG Alex


#10

Hallo Alex,

Da ich kein ipfire-Experte bin: Kann jemand mal auf die Regel schauen,
ob ich das jetzt richtig gemacht habe, sprich: Nur das Nötigste erlaubt?
Der Chromecast hat natürlich die 10.31.1.2 .

die Regel ist super so: genau auf die IP des Chromecast zugeschnitten:
das Sicherheitsloch ist also minimal.

Nachteil: du mußt für jeden Chromecast so eine Regel machen…

LG

Holger


#11

hallo holger und alex,

Nachteil: du mußt für jeden Chromecast so eine Regel machen…

alternativ könnte man auch eine hostgruppe unter firewall/firewallgruppe erstellen (analog zu allowedhosts), in der alle chromecasts eingetragen werden. die gruppe wählt man dann in den firewallregeln aus und gibt ihr den gewünschten port.
lg
wolfgang


#12

Hallo an alle,

ich habe es jetzt über eine firewallgruppe gelöst. Vielen Dank an alle für die Hilfe!

LG Alex