Beiträge von flomow

Hi,

seit kurzem habe ich ein großes DNS-Problem mit DHCP-Leases.
Wir haben vor einigen Tagen einen neuen Router bekommen, der der EFW vorgelagert ist (Fritzbox). Dort ist EFW als festes DHCP-Lease eingetragen und als Exposed host. Der efw-Uplink wurde von static auf dhcp umgestellt.

die clients in Grün bekommen über fixed leases ihre IP zugewiesen. Die Grünen-PCs auf manche Geräte (z.B. Drucker) über den Netzwerknamen zu. Bis jetzt hat das auch sehr gut geklappt, doch seit der o.a. Umstellung eben nicht mehr.

Wenn ich im Windows shell nun nslookup KM93006F eingebe (ein Drucker), bekomme ich IPs aus dem Internet zurück:

Server:  wpad.localdomain
Address:  192.168.255.1


Nicht autorisierende Antwort:
Name:    KM93006F.localdomain
Addresses:  80.156.86.78
          62.157.140.133

Erst, wenn ich den Drucker in der option hosts eingebe, erscheint es richtig:

Server:  wpad.localdomain
Address:  192.168.255.1


Name:    KM93006F.localdo
Address:  192.168.255.24

Verändere ich die hosts-Liste über dsas Webadmin erscheinen folgende Zeilen im System-Log:

Aug 6 10:55:54 dnsmasq[11599] reading /etc/dnsmasq/resolv.conf
Aug 6 10:55:54 dnsmasq[11599] using nameserver 192.168.252.2#53
Aug 6 10:55:54 dnsmasq[11599] exiting on receipt of SIGTERM
Aug 6 10:55:55 dnsmasq[13771] started, version 2.47 cachesize 2048
Aug 6 10:55:55 dnsmasq[13771] compile time options: IPv6 GNU-getopt no-DBus no-I18N TFTP
Aug 6 10:55:55 dnsmasq[13771] reading /etc/dnsmasq/resolv.conf
Aug 6 10:55:55 dnsmasq[13771] using nameserver 192.168.252.2#53
Aug 6 10:55:55 dnsmasq[13771] read /etc/hosts - 11 addresses
Aug 6 10:55:55 dnsmasq[13771] read /etc/openvpn/dnsmasq.hosts.conf - 0 addresses

Und die Dateien dazu:

cat /etc/dnsmasq/resolv.conf
nameserver 192.168.252.2

Und:

cat /var/lib/dhcpd/dhcpd.leases

ist leer.

Wo stehen die fixed-leases mit Zeiten, etc drin? Müsste hier nicht viel mehr drin stehen (alle dhcp-Rechner)?
Auch die dyn leases stehen zwar in /var/lib/dhcpd/hcpd.leases:

tore leases in the local timezone, so please don't request this as a
# feature.   If this is inconvenient or confusing to you, we sincerely
# apologize.   Seriously, though - don't ask.
# The format of this file is documented in the dhcpd.leases(5) manual page.
# This lease file was written by isc-dhcp-V3.0.5-RedHat


lease 192.168.255.XXX {
  starts 3 2014/08/06 08:47:22;
  ends 3 2014/08/06 09:47:22;
  tstp 3 2014/08/06 09:47:22;
  binding state active;
  next binding state free;
  hardware ethernet 00:1a:a0:2e:66:fc;
  uid "\001\000\032\240.f\374";
  client-hostname "XXXhostname2";

Werden aber über ein nslookup am lokalen PC nicht aufgelöst, sondern wie oben mit IPs aus dem Internet aufgelöst.

Anscheinend wird nur die hosts datei beachtet, alles andere wird ins Internet weitergeleitet....

Weiss jemand Rat?

Danke, Flomow

Hey,
danke für die Antwort.

Habe das ganze nochmal neu installiert und aus irgendeinem Grund klappt es jetzt.

Nochmal zu dem Proxy-Modus transparent (wikipedia):

Zitat

Ein „Transparenter Proxy“ besteht grundsätzlich aus zwei Komponenten. Zunächst werden am Router die gewünschten Ports der Protokolle abgegriffen (beispielsweise über Iptables unter Einsatz eines Redirects) und dann an einen Proxy weitergeleitet. Für den Anwender ist die Verbindung über einen transparenten Proxy in der Benutzung nicht von einer direkten Verbindung über den Router zu unterscheiden. Das Vorhandensein eines transparenten Proxys bietet daher den Nutzen, dass eine Konfiguration der Proxyeinstellungen am einzelnen PC unterbleiben kann

Die Ports 80 & 443 bleiben offen und der Proxy schaltet sich automatisch und unsichtbar drauf (hat mittlerweile fast jeder Internetprovider). Authetifizierung ist dann natürlich nicht so einfach möglich.....

Grüsse, Flomow

Hi Sabine,
danke für Deine Antwort.
Das klappt aber leider gar nicht. Ich dachte (und denke) der Sinn, den proxy auf transparent zu stellen, wäre, die ports 80 & 443 offen lassen zu können, da sich der transparente proxy genau dort mit "reinhängt". sonst ist der proxy ja eben NICHt transparent (wie zum Beispiel im GREEN auf 8080).

Viele Grüße, florian

Hi,
ich habe ein Problem:

habe für das Grüne Netzwerk einen nicht-Transparenten Proxy angelegt mit nutzerbasierten auth + Inhaltsfilter.
Das funktioniert sehr gut!

Zusätzlich wollte ich nun für BLAU einen transparenten Proxy anlegen nur mit Inhaltsfilter. Auch wenn ich das gleiche Profil content2 wie beim GREEN nutze filtert der proxy gar nix (auch nicht in der blacklist explizit angegebene domains).

Was mache ich falsch?
(Im GREEN ist die firewall auf port 80, 443 zu, in BLUE offen - ist das richtig so?)

Danke flomow

Hey,

Problem gelöst (nach langer google -suche).

also, im Prinzip ganz einfach:

Zusätzlich muss man unter Proxy / DNS ein Häckchen für Green setzen.....

Danke trotzdem!

Hi,

ich habe ein Problem mit meiner neuen EFW:

Also, das grüne Netzwerk hat den Adressraum 192.168.255.0/16
Der host 192.168.255.26 ist der Intranet-Webserver.
Nun soll es für die Nutzer in Green möglich sein, auf diesen Server zuzugreifen, ohne immer die IP-Adresse eingeben zu müssen, sondern über einen hostname, z.b. intranet.de.

Meines Verständiss nach müsste ich doch nur unter Netzwer/Hosts bearbeiten einen Host mit folgenden Daten eintragen:

Ip Adresse, Hostname (intranet) und domain (intranet.de)

ein nslookup auf einem client bringt aber weder auf intranet.de, intranet, intranet.localdomain noch auf intranet.de.localdomain eine passende auflösung, sondern entweder die IP-Adresse von intranet.de oder **server can't find ...: NXDOMAIN

Was mache ich falsch - help!

Danke, flomow