DNS Server hat kein Internet

[Itnewbie 0]

Hallo allerseits 

 

Folgende Situation. Bestehende IT Infrastruktur durch Fachpersonal aufgesetzt. Verkabelung ziemlich wirr. Folgendes Problem:

 

Router/GW IP Adresse: 192.168.1.1

 

10 Clients per DHCP IPs 192.168.1.xxx GW 192.168.1.1, DHCP 192.168.1.101, DNS 192.168.1.101

 

1 Windows Server mit Rollen DHCP und DNS. Server IP Konfig:

IP 192.168.1.101

GW 192.168.1.1

DNS: 127.0.0.1

 

Die Clients kamen bisher alle online. Nun nicht mehr, keine DNS Auflösung möglich. Ändert man den DNS Eintrag auf den Clients manuell auf 8.8.8.8 geht wieder alles. Pingbar von den Clients aus sind das GW, der DNS Server sowie die IP 8.8.8.8.

 

Der Windows Server selbst hat kein Internet mehr. Das manuelle Ändern des DNS Eintrages im Netzwerkadapter von 127.0.0.1 auf 8.8.8.8 bringts nichts. Pingbar vom Server aus sind alle Clients sowie das GW. Nicht aber 8.8.8.8! 

 

Wo könnte das Problem liegen? 

 

Danke

[NilsK 2.939]

Moin,

 

das Problem liegt darin, dass der DNS-Server nur das interne Netz kennt, aber nicht weiß, wie er Adressen im Internet auflösen soll. Dafür musst du einen "Forwarder" dort eintragen, der z.B. auf 8.8.8.8 zeigen könnte.

 

Die Clients behalten alle den internen DNS-Server, keinen anderen.

 

Gruß

[Itnewbie 0]

Hallo

Das System hat bis anhin funktioniert. Beim Forwarding steht Folgendes:

 Weiterleitungen 195.186.4.162 195.186.1.162 >Auflösung nicht möglich

[NilsK 2.939]

Moin,

 

Aha. Wer ist denn 195.186.4.162? Ändert sich etwas, wenn du dort versuchsweise 8.8.8.8 einträgst?

 

Wer betreibt denn die Umgebung normalerweise?

 

Gruß, Nils

[Itnewbie 0]

Nein es ändert sich leider nichts. Das sind Swisscom DNS Server.

Die Umgebung betreibt eine Firma, die es nicht mehr gibt :/

[NilsK 2.939]

Moin,

 

Hast du den Server schon mal neu gestartet? Falls er dabei Updates installieren will, lass das bitte komplett durchlaufen.

 

Gruß, Nils

[Itnewbie 0]

Der Server wurde schon zweimal neugestartet. Mir ist aber aufgefallen, dass diverse Updates angezeigt werden. Ich kann die mal installieren. 

bearbeitet 9. Oktober 2023 von Itnewbie

[mwiederkehr 373]

Die Firewall/den Router hast Du auch schon neu gestartet? Zeigt das Log Meldungen wie "too many sessions for client" mit der IP-Adresse des Servers?

 

Dass Du 8.8.8.8 von den Clients aus pingen kannst, aber nicht vom Server, ist merkwürdig. Falls die Swisscom-DNS wie kürzlich ein Problem hatten und auf der Firewall ein hohes UDP-Timeout eingestellt ist, könnten viele unbeantwortete DNS-Abfragen die Anzahl erlaubter Verbindungen erreicht haben.

[Itnewbie 0]

Kürzlich nicht nein, der Neustart der FW liegt einige Tage zurück. Werde es probieren. Das Login für die FW fehlt mir. Muss es auftreiben.

Noch eine andere Frage. Ich habe gesehen, dass der Swisscom Router mit der Fortinet FW nicht über den WAN Port kommuniziert, sondern im LAN drin (einer der 4 LAN Ports an der Fortinet) hängt. Ist das ein Problem? 

 

Im Internet finde ich Folgendes dazu:

"Letztendlich hängt die Frage, ob der Anschluss eines Routers mit Modem an einen WAN Port oder einen LAN Port einer Firewall sicherer ist, von Ihren individuellen Anforderungen ab. Wenn Sie eine einfache und unkomplizierte Lösung benötigen, ist der Anschluss an einen WAN Port in der Regel ausreichend. Wenn Sie eine hohe Sicherheitsstufe benötigen, kann der Anschluss an einen LAN Port einer Firewall sinnvoll sein."

bearbeitet 9. Oktober 2023 von Itnewbie

[NorbertFe 2.045]

vor 6 Stunden schrieb Itnewbie:

Ich habe gesehen, dass der Swisscom Router mit der Fortinet FW nicht über den WAN Port kommuniziert, sondern im LAN drin (einer der 4 LAN Ports an der Fortinet) hängt. Ist das ein Problem? 

Nein, das ist normal. An der wan Seite des routers hängt ja der Provider (dsl, Glas usw.)

[NilsK 2.939]

Moin,

 

Möglicherweise ist es einfacher, wenn du dir einen neuen Dienstleister suchst, der sich das vor Ort ansehen und beheben kann. Per Forum können wir da nur mühsam rumstochern.

 

Gruß, Nils

[Itnewbie 0]

Ja ich werde das machen. Aber stellt es ein Sicherheitsrisiko dar, wenn der DSL Router am LAN Segment der Firewall drinhängt und nicht am WAN Port der Firewall? Ich finde da unterschiedliche Angaben im Internet. Es gibt ja auch FW ohne WAN Port wie verhält es sich dann dort. 

bearbeitet 11. Oktober 2023 von Itnewbie

[NorbertFe 2.045]

Gerade eben schrieb Itnewbie:

Ja ich werde das machen. Aber stellt es ein Sicherheitsrisiko dar, wenn der DSL Router am LAN Segment der Firewall drinhängt und nicht am WAN Port der Firewall? 

Das kann man so pauschal nicht einschätzen, weil keiner von uns deine Konfiguration kennt.

[Itnewbie 0]

Ok aber wird das teilweise so gemacht oder ist es generell nicht zu empfehlen? 

[mwiederkehr 373]

Bist Du sicher, dass es ein LAN-Port ist? Bei FortiGate-Firewalls lassen sich die Ports frei konfigurieren, unabhängig ihrer Beschriftung. Ohne die Konfiguration zu kennen, kann man das nicht beurteilen.