DNS Server richtig konfiguriert?

Status
Für weitere Antworten geschlossen.

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
202
Punkte für Reaktionen
1
Punkte
24
Wenn die Fritzbox nicht auflösen kann, übergibt sie doch an den öffentlichen DNS:
Client -> Syno -> Fritzbox -> Google

Warum muss sie mehr als fritz.box auflösen können?

Ich verwende übrigens nicht mehr die Datenkrake, sondern 1.1.1.1:
https://1.1.1.1


Wenn ich
Client -> Syno -> 1.1.1.1
einstelle:
Funktioniert dann immer noch der DNS-Rebind-Schutz der Fritzbox?

LG
iOOi
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Wie gesagt, lies den Wikipedia-Artikel, anstatt das einfach zu übergehen und hier weiter unnötige Fragen zu stellen. Die Frage nach dem Rebindschutz kannst Du Dir auch selbst beantworten (mit ein wenig Logik), zudem ist es fraglich, wie der Rebind-Schutz implementiert wurde (Glaskugel hab ich leider grade nicht zur Hand). Hier findest Du noch ein paar Informationen zur Thematik. Ich klink mich hier jetzt mal aus ;)
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
202
Punkte für Reaktionen
1
Punkte
24
Bezüglich meiner Anmerkung zum c't Artikel:
Warum fritz.box nicht mehr funktionieren soll wie im c't Artikel beschrieben verstehe ich nicht:
fritz.box funktioniert sowieso nur, wenn der Client die IP der Fritzbox als DNS hat (diese sehr versteckte Einstellung, auf die ich ohne Dich nie gekommen wäre). Dadurch, dass nun box eine offizielle TLD ist, ändert sich daran nichts. Es wird weiter zuerst der DNS der Fritz Box befragt, der mit der privaten IP antwortet.

... hat der Hersteller der Fritzbox geantwortet:
Lediglich bei nslookup, einem Kommandozeilentool für Windows für Netzwerkadministratoren, erfolgt die Namensauflösung von fritz.box über das Internet. Das Tool verdoppelt den Domain-Suffix und erzeugt damit das im Artikel beschriebene Verhalten. Dieses Verhalten von nslookup war damals aufgefallen, nachdem im Internet Namensanfragen für die TLD .box mit 127.0.53.53 beantwortet wurden.
Normale Anfragen wie der Zugriff auf Windows-Freigaben oder Netzwerkdrucker, das Surfen im Internet oder andere Tools wie ping etc. verdoppeln den Suffix nicht und werden nach wie vor nur lokal beantwortet und nicht ins Internet weitergeleitet. Die FRITZ!Box lernt über DHCP und RFC 6762 (mDNS) die lokalen Geräte (hosts) im Netzwerk. Hier gibt es keine Beeinträchtigungen der Netzwerkfunktionen.
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
202
Punkte für Reaktionen
1
Punkte
24
Diese Frage habe ich auch an AVM, den Hersteller der Fritzbox weitergeleitet:
Zum Fritzbox DNS habe ich eine Frage:
Ist die einzige Funktion des DNS in der Fritzbox "firtz.box" aufzulösen? Ist es für die Performance besser die Fritzbox aus der DNS Kette zu heraus zu nehmen, und eine "box" Zone mit dem Eintrag "fritz" im NAS einzurichten? Die Übergabe von einem DNS zum nächsten kostet doch sicher ein wenig Zeit.

Funktioniert dann immer noch der DNS-Rebind-Schutz der Fritzbox? Andere Nachteile den Fritzbox DNS zu entfernen?

Die erste Antwort:
Man kann in der FRITZ!Box den lokalen DNS-Server bekannt machen und per DHCP vergeben lassen. Dann kümmert die FRITZ!Box sich in der Tat rein um die lokale Domain. Dies kostet im Regelfall nur einen Hop Zeit und das bekommt man als Nutzer so eigentlich nicht mit, denn lokal ist 1 Hop im Regelfall ca. 1 Millisekunde.

Rebind-Funktionalität ist eine Firewallfunktion die global gültige Domains unterdrückt die ins Heimnetz zeigen. Bei lokalen Domains wie Gerätenamen im Heimnetzwerk mischt sich diese im Regelfall nicht mit ein und spielt deshalb bei einem lokalen DNS keine Rolle. Dennoch könnten wir das im Grenzfall nicht zusichern und empfehlen die FRITZ!Box als lokalen DNS.



Ich habe dann über einen anderen Kanal noch mal angefragt, ob es einen Nachteil gibt, den DNS in der Fritzbox nicht zu verwenden, im speziellen, ob der Rebind Schutz dann noch funktionieren würde. Die zweite Antwort:
Hi, an sich gibt es da keine Nachteile, abgesehen vom prinzipbedingt nicht mehr funktionierenden DNS-Rebind-Schutz der FRITZ!Box.

Also so wie von mir vermutet, ist die einzige Funktion des DNS in der Fritzbox fritz.box aufzulösen. Bezüglich Rebind-Schutz ist man sich bei AVM nicht sicher.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
...... einfach nur: <ohne Worte> :eek: (und das nicht in Bezug auf AVM)
 

Drausi

Benutzer
Mitglied seit
27. Jan 2014
Beiträge
271
Punkte für Reaktionen
13
Punkte
24
Hallo an Alle,

DNS Server Einstellungen:

Zone

Master Zone (Forward Zone) angelegt.
Domainname = synology.me
Master DNS-Server = 192.168.178.100
Alle Haken der Optionen "Zonetransfer einschränken", "Quell-IP Dienst beschränken", "Benachrichtigung für Slave aktivieren" und "Zonenaktualisierung einschränken" sind deaktiviert.

SOA Eintrag für die Master Zone (Forward):

Hostname: ns.synology.me
Email: mail@synology.me
Seriell: 2018041405
Aktualisierungszeit: 43200
Retry Time: 180
Verfallzeit: 1209600
Negativer: 10800

Folgende Resourcen Einträge sind vorhanden:

NAME TYP TTL Information

myname.synology.me. A 86400 192.168.178.100
ns.synology.me. A 86400 192.168.178.100
synology.me. NS 86400 ns.synology.me.
www.myname.synology.me. CNAME 86400 myname.synology.me.

Jetzt habe ich noch eine weitere Master Zone (Reverse Zone) angelegt.

Domainname = 178.168.192.in-addr.arpa
Nameserver: ns.synology.me
Alle Haken der Optionen "Zonetransfer einschränken", "Quell-IP Dienst beschränken", "Benachrichtigung für Slave aktivieren" und "Zonenaktualisierung einschränken" sind deaktiviert.


SOA Eintrag für die Master Zone (Reverse):

Hostname: ns.178.168.192.in-addr.arpa
Email: mail@178.168.192.in-addr.arpa
Seriell: 2018041402
Aktualisierungszeit: 43200
Retry Time: 180
Verfallzeit: 1209600
Negativer: 10800

Folgende Resourcen Einträge sind vorhanden:

NAME TYP TTL Information

100.178.168.192.in-addr.arpa. PTR 86400 myname.synology.me.
178.168.192.in-addr.arpa. NS 86400 ns.synology.me


Auflösung

"Auflösungsdienste aktivieren" angehakt.
"Quell-IP Dienst beschränken" abgehakt.
"Forwarder aktivieren" angehakt

Forwarder1: 62.109.121.2
Forwader2: 62.109.121.1
Weiterleitungsrichtlinie: Zuerst weiterleiten

Sonst habe ich keine Einstellungen im DNS Server vorgenommen.



Was habe ich nur übersehen?

Vielen Dank!

Gruß
Thorsten

Hallo zusammen,

ich bitte auch hier mal um kurze Hilfe.
Im Prinzip habe ich das selbe Vorhaben. Meine Domain xxxx.at möchte ich auch intern im Netzwerk auflösen können.
Ich verwende einen Netgear LTE Router R7100LG. Dort habe ich die DNS Einstellungen am lauf die IP der NAS gestellt.

Netgear-DNS.jpg

Mein Router hat 192.168.1.1
NAS 192.168.1.2

Kann ich die Einstellungen bis auf IP und Name wie ober beschrieben verwenden, so dass ich dann auch ohne Internetverbindung meine Domain.at intern erreichen kann?
 

RolfGrisu

Benutzer
Mitglied seit
10. Feb 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Diese Einstellungen funktionieren recht gut, haben aber m.E. eine grundsätzliche Einschränkung: andere externe Hosts werden nicht mehr aufgelöst. Sitzt "yourname.synology.me" außerhalb meines Netzes (mit wechselnder IP?), liefert nslookup "** server can't find yourname.synology.me: NXDOMAIN". Die DNS-Anfragen für synology.me werden also nicht mehr an den "Forwarder" geleitet - oder gibt es dafür eine Lösung?

Grüße Rolf
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat