[Frage] dnsmasq: nur als DHCP-Server ohne DNS-Server? oder dnsmasq + getdns/stubby?

Apollon2

Neuer User
Mitglied seit
1 Sep 2020
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich komme leider mit der Konfiguration meiner FritzBox 7590 nicht weiter:
Firmware: 154.07.57 rev107893
Branding: avm​
Freetz: ng-23247-d588bdd14

Ich habe natives ipv6 und ipv4 in meiner FB konfiguriert. Auf freetz läuft v.a. dnsmasq, damit ich feste IPs und Namen an meine Clients vergeben kann.

Was ich will:
Ich möchte einen DNS-Server (SmartDNS) über DNS over TLS nutzen und zwar sowohl für ipv4 als auch ipv6.
Von meinem SmartDNS-Anbieter (controlD) habe ich dazu je 2 ipv4 und ipv6 IP-Adressen (Legacy support) und 1 Auflösungsname für DNS over TLS.

Was ich versucht habe:
1. im AVM-Webinterface habe ich die DNS-Daten alle eingetragen, was aber wegen dnsmasq keine Auswirkung hat. Das wundert mich noch immer, weil ja bei dnsmasq die Option "Durch AVM/Provider zugewiesene Upstream Nameserver nutzen. momentan: 192.168.180.1 und 192.168.180.2" aktiviert war.
2. Ich habe also eben diese Option deaktiviert und die 4 IP-Adressen des SmartDNS-Dienstes unter "zusätzlich diese Upstream Nameserver nutzen" eingetragen. Das funktioniert dann auch wie gewünscht, ist aber nicht DNS over TLS.
3. nach vielem googlen hab ich mir dann freetz neu gebaut mit getdns (stubby). Habe dann bei dnsmasq
Code:
127.0.0.1#11153 0::1#11153
eingetragen bei stubby folgendes:
Code:
listen_addresses:
  - 127.0.0.1@11153
  - 0::1@11153
upstream_recursive_servers:
  - address_data: xxx.xxx.xxx.xxx
    tls_auth_name: "**********.dns.controld.com"
  - address_data: xxx.xxx.xxx.xxx
    tls_auth_name: "**********.dns.controld.com"
  - address_data: xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
    tls_auth_name: "**********.dns.controld.com"
  - address_data: xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
    tls_auth_name: "**********.dns.controld.com"
Solange ich das ganze nur mit ipv4 mache (also nur die ipv4 einstellungen bei dnsmasq und stubby) geht es, mit ipv6 wird es dann aber super langsam/geht nicht. Ich weiß auch ehrlich gar nicht, wie ich überprüfen kann, ob das DNS over TLS überhaupt funktioniert. Ich sehe bei meinem SmartDNS-Dienst nur, ob ich verbunden bin oder nicht.

Am einfachsten fände ich es, wenn ich den AVM-dns-Dienst nehmen würde, statt dnsmaq. Da muss ich nix rumkonfigurieren. Ich brauche aber entweder den DHCP-Server von dnsmaq oder einen anderen. Kann man den DHCP-Server von dnsmasq ohne den DNS-Server nutzen? Reicht es dazu evtl. beim "backen" des freetz-images bei dnsmasq "disable mutlid's DNS" abzuwählen?

Danke für die Hilfe!
Alex
 
Ich bin heute rein zufällig auf dein Posting hier gestoßen. Und da ich mich gerade auch mit der Thematik dnsmasq und IPV6 beschäftige, versuche ich hier meinen Senf dazu zu geben. Hoffentlich interessierst du dich für die Antworten immer noch und bist nicht schon etwas weiter in deinen eigenen Versuchen.
Meine aktuelle "Spielwiese" ist vermutlich etwas anders als deine, dennoch gibt es ggf. die eine oder die andere "Ecke", die für uns beide von Interesse ist.
1. Ich habe mich letzte Zeit abgewöhnt, hier die Fragen zu FREETZ NG zu stellen. Wenn dann sollte man damit bei GITHUB im Diskussionsbereich versuchen. Wobei die Erfahrungen der Meisten hier eher dahin liegen, dass du auch dort meistens keine zielführenden Antworten bekommst (und das ist noch sehr positiv formuliert unter dem Motto "Kein Anschieß ist Lob genug!"). Daher bist du eher hier bei IPPF auf die gleichen Mitstreiter angewiesen, die leider bei der Entwicklung von NG nicht beteiligt sind und in den meisten Fällen nicht mal den aktuellen Stand von NG verfolgen.
2. Dein Vorteil liegt darin, dass du zumindest mit dnsmasq einen DNS/DHCP-Server verwendest, der recht verbreitet ist und zudem viel Informationen im Netz zu finden sind. Ich empfehle dir all die Konfigurationsparameter von dnsmasq im Netz zu finden und die wirklich Punkt-für-Punkt zu studieren. Du wirst echt staunen, wie mächtig dnsmasq ist und was du damit alles veranstalten kannst, wenn natürlich die entsprechende Hardware inkl. der Distibution "mitspielt".
3. Um das zu bestätigen, poste ich hier ein Paar Zeilen aus dem "extra"-Abschnitt von meinem dnsmasq. Bitte keinen Anspruch auf die Vollständigkeit. Dient nur als Beispiel:
Code:
#log-queries
#log-dhcp
bind-interfaces
interface=guest
except-interface=lan
except-interface=dsl
except-interface=wan
no-dhcp-interface=lan
no-dhcp-interface=dsl
no-dhcp-interface=wan
enable-ra
ra-param=high,60,7200
#ra-param=guest,high,60,7200
dhcp-option=guest,option:router,192.168.189.1
dhcp-option=guest,option:dns-server,192.168.189.1
wenn du da dieses "bind-interfaces" einfügst, kannst du einzelne Interfaces mit dnsmasq bedienen. In meinem Fall hier war z.B. die Aufgabe, dass dnsmasq nur auf dem "guest" lauscht. Dafür dient "interface=guest" bzw. zusätzlich noch all die "excepts" (die Interfaces, wo er nicht lauschen soll). Und jetzt kommt das Interessante für dich: Per "no-dhcp-interface" kannst du ihm explizit sagen, wo KEIN DHCP laufen soll. In meinem Fall ist es etwas doppelt gemoppelt, daher bitte nicht 1zu1 für wahre Münze nehmen, aber allgemein ist diese "no-dhcp"-Option wohl dafür da, dass wenn du keinen "except-interface" da definieren würdest, dass auf dem besagten Interface NUR DNS, aber kein DHCP läuft.
Die bei mir da gerade auskommentierten log-Optionen sind übrigens für Debugging sehr hilfreich. Und mit "dhcp-option=guest,..." definierst du, dass er die Option NUR auf dem "guest"-Interface macht.
Also, ich will damit sagen: Lies dich in die Doku von dnsmasq ein und probier mal das eine oder das andere aus. Es ist echt sehr viel damit möglich.
4. Bzgl. meiner Erfahrungen mit dnsmasq und IPV6: Leider nicht besonders gut. Vor alem mit "guest", wo ich gerade am rumexerimentieren bin, wie du siehst. Die meisten Anleitungen, die ich im Netz und hier in IPPF zu Fitz!Box und IPV6 gefunden hatte, gingen leider Richtung AVM-IPV6. Auch die, wo du eigentlich einen externen DNS/DHCP verwendest, was dnsmasq unter FREETZ an sich ja auch eigentlich ist. Kurz zusammengefasstzu dnsmasq und IPV6: "geht nicht" oder "geht mit großen Einschränkungen". Wenn weitere Details von Interesse sind, was genau nicht geht, kann ich es auf Anfrage erläutern.
5. Bzgl. IPV6 und "sehr langsam": Deutet auf ein sehr bekanntes Problem. Google bitte nach "IPV6 / Fallback / Timeout" oder ähnlichen Begrifflichkeiten. Wirst du dann im Netz fündig. Meistens ist es so, dass wenn IPV6 nicht vernünftig funktioniert es zu großen timeouts kommt, bis auf "fallback" (vermutlich dann IPV4) zurückgegriffen wird. Das verspührst du dann als "langsam", weil er jede DNS-Anfrage mit diesen langen timeouts behandelt. Aber Näheres kann man natürlich nur mit traceroute und ähnlichen Werkzeugen feststellen. Bedarf also einer Analyse.

Und generell zu IPV6: Es ist leider immer noch eine sehr schwierige und aufwendige Baustelle, wenn du nicht gerade den 0815-Weg gehst, den AVM und Co. für dich vorgesehen hatten. Man muss wirklich jeden Schritt für sich nach und nach hart erarbeiten. Die alte bekannte IPV4-Denke, die die meisten von uns hier immer noch haben, trägt da leider auch eher negativ zum Erfolgerlebnis bei.
 
  • Like
Reaktionen: Apollon2
Danke für Deine Antwort. Bin leider noch nicht wirklich weiter. Aber das sind hilfreiche Tips. Ich muss die erst mal alle nachvollziehen. Danke!
 
Ich habe erst jetzt realisiert, dass du es eigentlich andersrum willst, als diese "no-dhcp-interface"-Logik da direkt anbietet. Es gibt aber noch weitere zahlrecihe Optionen unter dnsmasq, die es vielleicht nicht direkt erlauben würden, den DNS beim laufenden DHCP zu deaktivieren. Was du da aber auf jeden Fall machen kannst: Per DHCP-Optionen da z.B. den DNS-Server zu "pushen", wie es in der letzten Zeile von meinem Beispiel da zu sehen ist. Zwar zeigt er in dem Beispiel auf das Gast-Interface der Fritz!Box, man kann da aber natürlich jede andere IP des DNS-Servers eintragen.
 
Am liebsten wäre mir, den dns von dnsmasq ganz ausschalten zu können und nur den dhcp zu verwenden. Ich will mich eigentlich gar nicht tiefgehend mit dnsmasq beschäftigen, wenn es eigentlich einfacher anders geht.

Alternativ wäre ein anderer dhcp-server für freetz der eben nur dhcp macht und bei dem ich eben eigene hostnamen vergeben kann.
 
Normalerweise ist es so rum nicht vorgesehen. Und ich kenne keine "separaten" DHCP-Server, die ohne DNS laufen. Meistens ist es so, dass du einen DNS-Server hast, der dann auch DHCP kann. Ich habe mich zwar jetzt nicht mit der Logik von dem beschäftigt, was du vor hast, kenne es aber aus eigener Erfahrung, dass es schon Sinn macht, dass DNS und DHCP an einem Server "hängen". Z.B. die Nutzung der hosts-Datei bei dnsmasq, als die Möglichkeit feste Zuweisungen (MAC<->IP) für den DHCP-Server zu definieren. Zumindest bei FREETZ ist es so umgesetzt, obwohl es nicht die einzige Möglichkeit dafür ist. Klar, kannst du DHCP und DNS physikalisch auftrennen und auf unterschiedliche Maschinen auslagern. Aber wird der Verwaltungsaufwand für dich dadurch nicht zu hoch? Überleg es dir bitte im Vorfeld.
Und wie gesagt, mein Use Case Scenario scheint sich von deinem sehr stark zu unterscheiden. In meinem Fall würde ich versuchen, DHCP und DNS von einem Server machen zu lassen. Es gibt da zwar auch bei mir im Netzwerk noch einen Sonderfall "SAMBA AD DC", der einen Windows Domain Controller simuliert, der läuft aber eher als sekundäres DNS und macht kein DHCP, wie man es klassisch von so einem Windows Server kennt. Dient auch lediglich dazu, die Rechner im "m$-Universum" zu befriedigen und dem SAMBA AD DC einen lokalen DNS zur Verfügung zu stellen, damit es läuft. Ansonsten ist bei mir aktuell der OPNSense im Einsatz, der dann vernünftige DNS/DHCP/Firewall-Lösungen mitbringt.
Edit:
Ich habe jetzt nochmal dein Posting durchgelesen. Bzgl. der Server 192.168.180.1 und 192.168.180.2: Lass es bitte so da stehen. Und probiere es nochmal damit. Das sind die so genannten "dummy DNS" oder benenne sie, wie du willst. Ich kenne da leider nicht die ganze Logik, die dahinter steht. Das sind aber die DNS-Server, die AVM-seitig dazwischen liegen. Sinn der Sache ist: Der 0815-Benutzer benutzt ja DNS von seinem Provider zugewiesen. Ergo, man muss sie jedes Mal spezifisch eintragen. Bei AVM (zumindest habe ich es so verstanden, dass es irgendwo in den Tiefen von AVM-Code passiert) dienen diese beiden "Pseudo-DNS" quasi als Platzhalter für DNS1 und DNS2 von dem Provider. Im 0815-Normalo-Fall reicht es vollkommen diese beiden IP da so stehen zu lassen. Das funktioniert sicher auch mit dnsmasq unter FREETZ-NG so. ABER (und jetzt kommt dieses ABER), du betreibst ja die ganze Sache außerhalb dieser vorgesehenen 0815-Logik von AVM. Daher hast du Recht: Es können schon mal damit Probleme bei deiner TLS-Verbindung zu deinem Custom-DNS auftreten. Und im Falle eines IPV6-DNS würde ich auch ehrlich gesagt passen, um zu wissen, was da genau passiert. Du brauchst meiner Meinung nach DNS-Debugging-Werkzeuge, wie traceroute für das Routing, um es genauer untersuchen zu können. Ich weiß nicht, ob "dig" dich da weiter bringt oder ob es auch mit "traceroute" bereits auch in gewissen Grenzen geht. Such bitte im Netz danach, wie du es debuggen kannst.
Und bezüglich der Trennung zwischen DHCP und DNS: ich würde da echt die DHCP-Push-Optionen von dnsmasq benutzen, wie oben dargestellt. Wenn du schon die IPs per DHCP verteilst, dann verteilst du doch an die Clients auch Gateway, DNS und sonstige Informationen. Bei default ist DHCP=DNS=Gateway. Das muss aber nicht so sein. Das wäre meines Erachtens die sauberste Methode. Zwar würde dein DNS von dnsmasq noch mitlaufen, benutzt wird aber von den Clients der DNS, den du da per Push den Clients verteilst.
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,347
Beiträge
2,250,583
Mitglieder
374,001
Neuestes Mitglied
curious2315
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.