[Gelöst] Standortübergreifende DNS-Auflösung der lokalen Hosts mit FritzBox-VPN?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Ok, d.h. #3 ist fake news? Wie kombiniert man dann verschiedene DNS-Server korrekt, so dass bei "nicht bekannt" der nächste in der Liste gefragt wird? Geht das mit der Fritzbox überhaupt?
 
Zuletzt bearbeitet von einem Moderator:
Novgorod schrieb:
Wie kombiniert man dann verschiedene DNS-Server korrekt, so dass bei "nicht bekannt" der nächste in der Liste gefragt wird?
Zum Vergrößern anklicken....
Über die Domain-Namen. Es gibt Nameserver für die spezifischen Domainnamen, die gefragt werden. Beispiel: ip-phone-forum.de

Dein Problem: Die Domains sind in beiden Fällen gleich, nämlich jedes Mal fritz.box. Das führt dann eben dazu, dass im Falle eines Fehlers kein weiterer DNS Server gefragt wird.
 
frank_m24 schrieb:
Dein Problem: Die Domains sind in beiden Fällen gleich, nämlich jedes Mal fritz.box. Das führt dann eben dazu, dass im Falle eines Fehlers kein weiterer DNS Server gefragt wird.
Zum Vergrößern anklicken....

Heißt das, wenn eins der Netze nicht mehr den fritz.box Suffix hat, wird es mit dem sekundären DNS-Server funktionieren? Gibt es eine Methode, den DNS-Suffix in der Fritzbox zu ändern? Eine GUI-Funktion gibt's ja nicht (oder nicht mehr?) dafür und die Suche gibt entweder Falschinfos (Hostname der Box, DHCP-Domain vom Internetprovider o.ä.) oder es wird ein dedizierter DHCP-Server vorgeschlagen, was ich vermeiden will.
 
Novgorod schrieb:
Heißt das, wenn eins der Netze nicht mehr den fritz.box Suffix hat, wird es mit dem sekundären DNS-Server funktionieren?
Zum Vergrößern anklicken....
Prinzipiell ja, aber so einfach ist es auch nicht. Dazu später mehr.

Novgorod schrieb:
Gibt es eine Methode, den DNS-Suffix in der Fritzbox zu ändern?
Zum Vergrößern anklicken....
Nein. Und es hilft dir auch nicht.

Es geht nicht so einfach, lokal einen DNS Server für eine spezifische Domain vorzugeben. Wenn die Fritzbox das andere Ende des VPNs finden soll, musst du den offiziellen Weg durch den DNS Dschungel gehen.

Ich nenne die beiden Endpunkte der VPN-Verbindung einfach mal Standort1 und Standort2. Das macht es einfacher. Wenn du von Standort1 die Hostnamen an Standort2 auflösen willst, müssen die Nameserver an Standort1 natürlich einen Grund haben, bei Standort2 zu suchen. Wie aber finden sie Standort2 überhaupt? Dafür sorgt halt das DNS System. Problem: Du musst DNS-Server zur Verfügung stellen, die zu diesem System passen, vor allem sogenannte authorative DNS-Server, als Server, die sich für die Namensauflösung eines Standortes zuständig fühlen und auch gefunden werden können.

In deinem Fall heißt das, du brauchst eine Domain, die die Nameserver von Standort1 fragen können. Nehmen wir an, du hast eine Domain bei einem deutschen Hoster, "deinedomain.de". Jetzt kannst du bei diesem Hoster selber standort1.deinedomain.de als Subdomain einrichten, und dafür Nameserver festlegen. Gleiches gilt für standort2.deinedomain.de. Diese Nameserver können z.B. auf einem VPS laufen, sie können aber auch lokal in den Heimnetzen der jeweiligen Wohnungen Standort1 und Standort2 stehen. Das sind nun die authorative Nameserver für deine beiden VPN Endpunkte. Jetzt musst du noch dafür sorgen, dass diese beiden Nameserver auch die Hosts der jeweiligen Standorte kennen. Da müsste ich mal schauen, wie sowas geht. Vielleicht können sie die Fritz!Box fragen, oder sie scannen einfach selber regelmäßig das Netz und halten eine Liste vor. Oder man ersetzt den DHCP Server der Fritz!Box.

Wenn du das alles sauber umgesetzt hast, kannst du von Standort1 aus ein NAS an Standort2 finden. Du gibst nas.standort2.deinedeomain.de ein, die Fritz!Box findet deinen DNS-Server beim Hoster für deinedomain.de, der fragt bei Standort2 nach, bekommt eine Antwort und schickt sie zurück. Allerdings mache ich dich darauf aufmerksam, dass das Aufsetzen und vor allem das Warten eines authorative Nameservers nicht trivial ist. DNS ist ein großes Einfallstor für Schadsoftware, das erfordert einiges an Pflegeaufwand. Eigentlich müsstest du DNSSEC sowohl für deine Domain als auch für die beiden Subdomains einrichten, das ist tricky. Im Grund musst du da täglich draufschauen, ob alles in Ordnung ist. Und die Verknüpfung eines solchen Servers mit deiner Fritz!Box wird vermutlich Gefrickel, sodass man darüber nachdenken sollte, den DHCP Server der Box komplett zu ersetzen.
 
frank_m24 schrieb:
Prinzipiell ja, aber so einfach ist es auch nicht.
Zum Vergrößern anklicken....

Danke für die ausführliche Antwort. Es geht ja nur um lokales DNS (domain/hosts innerhalb des jeweiligen LANs) und keine "richtige" TLD, das sollte sicherheitstechnisch ja eigentlich nicht so heikel sein, oder?

In jedem Fall meinst du, es führt kein Weg an einem dedizierten DNS-Server in jedem der LANs vorbei? Dann ist #3 kompletter Humbug, obwohl einige Antworten so klingen, als ob es funktioniert?
 
Novgorod schrieb:
Es geht ja nur um lokales DNS (domain/hosts innerhalb des jeweiligen LANs) und keine "richtige" TLD
Zum Vergrößern anklicken....
Das Problem ist, dass du die DNS Server der LANs nicht gegenseitig bekannt machen kannst. Also bleibt nur der Weg über eine echte TLD. Mit allen Konsequenzen.

Novgorod schrieb:
Dann ist #3 kompletter Humbug, obwohl einige Antworten so klingen, als ob es funktioniert?
Zum Vergrößern anklicken....
Ich dachte, das ist schon seit Beitrag #5 klar.
 
frank_m24 schrieb:
Das Problem ist, dass du die DNS Server der LANs nicht gegenseitig bekannt machen kannst. Also bleibt nur der Weg über eine echte TLD. Mit allen Konsequenzen.
Zum Vergrößern anklicken....
Warum eigentlich nicht? Die (LAN-)IPs sind doch bekannt und werden vom VPN korrekt geroutet. Man kann doch bestimmt einen statischen DNS-Server-Eintrag (per IP) für eine bestimmte interne Domain konfigurieren, z.B. am Standort 2 (192.168.2.0 subnet) sowas wie "fritz1.box -> 192.168.1.1" und am Standort 1 (192.168.1.0 subnet) umgekehrt, "fritz2.box -> 192.168.2.1". Wahrscheinlich war das so in #39 gemeint? Die Hostnamen wären dann lediglich nicht aus dem Internet verfügbar, was ja auch gut so ist. Es ist wohl nicht "best practice", weil man damit evtl. "richtige" TLD-Einträge überschreiben kann, dann muss man eben aufpassen, welchen "internen" Domain-Namen man wählt. Klingt zumindest einfacher als einen richtigen authoritativen DNS-Server mit "echter" Domain aufzuziehen, nur damit "\\Server\" über's VPN funktioniert...

Ich dachte, das ist schon seit Beitrag #5 klar.
Zum Vergrößern anklicken....
Die ganze Diskussion klang nach Troubleshooting (Namensauflösung klappt über Android aber nicht in Windows?), und #38 implizierte zumindest, dass es ohne IPv6 funktioniert (aber zugegeben mit sehr wenig Kontext was gemeint war)...
 
Novgorod schrieb:
Man kann doch bestimmt einen statischen DNS-Server-Eintrag (per IP) für eine bestimmte interne Domain konfigurieren, z.B. am Standort 2 (192.168.2.0 subnet) sowas wie "fritz1.box -> 192.168.1.1" und am Standort 1 (192.168.1.0 subnet) umgekehrt, "fritz2.box -> 192.168.2.1".
Zum Vergrößern anklicken....
Viel Glück bei der Suche in deinem Windows, deiner Fritzbox oder deinem DNS Server. Eine kurze Google Suche zeigt, dass danach schon viele gesucht haben.

Nachtrag: Du kannst natürlich einen "echten" DNS Server bei dir installieren, der beide Domains standort1/standort2.deinedomain.de betreut, und als DNS Server für standort2 ist dort ein lokaler DNS Server für standort2 eingetragen. Dann müssten alle Clients diesen DNS Server als DNS Server benutzen, auf beiden Seiten des VPNs. Diesen DNS Server kannst du dann natürlich hinter einem VPN lassen, so dass er nur für dein internes Netz erreichbar ist. Aber er muss natürlich auch upstream DNS Server für deine Netze und VPN Clients sein.
 
frank_m24 schrieb:
Das Problem ist, dass du die DNS Server der LANs nicht gegenseitig bekannt machen kannst. Also bleibt nur der Weg über eine echte TLD. Mit allen Konsequenzen.
Zum Vergrößern anklicken....
Man kann die beiden Subdomänen bei Windows und Linux in der "search" bzw in der DNS-Serverliste eintragen
Dann meldet der Rechner nur "Host not Found" zurück, wenn er das über beide Einträge nicht auflösen konnte.
Im Windows zum Beispiel (hier IPv4) unter "Eigenschaften von Netzwerkkarte => Verwalten => IPv4 => Erweitert => DNS."
Bei den DNS-Serveradressen kann man mehrere eintragen, die dann abgefragt werden, bis einer den Namen auflösen kann. Diese Adressen sind IP-Adressen.
Das ist anders als bei den DNS-IPs, bei denen der zweite Eintrag nur verwendet wird, wenn der erste überhaupt nicht antwortet. Halbe oder fehlerhafte antworten führen nicht dazu, das die zweite IP verwendet wird.
(Linux: Entspricht dem Eintrag "nameserver ..."


Weiter unten in dem Feld "DNS-Suffixe" kann man DNS-Namen an die Hostnamen hängen, die bei den DNS-Abfragen hinzugefügt werden.
Steht hier zum Beispiel "example.com;example.de;example.d", so wird bei einer DNS-Abfrage nach "server" nach den drei FQDN gefragt:
server.example.com
server.example.de
server.example.dd
Und wen nur "server.dd" eine Antwort ergibt, wird die zu diesem namen gelieferte IP vom System verwendet.
Hier kann man jede verwendete TLD-Liste einfügen, auch Namen, die nichts mit einander zu tun haben
 

Anhänge

  • 1704360575776.png
    1704360575776.png
    50.1 KB · Aufrufe: 13
  • Like
Reaktionen: Grisu_
Theo Tintensich schrieb:
Das ist anders als bei den DNS-IPs, bei denen der zweite Eintrag nur verwendet wird, wenn der erste überhaupt nicht antwortet. Halbe oder fehlerhafte antworten führen nicht dazu, das die zweite IP verwendet wird.
Zum Vergrößern anklicken....

Sicher? Die Einträge im DNS-Tab (zumindest die ersten 2) werden danach als DNS-Server in den IPv4-Eigenschaften angezeigt statt der automatischen Konfiguration, d.h. die DNS-Einstellungen vom DHCP-Server werden damit überschrieben wie bei einer gewöhnlichen manuellen Konfiguration.

Das mit den Suffixen müsste ich ausprobieren, wenn ich eine Möglichkeit finde, den Suffix einer der Fritzboxen zu ändern. Wenn beide die "fritz.box" Domain haben, bleibt alles beim alten, also "host not found" und der andere DNS-Server wird nicht gefragt, egal ob er in der normalen oder in der erweiterten Konfiguration eingetragen wurde. In jedem Fall wäre das eh nur eine Lösung für einen Rechner (wie die hosts-Datei Methode) und nicht "transparent" im Netzwerk.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 750 (Mitglieder: 38, Gäste: 712)

Neueste Beiträge

Statistik des Forums

Themen
246,191
Beiträge
2,247,773
Mitglieder
373,747
Neuestes Mitglied
willilotz
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück