Hallo zusammen,
die IANA hat ja vorgeschlagen, die TLD internal für eine Vergabe dauerhaft zu sperren.
Damit kann man endlich sicher sein, diese TLD fürs lokale DNS ohne Probleme nutzen zu können.
Das anzupassende Setup:
Ein RaspberryPi mit dnsmasq als DNS-Caching-Server hinter der FB.
Der wird bei uns nicht als DNS-Server von der FB an die DHCP-Clients verteilt, wie es an vielen Stellen vorgeschlagen wird, wenn man danach sucht.
Weil dann nämlich für alle Clients LAN und WAN praktisch tot sind, wenn der Pi mal nicht mehr mag - abgestürzt oder MicroSD kaputt o.ä.
BTW: Das hätte AVM dadurch lösen können, dass man optional einen zweiten Nameserver an die Clients übergeben kann - hat AVM aber nicht und hat es auch nicht vor.
Also verteilt hier die FB sich selbst als Nameserver und fragt ihrerseits bevorzugt den Pi - und wenn der mal nicht kann Quad9.
Anpassungen:
In der FB "internal" als Ausnahme für den DNS-Rebind-Schutz eintragen - sonst kann der Pi fürs LAN antworten, was er will - es kommt nicht bei den Clients an.
Im Pi In der /etc/hosts alle Eintragungen doppeln auf <host>.internal und dnsmasq.service neustarten.
Danach sollten sowohl die alten als auch die neuen Namen funktionieren.
Optional:
Bei uns ist IPv6 in der F!B abgeschaltet, weil wir das (immer noch) nicht brauchen.
Das hält sie aber nicht davon ab, den Pi auch nach AAAA-Records zu fragen.
Die kann der aber nicht beantworten, reicht die Frage also an seinen Upstream-Server aus der /etc/resolv.conf weiter, der sie natürlich auch nicht beantworten kann.
Dafür kann man aber dnsmasq beibringen, die Upstream-Server nicht mehr zu befragen:
/etc/dnsmasq.d/internal.conf
local war die alte TLD für Adressen, die der dnsmasq selbst beantworten sollte.
Das beschleunigt die AAAA-Abfrage zusätzlich auch noch, weil erst gar kein Upstream-Server befragt wird.
Wenn man insgesamt kein IPv6 braucht, gibt es im Github eine Anleitung zum Abschalten der Anfragen an den Upstream-Server.
Ich habe alles nach 127.0.0.1 umgeleitet bis auf NET - es soll ja inzwischen Anschlüsse geben, die von außen nur noch über die IPv6 von myfritz.net erreichbar sind.
Gruß
Claus
die IANA hat ja vorgeschlagen, die TLD internal für eine Vergabe dauerhaft zu sperren.
Damit kann man endlich sicher sein, diese TLD fürs lokale DNS ohne Probleme nutzen zu können.
Das anzupassende Setup:
Ein RaspberryPi mit dnsmasq als DNS-Caching-Server hinter der FB.
Der wird bei uns nicht als DNS-Server von der FB an die DHCP-Clients verteilt, wie es an vielen Stellen vorgeschlagen wird, wenn man danach sucht.
Weil dann nämlich für alle Clients LAN und WAN praktisch tot sind, wenn der Pi mal nicht mehr mag - abgestürzt oder MicroSD kaputt o.ä.
BTW: Das hätte AVM dadurch lösen können, dass man optional einen zweiten Nameserver an die Clients übergeben kann - hat AVM aber nicht und hat es auch nicht vor.
Also verteilt hier die FB sich selbst als Nameserver und fragt ihrerseits bevorzugt den Pi - und wenn der mal nicht kann Quad9.
Anpassungen:
In der FB "internal" als Ausnahme für den DNS-Rebind-Schutz eintragen - sonst kann der Pi fürs LAN antworten, was er will - es kommt nicht bei den Clients an.
Im Pi In der /etc/hosts alle Eintragungen doppeln auf <host>.internal und dnsmasq.service neustarten.
Danach sollten sowohl die alten als auch die neuen Namen funktionieren.
Optional:
Bei uns ist IPv6 in der F!B abgeschaltet, weil wir das (immer noch) nicht brauchen.
Das hält sie aber nicht davon ab, den Pi auch nach AAAA-Records zu fragen.
Die kann der aber nicht beantworten, reicht die Frage also an seinen Upstream-Server aus der /etc/resolv.conf weiter, der sie natürlich auch nicht beantworten kann.
Dafür kann man aber dnsmasq beibringen, die Upstream-Server nicht mehr zu befragen:
/etc/dnsmasq.d/internal.conf
Code:
address=/INTERNAL/::
server=/INTERNAL/127.0.0.1
address=/LOCAL/::
server=/LOCAL/127.0.0.1Das beschleunigt die AAAA-Abfrage zusätzlich auch noch, weil erst gar kein Upstream-Server befragt wird.
Wenn man insgesamt kein IPv6 braucht, gibt es im Github eine Anleitung zum Abschalten der Anfragen an den Upstream-Server.
Ich habe alles nach 127.0.0.1 umgeleitet bis auf NET - es soll ja inzwischen Anschlüsse geben, die von außen nur noch über die IPv6 von myfritz.net erreichbar sind.
Gruß
Claus
