bpeter
Goto Top

Anfragen an internen- und externen DNS Server

Hallo,
im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber nur für bestimmte Einträge passieren. Für das Homeoffice gibt es ein definiertes vLAN. Der interne DNS Server ist Windows Server 2016.
Wie kann ich für bestimmte Anfragen den Client dazu bringen, den externen DNS zu befragen?

Gruß
Peter

Content-ID: 1097059939

Url: https://administrator.de/forum/anfragen-an-internen-und-externen-dns-server-1097059939.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

tagol01
Lösung tagol01 28.07.2021 um 14:55:50 Uhr
Goto Top
Hallo @BPeter,


Verwende für das Vlan einen eigenen DHCP Server, der die DNS Einstellungen vergibt.
Drohnald
Drohnald 28.07.2021 um 14:58:40 Uhr
Goto Top
Hi,

so wie beschrieben würde ich sagen: Gar nicht. Du kannst dem Client nicht sagen "Frage DNS XY für Bereich A und DNS ZF für Bereich B".
Du könntest höchstens einen weiteren DNS-Server dazwischenschalten, der dann für bestimmte Bereiche eine bedingte Weiterleitung zum externen oder internen DNS macht.

Die Frage ist eher:
Würde nicht eine bedingte Weiterleitung im internen DNS reichen?

Am besten wäre ein Beispiel, warum genau diese Unterscheidung nötig ist, warum darf dein DNS Server diese speziellen Adressen nicht "normal" auflösen (nehme an das würde falsch aufgelöst)?
BPeter
BPeter 28.07.2021 aktualisiert um 15:24:02 Uhr
Goto Top
Hi,
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und den Rest voneinander trennen.
BPeter
BPeter 28.07.2021 um 15:07:54 Uhr
Goto Top
Wir haben einen anderen DHCP Server. Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
148656
148656 28.07.2021 um 15:11:29 Uhr
Goto Top
Zitat von @BPeter:

Hi,
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und denRest voneinander trennen.

Da nützt es dir aber nix, wenn du am DNS rumfummelst. Hier hilft nur eine saubere Planung und Umsetzung des VPNs
Spirit-of-Eli
Lösung Spirit-of-Eli 28.07.2021 um 15:13:26 Uhr
Goto Top
Moin,

lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?

Gruß
Spirit
Drohnald
Drohnald 28.07.2021 um 15:16:58 Uhr
Goto Top
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN.
Ok, also Split Tunnel beim VPN

Wir würden gerne Telefonie und den Rest voneinander trennen.
Über VPN mit Split Tunnel eher schwierig, weil du den Datenstrom nicht mehr unter Kontrolle hast.
Selbst bei VPN Full Tunnel bräuchtest du policy based routing um das aufzusplitten.

Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Versteh ich nicht, die DNS Auflösung hat mit dem Routing der Pakete nichts zu tun, wenn beide DNS das gleiche Ziel zurückgeben.
BPeter
BPeter 28.07.2021 um 15:21:54 Uhr
Goto Top
Zitat von @Drohnald:

im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN.
Ok, also Split Tunnel beim VPN

Wir würden gerne Telefonie und den Rest voneinander trennen.
Über VPN mit Split Tunnel eher schwierig, weil du den Datenstrom nicht mehr unter Kontrolle hast.
Selbst bei VPN Full Tunnel bräuchtest du policy based routing um das aufzusplitten.

Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Versteh ich nicht, die DNS Auflösung hat mit dem Routing der Pakete nichts zu tun, wenn beide DNS das gleiche Ziel zurückgeben.

Das tun sie ja nicht. Es sind 2 verschiedene IP-Adressen.
BPeter
BPeter 28.07.2021 um 15:23:10 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?

Gruß
Spirit

Der interne DNS Server.
BPeter
BPeter 28.07.2021 um 15:26:18 Uhr
Goto Top
Wie sieht es mit Geolocation aus? Kann ich das dort umsetzen?
148656
Lösung 148656 28.07.2021 um 15:32:17 Uhr
Goto Top
Zitat von @BPeter:

Wie sieht es mit Geolocation aus? Kann ich das dort umsetzen?

Du kannst es auch in der hosts-datei eintragen. Das wird dir aber nix bringen, da der VoIP-Traffic trotzdem durch dein VPN-Tunnel geht.
Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen
BPeter
BPeter 28.07.2021 um 15:34:54 Uhr
Goto Top
Zitat von @148656:

Zitat von @BPeter:

Wie sieht es mit Geolocation aus? Kann ich das dort umsetzen?

Du kannst es auch in der hosts-datei eintragen. Das wird dir aber nix bringen, da der VoIP-Traffic trotzdem durch dein VPN-Tunnel geht.

Dann würde immer der die gleiche IP genommen, egal ob Homeoffice oder Büro.

Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen

Das müsste ich mit meinen Kollegen bereden.
Spirit-of-Eli
Spirit-of-Eli 28.07.2021 um 17:35:10 Uhr
Goto Top
Also ja, Split-Tunneling ist auch bei meiner Idee erforderlich. Hatte ich so als gegeben angenommen.
148656
148656 28.07.2021 um 17:36:12 Uhr
Goto Top
Haben wir also alle Recht 😉
Spirit-of-Eli
Spirit-of-Eli 28.07.2021 um 17:40:12 Uhr
Goto Top
Eine Alternative wäre natürlich noch sowas wie DirectAccess zu nutzen.
Aber da würde ich dann doch eher an den Problemen bei VOIP over VPN schrauben falls sonst kein weiterer nutzen daraus gezogen werden kann.
erikro
Lösung erikro 28.07.2021 um 17:41:07 Uhr
Goto Top
Moin,

Zitat von @BPeter:

Zitat von @148656:

Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen

Das müsste ich mit meinen Kollegen bereden.

Wieso? Das ist doch der Auftrag. Vorab: Es fehlen ein paar wesentliche Informationen wie z. B. wie VoIP betrieben wird, wo die TK-Anlage steht, wie darauf zugegriffen wird etc. Aber meine gut polierte Glaskugel hat mir das ein oder andere verraten.

Es gibt letztlich zwei Möglichkeiten:

1. Ihr habt schon Split-VPN
Split-VPN heißt ja nichts anderes erst einmal, dass der Traffic, der nicht zum Zielnetz geht, weiter über die ursprüngliche Verbindung des Clients abgewickelt wird. Wenn er also z. B. www.google.de aufruft, dann läuft das nicht über VPN, sondern ganz normal über den Anschluss des Mitarbeiters im HO. Dann wäre das Problem, dass der interne DNS, den man dem Client aufzwingt, damit die Auflösungen der eigenen Domain klappt, die "falsche" IP liefert und weiter intern der Server benutzt wird und VoIP weiter über den Tunnel läuft. Lösung: Für das VPN-Netz einen eigenen DNS-Server aufsetzen, bei dem für diesen eigenen Server die externe IP eingetragen wird. Etwas Pflegeaufwand.

2. Ihr habt kein Split-VPN
Dann wird es schwierig. Bisher kenne ich nur Ja oder Nein. Also entweder alles oder gar nichts über den normalen Internetanschluss.

Liebe Grüße

Erik
BPeter
BPeter 29.07.2021 um 08:58:13 Uhr
Goto Top
Hallo,
wir haben schon Split-VPN im Einsatz. Die Idee eines vorgeschalteten DNS-Servers werden wir testen bzw. die Hosts auf der Appliance pflegen. Das sollte dann so passen.

Danke für die Anregungen
Peter