Ausgewählte IP umleiten
Hallo,
folgende Situation: ein lokales Netz, einen Router mit aktivem DHCP und einen internen DNS Server. Ich hätte gerne dass der Router per DHCP seine IP als DNS Server bekannt gibt. Für bestimmte lokale Clients sollen DNS Anfragen auf den internen Server gehen, für die anderen auf normalen öffentlichen.
Ich habe versucht über die Firewall und dstnat für diese Clients eine Umleitung zu aktivieren, die Anfrage kommt beim DNS Server auch an laut Protokoll aber irgendwie scheint die Antwort nicht mehr zurück zu finden. Setze ich bei der NAT Regel einen externen Server ein, funktioniert die Umleitung.
Was mache ich falsch?
folgende Situation: ein lokales Netz, einen Router mit aktivem DHCP und einen internen DNS Server. Ich hätte gerne dass der Router per DHCP seine IP als DNS Server bekannt gibt. Für bestimmte lokale Clients sollen DNS Anfragen auf den internen Server gehen, für die anderen auf normalen öffentlichen.
Ich habe versucht über die Firewall und dstnat für diese Clients eine Umleitung zu aktivieren, die Anfrage kommt beim DNS Server auch an laut Protokoll aber irgendwie scheint die Antwort nicht mehr zurück zu finden. Setze ich bei der NAT Regel einen externen Server ein, funktioniert die Umleitung.
Was mache ich falsch?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1284362704
Url: https://administrator.de/contentid/1284362704
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
14 Kommentare
Neuester Kommentar
Moin...
Hallo,
folgende Situation: ein lokales Netz, einen Router mit aktivem DHCP und einen internen DNS Server.
das klingt spannend
also erstelle im Router und Switch ein VLan, das VLAN bekommt dann seinen eigenen DHCP Server, mit dem DNS im Router, und alles wird fein....
alternativ magst du uns etwa über deinen Router erzählen, herkunft und Name würde schon ein anfang sein...
Frank
Hallo,
folgende Situation: ein lokales Netz, einen Router mit aktivem DHCP und einen internen DNS Server.
Ich hätte gerne dass der Router per DHCP seine IP als DNS Server bekannt gibt. Für bestimmte lokale Clients sollen DNS Anfragen auf den internen Server gehen, für die anderen auf normalen öffentlichen.
oha...Ich habe versucht über die Firewall und dstnat für diese Clients eine Umleitung zu aktivieren, die Anfrage kommt beim DNS Server auch an laut Protokoll aber irgendwie scheint die Antwort nicht mehr zurück zu finden. Setze ich bei der NAT Regel einen externen Server ein, funktioniert die Umleitung.
Was mache ich falsch?
ich würde das mit VLANs lösen wollen...Was mache ich falsch?
also erstelle im Router und Switch ein VLan, das VLAN bekommt dann seinen eigenen DHCP Server, mit dem DNS im Router, und alles wird fein....
alternativ magst du uns etwa über deinen Router erzählen, herkunft und Name würde schon ein anfang sein...
Frank
Was mache ich falsch?
Einfach mal nachdenken wie die Pakete im Netz laufen, DSTNAT auf eine andere interne IP führt dazu das die Zieladresse auf die interne umgeschrieben wird aber die Quelladresse bleibt dabei gleich. Was passiert? Genau der DNS-Server schickt das Paket direkt an den Client (wohl im selben Subnetz), der aber erwartet das Paket laut Session-Table vom Router bzw. dem urspr. DNS Server des Clients => Block => Ergo Asynchronous Routing! Wenn du das so machen willst musst du also die Pakete am Router also auch zusätzlich "Masqueraden" bzw. die Quelladresse via SRCNAT auf die interne Router-IP umschreiben.Das ist aber mit der heißen Nadel gestrickt. Ich würde hier ehrlich gesagt auch zu VLANs greifen...
Na dann, mit dem ist das kein Problem, siehe mein Comment dazu oben. Stichwort dazu auch "Hairpin-NAT."
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.1.10 to-addresses=192.168.1.235
add action=masquerade chain=srcnat dst-address=192.168.1.235 dst-port=53 protocol=udp src-address=192.168.1.10
Um die Spannung in der Spielerei aufrecht zu erhalten soll der Client durch seine Konfiguration nicht erkennen sollen von welchem DNS er versorgt wird. Ist das bei Vlan noch der Fall?
Im Normalfall nicht, außer man nutzt einen DNS-Server der intern eine Unterscheidung zwischen Clients macht und seine Daten von verschiedenen Forwardern abfragt.Zitat von @ElForum:
Aber: wenn die Quelladresse im Router nun auch umgeschrieben wird, steht dann im DNS Serverprotokoll immer die Routeradresse
Jepp, du schreibst ja via SRCNAT den Absender um und verschleierst damit den Absender . Siehst du auch selbst wenn du via Wireshark schnüffelst, oder die DNS-Logs checkst.Aber: wenn die Quelladresse im Router nun auch umgeschrieben wird, steht dann im DNS Serverprotokoll immer die Routeradresse
Ich hätte gerne dass der Router per DHCP seine IP als DNS Server bekannt gibt.
Bei einem Mikrotik ja eine Lachnummer.... Guckst du hier:Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Man lässt einfach das DNS Feld im DHCP Setup leer dann announced sich der Router selber als DNS Server im DHCP.
Wichtig:
Im Setup unter IP -> DNS muss der Haken bei "Accept remote Requests" gesetzt sein !! Ohne das macht der MT gar kein DNS.
Ahh ja der Clients darfs nicht wissen was ihm untergeschoben wird aber der Admin ... . Kannst du auch auf dem Mikrotik loggen wenn du willst.
dann erkennt Client A aber auch anhand seines Subnetzes dass er z.B. in einem anderen Netz ist wie Client B?
Das ist absolut richtig ! Da er ja nichts von einer VLAN ID weiss ist das ja auch sein einiges Kriterium an dem er das festmachen kann.Theoretisch kannst du aber auch 2 oder mehr VLAN mit gleicher IP aufsetzen. VLAN ist ein Layer 2 Feature und VLANs sind physisch vollkommen getrennt.
Ein Routing zw. diesen göleichen VLANs wäre dann aber technisch unmöglich. Oder nur mit sehr großen Klimmzugen wie NAT.
so sieht er aber doch auch den von mir eingetragenen Remotserver?
Ja, wenn du diesen oder diese explizit angibst werden die im DHCP verwendet. Wenn du es leer lässt gibt der Router seine eigenen Segment IP als DNS Server im DHCP an. Er muss dann aber auch als Cache DNS konfiguriert sein (Remeote Requests).Der interne DNS soll genau wissen wer ihn fragt.
Anhand welcher Merkmale soll er denn erkennen wer oder was der "WER" ist ???- Mac Adresse
- IP Adresse
- Usernamen
- Betriebssystem
- Accesslisten
- Uhrzeit
- usw. usw.
Die Clients sollen vom Router aus von der einen in die andere Gruppe verschoben werden können.
Was meinst du mit "Gruppe" ?? Anderes VLAN, IP Segment oder was soll das sein ? Bischen genauer müsstest du schon werden...Zitat von @ElForum:
Nochmal meine Wunschliste:
Verschiedene Clients sollen nicht anhand ihrer Konfiguration (eigenes Subnetz, mittgeteilter DNS) erkennen können ob sie den internen oder einen externen DNS erfragen.
Der interne DNS soll genau wissen wer ihn fragt.
Die Clients sollen vom Router aus von der einen in die andere Gruppe verschoben werden können.
Ist das denn so lösbar?
Nochmal meine Wunschliste:
Verschiedene Clients sollen nicht anhand ihrer Konfiguration (eigenes Subnetz, mittgeteilter DNS) erkennen können ob sie den internen oder einen externen DNS erfragen.
Der interne DNS soll genau wissen wer ihn fragt.
Die Clients sollen vom Router aus von der einen in die andere Gruppe verschoben werden können.
Ist das denn so lösbar?
Ja, wenn der DNS Server nicht im selben Subnetz liegt wie die Clients. Liegt er im selben kannst du ohne SRCNAT den Traffic nicht so umbiegen das du weiterhin sehen kannst von welchem Client die Anfragen kommen. Liegt der DNS aber in einem anderen Subnetz als die Client's dann braucht es nur DSTNAT am Router um die DNS Server Zieladresse umzubiegen, die Quelladresse kann dabei dann unangetastet bleiben.
Die Gruppe bildest du dann mit einer Firewall AddressList auf dem Mikrotik ab, die du in der DSTNAT Regel hinterlegst.