elforum
Goto Top

Ausgewählte IP umleiten

Hallo,
folgende Situation: ein lokales Netz, einen Router mit aktivem DHCP und einen internen DNS Server. Ich hätte gerne dass der Router per DHCP seine IP als DNS Server bekannt gibt. Für bestimmte lokale Clients sollen DNS Anfragen auf den internen Server gehen, für die anderen auf normalen öffentlichen.
Ich habe versucht über die Firewall und dstnat für diese Clients eine Umleitung zu aktivieren, die Anfrage kommt beim DNS Server auch an laut Protokoll aber irgendwie scheint die Antwort nicht mehr zurück zu finden. Setze ich bei der NAT Regel einen externen Server ein, funktioniert die Umleitung.

Was mache ich falsch?

Content-ID: 1284362704

Url: https://administrator.de/forum/ausgewaehlte-ip-umleiten-1284362704.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Vision2015
Vision2015 20.09.2021 aktualisiert um 16:23:41 Uhr
Goto Top
Moin...

Hallo,
folgende Situation: ein lokales Netz, einen Router mit aktivem DHCP und einen internen DNS Server.
das klingt spannend face-smile
Ich hätte gerne dass der Router per DHCP seine IP als DNS Server bekannt gibt. Für bestimmte lokale Clients sollen DNS Anfragen auf den internen Server gehen, für die anderen auf normalen öffentlichen.
oha...
Ich habe versucht über die Firewall und dstnat für diese Clients eine Umleitung zu aktivieren, die Anfrage kommt beim DNS Server auch an laut Protokoll aber irgendwie scheint die Antwort nicht mehr zurück zu finden. Setze ich bei der NAT Regel einen externen Server ein, funktioniert die Umleitung.

Was mache ich falsch?
ich würde das mit VLANs lösen wollen...
also erstelle im Router und Switch ein VLan, das VLAN bekommt dann seinen eigenen DHCP Server, mit dem DNS im Router, und alles wird fein....
alternativ magst du uns etwa über deinen Router erzählen, herkunft und Name würde schon ein anfang sein...

Frank
149569
149569 20.09.2021 aktualisiert um 16:33:31 Uhr
Goto Top
Was mache ich falsch?
Einfach mal nachdenken wie die Pakete im Netz laufen, DSTNAT auf eine andere interne IP führt dazu das die Zieladresse auf die interne umgeschrieben wird aber die Quelladresse bleibt dabei gleich. Was passiert? Genau der DNS-Server schickt das Paket direkt an den Client (wohl im selben Subnetz), der aber erwartet das Paket laut Session-Table vom Router bzw. dem urspr. DNS Server des Clients => Block => Ergo Asynchronous Routing! Wenn du das so machen willst musst du also die Pakete am Router also auch zusätzlich "Masqueraden" bzw. die Quelladresse via SRCNAT auf die interne Router-IP umschreiben.

Das ist aber mit der heißen Nadel gestrickt. Ich würde hier ehrlich gesagt auch zu VLANs greifen...
ElForum
ElForum 20.09.2021 um 16:33:40 Uhr
Goto Top
Beim Router handelt es sich um einen Mikrotik Router RB 3011.

Um die Spannung in der Spielerei aufrecht zu erhalten soll der Client durch seine Konfiguration nicht erkennen sollen von welchem DNS er versorgt wird. Ist das bei Vlan noch der Fall?
149569
149569 20.09.2021 aktualisiert um 16:51:21 Uhr
Goto Top
Zitat von @ElForum:

Beim Router handelt es sich um einen Mikrotik Router RB 3011.
Na dann, mit dem ist das kein Problem, siehe mein Comment dazu oben. Stichwort dazu auch "Hairpin-NAT."
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.1.10 to-addresses=192.168.1.235
add action=masquerade chain=srcnat dst-address=192.168.1.235 dst-port=53 protocol=udp src-address=192.168.1.10

Um die Spannung in der Spielerei aufrecht zu erhalten soll der Client durch seine Konfiguration nicht erkennen sollen von welchem DNS er versorgt wird. Ist das bei Vlan noch der Fall?
Im Normalfall nicht, außer man nutzt einen DNS-Server der intern eine Unterscheidung zwischen Clients macht und seine Daten von verschiedenen Forwardern abfragt.
ElForum
ElForum 20.09.2021 aktualisiert um 16:47:44 Uhr
Goto Top
@149569: Danke für die Hilfe beim Nachdenken. Ich hatte sowas in der Art vermutet, aufgrund fehlenden Wissens konnte ich mir die Tatsache aber nicht so gut erläutern.

Aber: wenn die Quelladresse im Router nun auch umgeschrieben wird, steht dann im DNS Serverprotokoll immer die Routeradresse oder weiss er dann tatsächlich noch von wem die Anfrage kam?
149569
149569 20.09.2021 aktualisiert um 16:49:33 Uhr
Goto Top
Zitat von @ElForum:
Aber: wenn die Quelladresse im Router nun auch umgeschrieben wird, steht dann im DNS Serverprotokoll immer die Routeradresse
Jepp, du schreibst ja via SRCNAT den Absender um und verschleierst damit den Absender face-wink. Siehst du auch selbst wenn du via Wireshark schnüffelst, oder die DNS-Logs checkst.
ElForum
ElForum 20.09.2021 um 17:05:33 Uhr
Goto Top
Zitat von @149569:

Zitat von @ElForum:
Aber: wenn die Quelladresse im Router nun auch umgeschrieben wird, steht dann im DNS Serverprotokoll immer die Routeradresse
Jepp, du schreibst ja via SRCNAT den Absender um und verschleierst damit den Absender face-wink. Siehst du auch selbst wenn du via Wireshark schnüffelst, oder die DNS-Logs checkst.

Dann fällt diese Variante wohl weg. Der DNS soll wissen WER ihn WAS gefragt hat.
aqui
aqui 20.09.2021 aktualisiert um 17:19:05 Uhr
Goto Top
Ich hätte gerne dass der Router per DHCP seine IP als DNS Server bekannt gibt.
Bei einem Mikrotik ja eine Lachnummer.... Guckst du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Man lässt einfach das DNS Feld im DHCP Setup leer dann announced sich der Router selber als DNS Server im DHCP.
Wichtig:
Im Setup unter IP -> DNS muss der Haken bei "Accept remote Requests" gesetzt sein !! Ohne das macht der MT gar kein DNS.
149569
149569 20.09.2021 aktualisiert um 17:08:12 Uhr
Goto Top
Zitat von @ElForum:
Dann fällt diese Variante wohl weg. Der DNS soll wissen WER ihn WAS gefragt hat.
Ahh ja der Clients darfs nicht wissen was ihm untergeschoben wird aber der Admin ... face-big-smile. Kannst du auch auf dem Mikrotik loggen wenn du willst.
ElForum
ElForum 20.09.2021 um 18:27:21 Uhr
Goto Top
Zitat von @aqui:

Man lässt einfach das DNS Feld im DHCP Setup leer dann announced sich der Router selber als DNS Server im DHCP.
Wichtig:
Im Setup unter IP -> DNS muss der Haken bei "Accept remote Requests" gesetzt sein !! Ohne das macht der MT gar kein DNS.

Führt ein Client ipconfigaus so sieht er aber doch auch den von mir eingetragenen Remotserver?
Und das wäre dann ja auch für jeden Client so. Wenn ich zwei Vlans erstelle, dann erkennt Client A aber auch anhand seines Subnetzes dass er z.B. in einem anderen Netz ist wie Client B?
ElForum
ElForum 20.09.2021 um 18:32:40 Uhr
Goto Top
Nochmal meine Wunschliste:
Verschiedene Clients sollen nicht anhand ihrer Konfiguration (eigenes Subnetz, mittgeteilter DNS) erkennen können ob sie den internen oder einen externen DNS erfragen.
Der interne DNS soll genau wissen wer ihn fragt.
Die Clients sollen vom Router aus von der einen in die andere Gruppe verschoben werden können.

Ist das denn so lösbar?
aqui
aqui 20.09.2021 aktualisiert um 19:47:57 Uhr
Goto Top
dann erkennt Client A aber auch anhand seines Subnetzes dass er z.B. in einem anderen Netz ist wie Client B?
Das ist absolut richtig ! Da er ja nichts von einer VLAN ID weiss ist das ja auch sein einiges Kriterium an dem er das festmachen kann.
Theoretisch kannst du aber auch 2 oder mehr VLAN mit gleicher IP aufsetzen. VLAN ist ein Layer 2 Feature und VLANs sind physisch vollkommen getrennt.
Ein Routing zw. diesen göleichen VLANs wäre dann aber technisch unmöglich. Oder nur mit sehr großen Klimmzugen wie NAT.
so sieht er aber doch auch den von mir eingetragenen Remotserver?
Ja, wenn du diesen oder diese explizit angibst werden die im DHCP verwendet. Wenn du es leer lässt gibt der Router seine eigenen Segment IP als DNS Server im DHCP an. Er muss dann aber auch als Cache DNS konfiguriert sein (Remeote Requests).
Der interne DNS soll genau wissen wer ihn fragt.
Anhand welcher Merkmale soll er denn erkennen wer oder was der "WER" ist ???
  • Mac Adresse
  • IP Adresse
  • Usernamen
  • Betriebssystem
  • Accesslisten
  • Uhrzeit
  • usw. usw.
Die Clients sollen vom Router aus von der einen in die andere Gruppe verschoben werden können.
Was meinst du mit "Gruppe" ?? Anderes VLAN, IP Segment oder was soll das sein ? Bischen genauer müsstest du schon werden...
149569
Lösung 149569 20.09.2021 aktualisiert um 20:47:39 Uhr
Goto Top
Zitat von @ElForum:

Nochmal meine Wunschliste:
Verschiedene Clients sollen nicht anhand ihrer Konfiguration (eigenes Subnetz, mittgeteilter DNS) erkennen können ob sie den internen oder einen externen DNS erfragen.
Der interne DNS soll genau wissen wer ihn fragt.
Die Clients sollen vom Router aus von der einen in die andere Gruppe verschoben werden können.

Ist das denn so lösbar?

Ja, wenn der DNS Server nicht im selben Subnetz liegt wie die Clients. Liegt er im selben kannst du ohne SRCNAT den Traffic nicht so umbiegen das du weiterhin sehen kannst von welchem Client die Anfragen kommen. Liegt der DNS aber in einem anderen Subnetz als die Client's dann braucht es nur DSTNAT am Router um die DNS Server Zieladresse umzubiegen, die Quelladresse kann dabei dann unangetastet bleiben.
Die Gruppe bildest du dann mit einer Firewall AddressList auf dem Mikrotik ab, die du in der DSTNAT Regel hinterlegst.
ElForum
ElForum 21.09.2021 um 10:53:00 Uhr
Goto Top
Ok, ich danke ich für eure Hilfe und Antworten.

Den DNS in ein anderes Subnetz zu bringen ist gar kein Problem. Scheint eine clevere Lösung zu sein und funktioniert auf Anhieb!