dgi-sysadm
Goto Top

Conditional DNS Forwarding mit Fritzbox oder andere Lösung gesucht ....

Moin Admins face-smile

Hintergrund:
- 2 Lokationen mit verschiedenen Class-C-Netzen
- 1 Lokation (Hauptstelle) mit WindowsDC, AD, DNS etc.
- 1 Lokation (Außenstelle) mit "Clients only"
- Kopplung per VPN
- Außenstelle: FritzBox als Router/Gateway/DNS etc.

Problem:
- Clients der Außenstelle finden ihren Anmeldeserver nicht, da die Fritzbox natürlich nicht den DC der Domäne kennt

mögliche Lösungen:
- DNS Forwarding von "*.xyz.local" auf den DNS-Server der Hauptstelle (LANCOM etc. kann das, FritzBox wohl nicht)
- Mini-DNS-Forwarder auf den Clients ("*.xyz.local" an die IP des DNS der Haupstelle, den Rest an die Fritzbox ins "WWW")

Bisherige Versuche:
- HOSTS und LMHOSTS (Eintragung des DCs) brachten keinen Erfolg


Hat jemand hierzu eine zündende Idee - nein, ich möchte weder einen Server auf die Außenstelle packen, noch einen Raspberry Pi mit einem DNS face-wink - ggf. denke ich auch kompliziert.
... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir aber zu viel Last auf die Leitung).

Dank' vorab für Eure Anregungen ...
Robert

Content-ID: 247424

Url: https://administrator.de/forum/conditional-dns-forwarding-mit-fritzbox-oder-andere-loesung-gesucht-247424.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 26.08.2014 aktualisiert um 09:58:08 Uhr
Goto Top
Zitat von @DGI-SysAdm:

Hat jemand hierzu eine zündende Idee - nein, ich möchte weder einen Server auf die Außenstelle packen, noch einen
Raspberry Pi mit einem DNS face-wink - ggf. denke ich auch kompliziert.
... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir
aber zu viel Last auf die Leitung).

Moin,

Freetze Deien Fritzbox und konfiguriere den bind ordentlich.

Besser wäre es natürlich gleich einen ordentlichen Router hinzustellen, wie z.B. einen kleinen Microtik 750GL, der das richtig kann. face-smile

lks
DGI-SysAdm
DGI-SysAdm 26.08.2014 um 09:58:48 Uhr
Goto Top
normalerweise setzen wir LANCOMs ein face-smile
Aber dort wurde uns einer dieser "tollen" Telekom IP-Anschlüsse zur Verfügung gestellt und "unsere" LANCOMs können kein Annex-J.

Ich werde mich mal bei Freetz einlesen - grusel mich aber schon wieder davor die VPN-Verbindung zur SonicWall hinzubasteln...

Danke,
Robert
Lochkartenstanzer
Lochkartenstanzer 26.08.2014 um 10:04:44 Uhr
Goto Top
Zitat von @DGI-SysAdm:

normalerweise setzen wir LANCOMs ein face-smile
Aber dort wurde uns einer dieser "tollen" Telekom IP-Anschlüsse zur Verfügung gestellt und "unsere"
LANCOMs können kein Annex-J.

damit schon. face-smile

lks
aqui
aqui 26.08.2014 aktualisiert um 10:13:17 Uhr
Goto Top
Und warum nicht ganz einfach den DC der Domäne als DNS eintragen wie es vermutlich auch die Rechner in der Hauptstelle haben ?
Andere Alternative: VPN durch OpenVPN ersetzen. OVPN kann ein dediziertes per Domain DNS Forwarding:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Entweder hiermit:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Oder die FritzBox mit Freetz betanken als Firmware, damit klappts auch wunderbar....

Und. .local sollte man niemals als DNS Root konfigurieren, denn das kollidiert mit dem mDNS Standard:
http://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
und wird über kurz oder lang Probleme machen. Besser immer .lokal oder .intern verwenden.
Lochkartenstanzer
Lochkartenstanzer 26.08.2014 um 10:10:01 Uhr
Goto Top
Zitat von @aqui:

Und warum nicht ganz einfach den DC der Domäne als DNS eintragen wie es vermutlich auch die Rechner in der Hauptstelle haben
?

Weil der TO sagte:

... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir aber zu viel Last auf die Leitung).
aqui
aqui 26.08.2014 aktualisiert um 10:12:07 Uhr
Goto Top
Ooops...wer lesen kann.... face-smile
DGI-SysAdm
DGI-SysAdm 26.08.2014 aktualisiert um 10:28:48 Uhr
Goto Top
@Lochkartenstanzer

Was es alles gibt face-wink
Aber die Fritzbox ist jetzt da und die Telefone laufen auch darüber - ist eigentlich für ne Außenstelle ne schuckelige Lösung (All-In-One), bis auf die DNS Thematik ...

Robert
DGI-SysAdm
DGI-SysAdm 26.08.2014 aktualisiert um 10:29:17 Uhr
Goto Top
@aqui

OpenVPN:
Außenstellen - mehrere Clients und zentrale LAN-2-LAN-Kopplung per VPN
Einen extra Server ist nicht gewünscht. Daher wäre Freetz wohl die einizige Lösung (nur mit "mal eben schnell" wird das wohl nix) ...

".local":
Stammt von "vor meiner Zeit" - mal sehen wie ich das demnächst elegant umbiege ...

Gruß,
Robert
108012
108012 26.08.2014 um 11:53:54 Uhr
Goto Top
Hallo,

schuckelige Lösung (All-In-One), bis auf die DNS Thematik ...
Dann stelle doch einfach zwei kleine RaspBerry PI an den beiden
Standorten auf und installiere dort dann Linux und Bind drauf.

70 € und alles ist erledigt.

Gruß
Dobby
fisi-pjm
fisi-pjm 26.08.2014 um 12:00:27 Uhr
Goto Top
Hi,

... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir
aber zu viel Last auf die Leitung).

Ich verstehe deine Überlegung, ABER...

Wenn du deinen Router als 1. DNS für Internet etc. setzt und den DNS in der Hauptfiliale als 2. dann wird der doch nur bemüht wenn der 1. keine Ahnung mehr hat.
Und vielleicht täusche ich mich, dann lasse ich mich auch gern eines bessern belehren, aber wird der DNS fürs interne Netzwerk nicht sowieso nur bemüht wenn anschließend eine Kommunikation stattfindet, der Overhead für DNS hält sich glaube ich sehr in Grenzen, ich kann mir nicht vorstellen das die Leitung aufgrund von DNS Anfragen spürbar belastet würd.

Gruß
PJM
DGI-SysAdm
DGI-SysAdm 26.08.2014 um 12:43:00 Uhr
Goto Top
Zitat von @fisi-pjm:

Wenn du deinen Router als 1. DNS für Internet etc. setzt und den DNS in der Hauptfiliale als 2. dann wird der doch nur
bemüht wenn der 1. keine Ahnung mehr hat.

Sorry, aber ...
...der zweite DNS wird nur dann gefragt, wenn der erst nicht antwortet. Er wird NICHT gefragt, wenn der erst die Antwort nicht kennt ...
Kennt der DNS (egal ob erster oder zweiter) die Antwort nicht, fragt er seinen im Forwarder/Weiterleitung eingetragenen DNS Server (und genau diesen Forwarder kann ich der FritzBox nicht konfigurieren).

Robert
fisi-pjm
fisi-pjm 26.08.2014 um 13:01:27 Uhr
Goto Top
Oh, war mit so gar nicht bewusst, habe eben nochmal nachgelesen. Thanks!
DGI-SysAdm
DGI-SysAdm 27.08.2014 um 08:42:18 Uhr
Goto Top
AVM brüstet sich übrigens mit Detailwissen face-wink

vielen Dank für Ihre Anfrage an den AVM-Support.

Die von Ihnen gewünschte Funktion "conditional DNS_Forwarding" können wir mit der FRITZ!Box nicht zusichern.
Eventuell können Sie dies über eine Manipulation der cfg-Datei erreichen.
Für die Anpassung der cfg-Datei bieten wir jedoch keinen technischen Support an.

Hinweise zu der Anpassung der cfg-Datei finden Sie jedoch noch hier:

http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ...

Freundliche Grüße aus Berlin
fisi-pjm
fisi-pjm 27.08.2014 aktualisiert um 08:56:18 Uhr
Goto Top
Zu deutsch:
Wir haben keine Ahnung wie es geht!
Sollten Sie es hin bekommen: gratulation
Sollte was schief gehen: Selber schuld, wir haben es Ihnen doch gesagt

Ist ja nice face-smile

Ich finde die Raspberry idee von gar nicht so schlecht, wär das nich was?
108012
108012 27.08.2014 um 09:15:20 Uhr
Goto Top
Ich finde die Raspberry idee von gar nicht so schlecht, wär das nich was?
Dazu gibt es ja auch ein eigenes OS genannt Raspian!
Und wer es nur noch abtippen möchte kann auch die Anleitung
von @aqui benutzen und ist in 30 Minuten damit fertig!

Aber es wird wie immer an den 70 € oder der Angst von Bind liegen.
Eventuell kann man auch zwei kleine MikroTik Router kaufen und
kommt damit dann schneller zum Ziel, allerdings zum selben Preis.
MikroTik RB750 für 35 e x 2 = 70 e gesamt.


Gruß
Dobby