15
Conditional DNS Forwarding mit Fritzbox oder andere Lösung gesucht ....
Moin Admins 
Hintergrund:
- 2 Lokationen mit verschiedenen Class-C-Netzen
- 1 Lokation (Hauptstelle) mit WindowsDC, AD, DNS etc.
- 1 Lokation (Außenstelle) mit "Clients only"
- Kopplung per VPN
- Außenstelle: FritzBox als Router/Gateway/DNS etc.
Problem:
- Clients der Außenstelle finden ihren Anmeldeserver nicht, da die Fritzbox natürlich nicht den DC der Domäne kennt
mögliche Lösungen:
- DNS Forwarding von "*.xyz.local" auf den DNS-Server der Hauptstelle (LANCOM etc. kann das, FritzBox wohl nicht)
- Mini-DNS-Forwarder auf den Clients ("*.xyz.local" an die IP des DNS der Haupstelle, den Rest an die Fritzbox ins "WWW")
Bisherige Versuche:
- HOSTS und LMHOSTS (Eintragung des DCs) brachten keinen Erfolg
Hat jemand hierzu eine zündende Idee - nein, ich möchte weder einen Server auf die Außenstelle packen, noch einen Raspberry Pi mit einem DNS
- ggf. denke ich auch kompliziert.
... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir aber zu viel Last auf die Leitung).
Dank' vorab für Eure Anregungen ...
Robert
Hintergrund:
- 2 Lokationen mit verschiedenen Class-C-Netzen
- 1 Lokation (Hauptstelle) mit WindowsDC, AD, DNS etc.
- 1 Lokation (Außenstelle) mit "Clients only"
- Kopplung per VPN
- Außenstelle: FritzBox als Router/Gateway/DNS etc.
Problem:
- Clients der Außenstelle finden ihren Anmeldeserver nicht, da die Fritzbox natürlich nicht den DC der Domäne kennt
mögliche Lösungen:
- DNS Forwarding von "*.xyz.local" auf den DNS-Server der Hauptstelle (LANCOM etc. kann das, FritzBox wohl nicht)
- Mini-DNS-Forwarder auf den Clients ("*.xyz.local" an die IP des DNS der Haupstelle, den Rest an die Fritzbox ins "WWW")
Bisherige Versuche:
- HOSTS und LMHOSTS (Eintragung des DCs) brachten keinen Erfolg
Hat jemand hierzu eine zündende Idee - nein, ich möchte weder einen Server auf die Außenstelle packen, noch einen Raspberry Pi mit einem DNS
- ggf. denke ich auch kompliziert.... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir aber zu viel Last auf die Leitung).
Dank' vorab für Eure Anregungen ...
Robert
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247424
Url: https://administrator.de/contentid/247424
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @DGI-SysAdm:
Hat jemand hierzu eine zündende Idee - nein, ich möchte weder einen Server auf die Außenstelle packen, noch einen
Raspberry Pi mit einem DNS - ggf. denke ich auch kompliziert.
... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir
aber zu viel Last auf die Leitung).
Hat jemand hierzu eine zündende Idee - nein, ich möchte weder einen Server auf die Außenstelle packen, noch einen
Raspberry Pi mit einem DNS
- ggf. denke ich auch kompliziert.... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir
aber zu viel Last auf die Leitung).
Moin,
Freetze Deien Fritzbox und konfiguriere den bind ordentlich.
Besser wäre es natürlich gleich einen ordentlichen Router hinzustellen, wie z.B. einen kleinen Microtik 750GL, der das richtig kann.
lks
1
normalerweise setzen wir LANCOMs ein
Aber dort wurde uns einer dieser "tollen" Telekom IP-Anschlüsse zur Verfügung gestellt und "unsere" LANCOMs können kein Annex-J.
Ich werde mich mal bei Freetz einlesen - grusel mich aber schon wieder davor die VPN-Verbindung zur SonicWall hinzubasteln...
Danke,
Robert
Aber dort wurde uns einer dieser "tollen" Telekom IP-Anschlüsse zur Verfügung gestellt und "unsere" LANCOMs können kein Annex-J.
Ich werde mich mal bei Freetz einlesen - grusel mich aber schon wieder davor die VPN-Verbindung zur SonicWall hinzubasteln...
Danke,
Robert
Zitat von @DGI-SysAdm:
normalerweise setzen wir LANCOMs ein
Aber dort wurde uns einer dieser "tollen" Telekom IP-Anschlüsse zur Verfügung gestellt und "unsere"
LANCOMs können kein Annex-J.
normalerweise setzen wir LANCOMs ein
Aber dort wurde uns einer dieser "tollen" Telekom IP-Anschlüsse zur Verfügung gestellt und "unsere"
LANCOMs können kein Annex-J.
damit schon.
lks
Andere Alternative: VPN durch OpenVPN ersetzen. OVPN kann ein dediziertes per Domain DNS Forwarding:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Entweder hiermit:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Oder die FritzBox mit Freetz betanken als Firmware, damit klappts auch wunderbar....
Und. .local sollte man niemals als DNS Root konfigurieren, denn das kollidiert mit dem mDNS Standard:
http://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
und wird über kurz oder lang Probleme machen. Besser immer .lokal oder .intern verwenden.
Zitat von @aqui:
Und warum nicht ganz einfach den DC der Domäne als DNS eintragen wie es vermutlich auch die Rechner in der Hauptstelle haben
?
Und warum nicht ganz einfach den DC der Domäne als DNS eintragen wie es vermutlich auch die Rechner in der Hauptstelle haben
?
Weil der TO sagte:
... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir aber zu viel Last auf die Leitung).
Ooops...wer lesen kann....
@Lochkartenstanzer
Was es alles gibt
Aber die Fritzbox ist jetzt da und die Telefone laufen auch darüber - ist eigentlich für ne Außenstelle ne schuckelige Lösung (All-In-One), bis auf die DNS Thematik ...
Robert
Was es alles gibt
Aber die Fritzbox ist jetzt da und die Telefone laufen auch darüber - ist eigentlich für ne Außenstelle ne schuckelige Lösung (All-In-One), bis auf die DNS Thematik ...
Robert
@aqui
OpenVPN:
Außenstellen - mehrere Clients und zentrale LAN-2-LAN-Kopplung per VPN
Einen extra Server ist nicht gewünscht. Daher wäre Freetz wohl die einizige Lösung (nur mit "mal eben schnell" wird das wohl nix) ...
".local":
Stammt von "vor meiner Zeit" - mal sehen wie ich das demnächst elegant umbiege ...
Gruß,
Robert
OpenVPN:
Außenstellen - mehrere Clients und zentrale LAN-2-LAN-Kopplung per VPN
Einen extra Server ist nicht gewünscht. Daher wäre Freetz wohl die einizige Lösung (nur mit "mal eben schnell" wird das wohl nix) ...
".local":
Stammt von "vor meiner Zeit" - mal sehen wie ich das demnächst elegant umbiege ...
Gruß,
Robert
Hallo,
Standorten auf und installiere dort dann Linux und Bind drauf.
70 € und alles ist erledigt.
Gruß
Dobby
schuckelige Lösung (All-In-One), bis auf die DNS Thematik ...
Dann stelle doch einfach zwei kleine RaspBerry PI an den beidenStandorten auf und installiere dort dann Linux und Bind drauf.
70 € und alles ist erledigt.
Gruß
Dobby
Hi,
Ich verstehe deine Überlegung, ABER...
Wenn du deinen Router als 1. DNS für Internet etc. setzt und den DNS in der Hauptfiliale als 2. dann wird der doch nur bemüht wenn der 1. keine Ahnung mehr hat.
Und vielleicht täusche ich mich, dann lasse ich mich auch gern eines bessern belehren, aber wird der DNS fürs interne Netzwerk nicht sowieso nur bemüht wenn anschließend eine Kommunikation stattfindet, der Overhead für DNS hält sich glaube ich sehr in Grenzen, ich kann mir nicht vorstellen das die Leitung aufgrund von DNS Anfragen spürbar belastet würd.
Gruß
PJM
... und ich möchte auch nicht alle DNS-Anfragen an den DNS der Hauptstelle senden (das würde funktionieren, gibt mir
aber zu viel Last auf die Leitung).
aber zu viel Last auf die Leitung).
Ich verstehe deine Überlegung, ABER...
Wenn du deinen Router als 1. DNS für Internet etc. setzt und den DNS in der Hauptfiliale als 2. dann wird der doch nur bemüht wenn der 1. keine Ahnung mehr hat.
Und vielleicht täusche ich mich, dann lasse ich mich auch gern eines bessern belehren, aber wird der DNS fürs interne Netzwerk nicht sowieso nur bemüht wenn anschließend eine Kommunikation stattfindet, der Overhead für DNS hält sich glaube ich sehr in Grenzen, ich kann mir nicht vorstellen das die Leitung aufgrund von DNS Anfragen spürbar belastet würd.
Gruß
PJM
Wenn du deinen Router als 1. DNS für Internet etc. setzt und den DNS in der Hauptfiliale als 2. dann wird der doch nur
bemüht wenn der 1. keine Ahnung mehr hat.
bemüht wenn der 1. keine Ahnung mehr hat.
Sorry, aber ...
...der zweite DNS wird nur dann gefragt, wenn der erst nicht antwortet. Er wird NICHT gefragt, wenn der erst die Antwort nicht kennt ...
Kennt der DNS (egal ob erster oder zweiter) die Antwort nicht, fragt er seinen im Forwarder/Weiterleitung eingetragenen DNS Server (und genau diesen Forwarder kann ich der FritzBox nicht konfigurieren).
Robert
Oh, war mit so gar nicht bewusst, habe eben nochmal nachgelesen. Thanks!
AVM brüstet sich übrigens mit Detailwissen
vielen Dank für Ihre Anfrage an den AVM-Support.
Die von Ihnen gewünschte Funktion "conditional DNS_Forwarding" können wir mit der FRITZ!Box nicht zusichern.
Eventuell können Sie dies über eine Manipulation der cfg-Datei erreichen.
Für die Anpassung der cfg-Datei bieten wir jedoch keinen technischen Support an.
Hinweise zu der Anpassung der cfg-Datei finden Sie jedoch noch hier:
http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ...
Freundliche Grüße aus Berlin
vielen Dank für Ihre Anfrage an den AVM-Support.
Die von Ihnen gewünschte Funktion "conditional DNS_Forwarding" können wir mit der FRITZ!Box nicht zusichern.
Eventuell können Sie dies über eine Manipulation der cfg-Datei erreichen.
Für die Anpassung der cfg-Datei bieten wir jedoch keinen technischen Support an.
Hinweise zu der Anpassung der cfg-Datei finden Sie jedoch noch hier:
http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ...
Freundliche Grüße aus Berlin
Zu deutsch:
Wir haben keine Ahnung wie es geht!
Sollten Sie es hin bekommen: gratulation
Sollte was schief gehen: Selber schuld, wir haben es Ihnen doch gesagt
Ist ja nice
Ich finde die Raspberry idee von gar nicht so schlecht, wär das nich was?
Wir haben keine Ahnung wie es geht!
Sollten Sie es hin bekommen: gratulation
Sollte was schief gehen: Selber schuld, wir haben es Ihnen doch gesagt
Ist ja nice
Ich finde die Raspberry idee von gar nicht so schlecht, wär das nich was?
Ich finde die Raspberry idee von gar nicht so schlecht, wär das nich was?
Dazu gibt es ja auch ein eigenes OS genannt Raspian!Und wer es nur noch abtippen möchte kann auch die Anleitung
von @aqui benutzen und ist in 30 Minuten damit fertig!
Aber es wird wie immer an den 70 € oder der Angst von Bind liegen.
Eventuell kann man auch zwei kleine MikroTik Router kaufen und
kommt damit dann schneller zum Ziel, allerdings zum selben Preis.
MikroTik RB750 für 35 e x 2 = 70 e gesamt.
Gruß
Dobby
