mario87
Goto Top

DNS Auflösung Gäste WLAN

Guten Morgen zusammen,
ich habe nun einen Kunden, der verschiedene VLANs für die verschiedenen Abteilung hat. Die Zugriffe der VLANs untereinander sind gesperrt. Lediglich jedes VLAN hat Zugriff auf das Server-VLAN (Freigaben und DNS-Server).

Nun möchte dieser Kunde gerne ein Gäste WLAN einrichten. Die Abschottung habe ich schon eingerichtet. Momentan kann aus dem Gäste-WLAN nur ins Internet, aber ohne Zugriffe auf die VLANs.
Jetzt stellt sich für mich nur die Frage, wie man die DNS-Auflösung am besten realisiert.

1.) abgesetzten DNS-Server im Gäste-Netz?
2.) Weiterleitung an die internen DNS-Server ? (schlechteste Lösung denke ich ?!)
3.) per DHCP öffentliche DNS-Server mitgeben. Wobei dann die Firewallregeln angepasst werden müssten. Aktuell dürfen nur die internen DNS-Server ins Netz für DNS-Anfragen.


Was wäre eurer Meinung nach die beste Lösung?
Vielleicht gibt es ja noch weitere Lösungsvorschläge, die ich noch gar nicht bedacht habe.

Bin über jede Antwort dankbar.

MfG
Mario

Content-ID: 351376

Url: https://administrator.de/contentid/351376

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

maretz
Lösung maretz 11.10.2017 um 07:51:38 Uhr
Goto Top
Moin,

wenn du ein wirkliches Gäste-Netz anbieten willst wäre dieses ein öffentlicher DNS - ich würde hier die üblichen von Google nehmen und via DHCP mitgeben.

Die Internen braucht der nicht da die eh nur nen Forward machen würden und der aber die internen Server eh nicht auflösen muss.... Dafür hätte ich aber dann doch ne Verbindung zwischen Gäste- und Arbeitsnetz was ich nicht will.. Die Firewall würde ich im Gästenetz recht locker machen da hier in Firmen doch auch mal der ein oder andere VPN-Client benötigt wird damit die Kunden des Kunden ggf. mal eben Mails machen können oder Daten von deren Server abrufen müssen.

Was ich jedoch machen würde: Wenn es schon ein offenes WLAN ist dann ggf. mit Tickets arbeiten und nen Captive Portal vorsetzen. So das sich der Kunde des Kunden eben beim Besuch nen Ticket geben lassen kann und darüber das WLAN nutzbar ist. Zumindest etwas Schutz gegen die Nutzung von aussen (und auch die internen Kollegen ... die sonst das Firmengerät mal eben ans WLAN hängen um was runterzuladen und dann wieder ins interne Netz gehen)
Lochkartenstanzer
Lösung Lochkartenstanzer 11.10.2017 um 08:01:51 Uhr
Goto Top
Moin,

ich würde einfach einen Pi in das Gästenetz als DNS stecken und den als zusätzlichen DNS in den Firewallregeln erlauben.

lks
mario87
mario87 11.10.2017 um 08:02:57 Uhr
Goto Top
Vielen Dank für deine schnelle Antwort, maretz!
Dann würde ich das so machen!

Die Anmeldung über ein Captive Portal ist schon vorbereitet und muss nur noch umgesetzt werden.
mario87
mario87 11.10.2017 um 08:04:57 Uhr
Goto Top
N Pi ist für mich bei sowas ehrlich gesagt nicht die beste Lösung. Aber Danke für deinen Vorschlag!
Lochkartenstanzer
Lösung Lochkartenstanzer 11.10.2017 aktualisiert um 08:26:56 Uhr
Goto Top
Zitat von @mario87:

N Pi ist für mich bei sowas ehrlich gesagt nicht die beste Lösung. Aber Danke für deinen Vorschlag!

Pi ist auch nur als Beispiel für irgendeine Kiste (z.b. ein Alix-Board im Rack) gedacht, wobei ein Pi recht stabil läuft und für so einen Zweck wohl mehr als ausreichend wäre.

Ich würde, wie gesagt, einen eigenen DNS im Gäste-WLAN hinstellen und all DNS-Anfragen über diesen leiten. Dann hast Du auch bessere Kontrolle, was raus und rein darf.

Der google-DNS ist zwar ganz nett zum testen, aber will man wirklich jeden Furz an google melden? Und die Provider DNS sind oft gefiltert oder haben Macken: Telekom liefert z.B. bei nichtexistenten Domains trotzdem Antworten, wenn man das im Kundencenter nicht abgestellt hat. Bei anderen habe ich auch schon "falsche" Antworten gesehen, die offensichlich den Traffic umleiten sollten (Besonders bei Mobilfunkbetreibern)

lks
em-pie
Lösung em-pie 11.10.2017 um 08:28:43 Uhr
Goto Top
Moin,

wenn du deine bisherigen DNS-Server nicht nutzen willst (kann ich auch etwas verstehen), kann eurer Firewall für das Gästenetz nicht als eine Art "DNS-Proxy" fungieren?

So haben wir es z.B.:
Die UTM ist das zentrale Bindeglied zwischen LAN/ DMZ/ Gäste und WAN. Unsere internen DNS-Server fragen z.B. die UTM an, welche wiederum die Public-DNS-Server anfragt; die Gäste fragen direkt die UTM an, welche dann weiterhin die Public-DNS-Server anfragt...


Kann ansonsten lks nur zustimmen: die google-DNS-Server würde ich da auch raushalten wollen...

Gruß
em-pie
Deepsys
Lösung Deepsys 11.10.2017 aktualisiert um 08:38:07 Uhr
Goto Top
Moin,

Zitat von @em-pie:
die Public-DNS-Server anfragt; die Gäste fragen direkt die UTM an, welche dann weiterhin die Public-DNS-Server anfragt...
Was meint ihr eigentlich mit Public-DNS-Server?
Die DNS Root-server (https://de.wikipedia.org/wiki/Root-Nameserver)

Danke!
Lochkartenstanzer
Lösung Lochkartenstanzer 11.10.2017 aktualisiert um 08:56:16 Uhr
Goto Top
Zitat von @Deepsys:

Was meint ihr eigentlich mit Public-DNS-Server?
Die DNS Root-server (https://de.wikipedia.org/wiki/Root-Nameserver)

nein, DNS-Server, die jeder nutzen darf, wie die z.B von google (8.8.8.8 oder 8.8.4.8) oder die vom CCC genannten:

  • 85.214.20.141 (FoeBud)
  • 204.152.184.76 (f.6to4-servers.net, ISC, USA)
  • 2001:4f8:0:2::14 (f.6to4-servers.net, IPv6, ISC)
  • 194.150.168.168 (dns.as250.net; Berlin/Frankfurt)
  • 213.73.91.35 (dnscache.berlin.ccc.de)

Provider-Server sind meist nicht public, weil die nur Anfragen von Providerkunden zulassen.

eine rmeinung nach, ist das Nutzen eines public-DNS oder provider-Servers im eigenen Netz unnötig, weil ein Pi (oder etwas "größeres") ohne weiteres als eigener DNS ausreicht.

lks
Deepsys
Lösung Deepsys 11.10.2017 um 09:10:26 Uhr
Goto Top

nein, DNS-Server, die jeder nutzen darf, wie die z.B von google (8.8.8.8 oder 8.8.4.8) oder die vom CCC genannten:
Naja, ob ich denen mehr traue als Google ..... Jeder wie er will face-smile


eine rmeinung nach, ist das Nutzen eines public-DNS oder provider-Servers im eigenen Netz unnötig, weil ein Pi (oder etwas "größeres") ohne weiteres als eigener DNS ausreicht.
Aber auch der muss ja irgendwo nachfragen, und da bist du doch wieder bei dem Thema.
Lochkartenstanzer
Lösung Lochkartenstanzer 11.10.2017 aktualisiert um 09:12:53 Uhr
Goto Top
Zitat von @Deepsys:

eine rmeinung nach, ist das Nutzen eines public-DNS oder provider-Servers im eigenen Netz unnötig, weil ein Pi (oder etwas "größeres") ohne weiteres als eigener DNS ausreicht.
Aber auch der muss ja irgendwo nachfragen, und da bist du doch wieder bei dem Thema.

Der fragt dann die Server der Domains die er auflösen soll (und ggf. natürlich die rootserver für die TLDs).

Wichti ist, daß man da ncih teinfcah einen forwarder einträgt, der dann doch den Provider oder einem anderen alle Anfragen schickt.

lks
aqui
Lösung aqui 11.10.2017 aktualisiert um 12:20:23 Uhr
Goto Top
Die Abschottung habe ich schon eingerichtet.
Hier kann man nachlesen wie es geht:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
aus dem Gäste-WLAN nur ins Internet, aber ohne Zugriffe auf die VLANs.
Ist ja allgemein üblich für ein Gästenetz !
Was wäre eurer Meinung nach die beste Lösung?
Dein Internet Router / Firewall ist in der Regel IMMER auch ein Proxy DNS Server. Logischerweise gibt man den Gästen also dann die IP des Internet Routers / Firewall mit sofern sie Proxy ist.
Ist sie kein Proxy nimmt man immer die lokalen DNS Server seine Internet Providers. Die IP Adressen kann man auf dessen HowTo Seiten erfahren oder wie immer bei Dr. Google.
Öffentliche DNS Adressen verbieten sich, denn die erstellen immer ein Nutzerprofil und werten das über Dritte aus.
mario87
mario87 14.11.2017 um 15:38:34 Uhr
Goto Top
Ich leite nun die Anfragen an die FW und diese leitet weiter. (wie es epm-pie beschrieben hat.)

Ich bedanke mich für eure Hilfe.

MfG
Mario