DNS Isolation?
Hallo alle zusammen,
mal eine Frage bzgl. der Verwendung mehrerer DNS-Server unter Mikrotik:
Mal angenommen, man hat Netz A (172.16.10.0/24) und Netz B (172.16.20.0/24). Jedes Netz hat einen eigenen DHCP-Server und bei jedem DHCP ist der DNS-Server angegeben (A: 172.16.10.1, B: 172.16.20.1). Die Netze sind per Firewall voneinander getrennt, dürfen aber DNS-Anfragen auf Port 51 per TCP/UDP stellen (input) und ins Internet (forward).
Kann man statische Domains für jedes Netz in der Form angeben, dass eine DNS-Anfrage eines Clients aus Netz A nur die Domains für Netz A auflöst bzw. falls nicht gefunden die DNS-Anfrage ins Internet weiterleitet? Die Domains aus Netz B sollen in der Ergebnismenge nicht enthalten sein. Bei Anfrage eines Clients aus Netz B dann vice versa.
VG
wimaflix
mal eine Frage bzgl. der Verwendung mehrerer DNS-Server unter Mikrotik:
Mal angenommen, man hat Netz A (172.16.10.0/24) und Netz B (172.16.20.0/24). Jedes Netz hat einen eigenen DHCP-Server und bei jedem DHCP ist der DNS-Server angegeben (A: 172.16.10.1, B: 172.16.20.1). Die Netze sind per Firewall voneinander getrennt, dürfen aber DNS-Anfragen auf Port 51 per TCP/UDP stellen (input) und ins Internet (forward).
Kann man statische Domains für jedes Netz in der Form angeben, dass eine DNS-Anfrage eines Clients aus Netz A nur die Domains für Netz A auflöst bzw. falls nicht gefunden die DNS-Anfrage ins Internet weiterleitet? Die Domains aus Netz B sollen in der Ergebnismenge nicht enthalten sein. Bei Anfrage eines Clients aus Netz B dann vice versa.
VG
wimaflix
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672594
Url: https://administrator.de/forum/dns-isolation-672594.html
Ausgedruckt am: 14.05.2025 um 08:05 Uhr
6 Kommentare
Neuester Kommentar
dürfen aber DNS-Anfragen auf Port 51 per TCP/UDP stellen
Das dürfen sie nicht und wird nie klappen, denn DNS nutzt bekanntlich TCP/UDP 53. Lässt die Firewall also nur 51 passieren scheitert ein DNS Request schon von vorn herein. Das sollte auch ein Entwickler wissen. 
https://de.wikipedia.org/wiki/Domain_Name_System#Protokoll
Bei 2 DNS Servern die ein Client per DHCP bekommt befragt der immer nur den primären DNS (A). Den Sekundären (B) nur dann wenn es zu einem Timeout bzw. Ausfall des Primären (A) kommt.
Deine Anforderungen zu Auflösungen von Hostnamen bzw. konditioneller Weiterleitung usw. ist primär eine Frage der DNS Server selber und deren Konfig. Router oder Firewall sind da nicht involviert.
DNS nutzt bekanntlich TCP/UDP 53. Lässt die Firewall also nur 51 passieren scheitert ein DNS Request schon von vorn herein.
Hast ja recht, war aber nur ein Vertipper.
Auflösungen von Hostnamen bzw. konditioneller Weiterleitung usw. ist primär eine Frage der DNS Server selber und deren Konfig. Router oder Firewall sind da nicht involviert.
Aber der Mikrotik arbeitet ja in diesem Fall als DNS-Server. Gibt dessen Implementierung bzw. Konfiguration was derartiges her oder müsste man da eher in Richtung PiHole und Konsorten gucken?
Kann man statische Domains für jedes Netz in der Form angeben, dass eine DNS-Anfrage eines Clients aus Netz A nur die Domains für Netz A auflöst bzw. falls nicht gefunden die DNS-Anfrage ins Internet weiterleitet? Die Domains aus Netz B sollen in der Ergebnismenge nicht enthalten sein. Bei Anfrage eines Clients aus Netz B dann vice versa.
Nein kann der Mikrotik (noch) nicht. Kann aber bspw. ein Unbound DNS mit separaten Views je nach Quelle mit der Direktive
"access-control-view"
https://unbound.docs.nlnetlabs.nl/en/latest/topics/filtering/tags-views. ...
Würde ich eh dazu raten, denn der Mikrotik DNS Proxy arbeitet in manchen Situationen nicht ganz Standardkonform (Eigenentwicklung), da kann es zu unerwünschten Nebeneffekten kommen.
1
Sehr interessant, danke. Auf das Beispiel übertragen hätte ich also eine access-control-view 172.16.10.0/24 View_A und eine access-control-view 172.16.20.0/24 View_B und somit würde eine Anfrage nach example.home ggf. in Netz B eine andere IP als in Netz A oder ggf. auch nichts zurückliefern, korrekt? Filtert das auch reverse, wenn z. B. ein Client in Netz B auf die Idee käme, die IP-Range von Netz A per ping /a abzugrasen, um vergebene Domains aufzuspüren? Sollte es nach meinem Verständnis eigentlich...?
Zitat von @wimaflix:
Sehr interessant, danke. Auf das Beispiel übertragen hätte ich also eine access-control-view 172.16.10.0/24 View_A und eine access-control-view 172.16.20.0/24 View_B und somit würde eine Anfrage nach example.home ggf. in Netz B eine andere IP als in Netz A oder ggf. auch nichts zurückliefern, korrekt?
Jepp.Sehr interessant, danke. Auf das Beispiel übertragen hätte ich also eine access-control-view 172.16.10.0/24 View_A und eine access-control-view 172.16.20.0/24 View_B und somit würde eine Anfrage nach example.home ggf. in Netz B eine andere IP als in Netz A oder ggf. auch nichts zurückliefern, korrekt?
Filtert das auch reverse, wenn z. B. ein Client in Netz B auf die Idee käme, die IP-Range von Netz A per ping /a abzugrasen, um vergebene Domains aufzuspüren? Sollte es nach meinem Verständnis eigentlich...?
Die View gilt natürlich für sämtliche Records, also auch für PTR.1
Klingt gut, das werde ich mir dann bei Gelegenheit einrichten.
