mario87
Goto Top

DNS Konfiguration für VLANs

Guten Morgen zusammen,
ich bin gerade dabei ein Testsystem für eine Umstrukturierung eines kleinen Netzwerkes vorzunehmen.
Momentan ist es so, dass es für ein Class C Netz für alle Abteilungen, Server, Drucker etc. gibt.
Es gibt eine Domäne und 2 lokale DNS-Server. (192.168.2.1 und 192.168.2.2)

Es gibt nun einen Layer3-Switch und 4 VLAN´s. Der Layer-3-Switch übernimmt das Routing zwischen den VLAN´s.
Das funktioniert nun auch. DNS und File-Server befinden sich im VLAN20.

Die Aufteilung sieht wie folgt aus:
VLAN10: Vertrieb (192.168.1.0/24) -> 10 Clients
VLAN20: Server (192.168.2.0/24) -> 5 Server
VLAN30: Technik (192.168.3.0/24) -> 10 Clients plus div. Test-Geräte
VLAN40: Internet (192.168.4.0/24) -> Zugang Router Internet

Nun frage ich mich, wie ich die DNS-Konfiguration am besten umsetze.
A. Trage ich am Client aus VLAN30 den DNS-Server aus VLAN20 ein und richte am DNS-Server eine Reverse-DNS-Zone ein?
B. Pro VLAN einen zusätzlichen DNS-Server?

Wie macht man es am sinnvollsten?

Bin für jede Antwort dankbar.

MfG
Mario

Content-ID: 316315

Url: https://administrator.de/forum/dns-konfiguration-fuer-vlans-316315.html

Ausgedruckt am: 26.12.2024 um 11:12 Uhr

aqui
Lösung aqui 27.09.2016 um 11:40:35 Uhr
Goto Top
Die Aufteilung sieht wie folgt aus:
Das sieht schonmal perfekt aus !
Nun frage ich mich, wie ich die DNS-Konfiguration am besten umsetze.
Eigentlich ist das kinderleicht. Die Variante B ist natürlich Blödsinn...klar !
A ist der richtige Weg wenn du einen zentralen DNS Server hast der dann eine Weiterleitung auf die Internet Router IP hast (Proxy DNS ins Internet)
mario87
mario87 27.09.2016 um 15:18:04 Uhr
Goto Top
Das habe ich nun ausgeführt und bin auch einen Schritt weiter.
Habe für jedes VLAN eine Reverse-Zone eingerichtet. Diese Zonen wurden auch auf dem sek. DNS-Server repliziert.
Im Ereignislog vom Server gibt es auch keine Fehlermeldungen.

vom Client:
NSlookup server.test.local -> funktioniert
NSlookup Server-IP -> funktioniert

vom Server:
NSlookup Client.test.local -> funktioniert
NSlookup Client-IP -> funktioniert

Beim Zugriff auf Netzlaufwerke vom Client bekomme ich nun folgende Meldung:
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Man merkt auch, dass die Zugriffe ins Netzwerk noch sehr träge sind.
Habe es schon mit einem DNS-Suffix versucht. Diesen mal manuell angehängt, aber auch das hat noch nicht geholfen.

Habt ihr noch Ideen?
mario87
mario87 28.09.2016 um 06:46:24 Uhr
Goto Top
Fehler gefunden!
Es lag am Routing! Über Tracert bin ich dem Fehler auf die Spur gekommen.
aqui
aqui 28.09.2016 aktualisiert um 09:57:06 Uhr
Goto Top
Lass uns mal raten...:
  • Default Route auf dem Switch zum Internet Router vergessen ?
  • Statische VLAN Subnetz Routen auf dem Internet Router zum Switch vergessen ?
Welcher Fehler wars von beiden ? face-wink
Das hiesige VLAN_Tutorial weist eigentlich darauf hin (wenn man es mal liest).

Aber gut wenns nun rennt wie es soll.
mario87
mario87 28.09.2016 um 11:18:43 Uhr
Goto Top
Statische VLAN Routen zum Switch vergessen face-wink
mario87
mario87 28.09.2016 um 11:27:26 Uhr
Goto Top
Eine Sache fällt mir noch auf:
An dem Client wird nun angezeigt, dass keine Internetverbindung besteht. (Das kleine, gelbe Ausrufezeichen) .
Sobald ich den Browser einmal geöffnet habe, verschwindet das Symbol.
Ein Ping auf "www.google.de" bzw auf eine Internetadresse reicht ebenfalls aus um das Symbol verschwinden zu lassen.

Wie verhindere ich, dass das Symbol gar nicht angezeigt wird, wenn doch eine Verbindung besteht?

Ich bedanke mich vorab für jede Hilfe.

MfG
Mario
aqui
aqui 28.09.2016 um 11:34:38 Uhr
Goto Top
Das hat aber dann rein nix mehr mit der Netzwerk Infrastruktur zu tun und ist ein Winblows Problem.
Wenn das Internet mit funktionierender DNS Auflösung erreichbar ist ist das alles OK.
Vielleicht musst du nur etwas warten bis das verschwindet...?!
mario87
mario87 28.09.2016 um 12:24:35 Uhr
Goto Top
Ok.
Leider nein. Das Symbol verschwindet leider nicht
aqui
aqui 28.09.2016 um 15:36:21 Uhr
Goto Top
Windows Problem.... !
So kommt das Symbol zustande:
1.)
NCSI macht einen DNS lookup auf www.msftncsi.com, und holt dann per HTTP die Datei http://www.msftncsi.com/ncsi.txt. Ein simpler Text File mit "Microsoft NCSI" als Inhalt.
2.)
NCSI sendet einen DNS lookup auf dns.msftncsi.com. Diese DNS sollte die IP 131.107.255.255 ergeben.
Stimmt die IP nicht überein kommt das Symbol.
Die Reihenfolge wie MS das macht ist nicht dokumentiert.

Guckst du auch hier:
https://technet.microsoft.com/en-us/library/cc766017(v=ws.10).aspx

Wie gesagt...mit deinem Netz als solchem hat das nix mehr zu tun. Sofern DNS und Routing natürlich sauber funktionieren.
Die oben genannten Lookups kannst du ja auch selber mal auf dem betroffenen Rechner per nslookup testen !
mario87
mario87 29.09.2016 um 10:09:46 Uhr
Goto Top
Vielen Dank!
Du hast Recht. Es funktioniert im Testsystem (mit VLAN und Routing) und im Live-System.
Aus beiden Netzen funktioniert der NSLOOKUP.
mario87
mario87 06.10.2016 um 19:53:25 Uhr
Goto Top
Ich würde das Thema gerne nochmal kurz aufleben lassen. Ich habe noch eine Frage zu Thema Management-VLAN.

Ich würde nun gerne ein Management VLAN 99 aufbauen wollen.
Ich habe das VLAN99 mit auf den Uplink-Ports der einzelnen Abteilungen gelegt. Ich kann nun auch Geräte managen, die sich in der Abteilung Vertrieb befinden. Auch wenn diese in einem anderen Subnetz sind. Nur benötige ich ja entweder einen Admin-PC fürs Management oder muss den Zugriff via ACL´s eingrenzen.

Sind das die gängigen Methoden oder gibt es da noch elegantere Lösungen?

Bin über jede Hilfe dankbar.

Mit freundlichen Grüßen
Mario
aqui
aqui 06.10.2016 um 22:10:31 Uhr
Goto Top
Ich würde nun gerne ein Management VLAN 99 aufbauen wollen.
Aus Sicherheitsgründen ist das auch sinnvoll !
Ich habe das VLAN99 mit auf den Uplink-Ports der einzelnen Abteilungen gelegt.
Das musst du auch sonst kämst du ja auch nicht an die Geräte ran !
Ich kann nun auch Geräte managen, die sich in der Abteilung Vertrieb befinden.
Aber im Management Netz VLAN 99 hängen mit ihren Manegment Interfaces...hoffentlich ?!
Auch wenn diese in einem anderen Subnetz sind.
Ooopsss...das darf niemals sein !
Dann routest du das VLAN 99 irgendwo und hast keine IP Accesslisten die den Zugriff aus diesen Produktivnetzen blockieren ! Kann das sein ?!
Damit wäre ein management VLAN natürlich Blödsinn und du konterkarierst das natürlich wieder wenn du aus jedem VLAN auf das VLAN 99 zugreifen kannst !
Damit wäre der ganze Aufwand logischerweise sinnfrei !
Nur benötige ich ja entweder einen Admin-PC fürs Management oder muss den Zugriff via ACL´s eingrenzen.
Letzteres natürlich !!!
Du als ITler bist ja in einem separaten IT Abteilungs VLAN. Das sollte logischerweise von den Produktivnetzen abgeschottet sein mit einer Accessliste so das nur das IT Netz auf das Management VLAN zugreifen darf !
Das ist der tiefere Sinn eines Management VLANs.
Sind das die gängigen Methoden oder gibt es da noch elegantere Lösungen?
Was wäre denn deiner Meinung nach eine "elegantere" Methode ?? Eine mit weniger Sicherheit wo jeder wieder alles darf ??
mario87
mario87 07.10.2016 um 07:15:13 Uhr
Goto Top
Genau. die hängen mit Ihren Management-Interfaces im VLAN99.

Auch wenn diese in einem anderen Subnetz sind. -> Da reden wir aneinander vorbei.
Zum besseren Verständnis habe ich mal ein Bild angehängt.

Ich kann nun vom Admin-PC den Switch managen. Der Vertriebsleiter in dem Bild kann den Switch nicht managen. Es besteht keine Verbindung vom Vertriebs und das Management-VLAN. Per

So sollte es doch nun richtig sein oder?
managementnetz
aqui
aqui 07.10.2016 aktualisiert um 12:18:33 Uhr
Goto Top
Zum besseren Verständnis habe ich mal ein Bild angehängt.
Das war schon klar das das so aussieht. Beide IP Segmente (VLAN 10 und 99) werden ja zentral auf den L3 Core Switch gezogen wo sie ihre Gateway IP haben.
Sprich die Netze werden auf dem Core Switch normal geroutet sofern dieser in jedem VLAN 10 und 99 eine IP Adresse hat.
Das würde erklären warum der Zugriff transparent aus jedem Netz funktioniert. Der L3 Switch routet ja normalerweise zwischen beiden VLANs.
Es sei denn...
Du hast auf dem L3 Switch keine IP Adresse konfiguriert in den jeweiligen VLANs, dann kann der logischerweise nicht routen und die VLANs sind vollkommen isoliert. Aber dann kommt auch kein einziges Endgerät aus seinem VLAN raus irgend woanders hin.

Die Kardinalsfrage ist: WELCHE Gateway IP der Admin PC und der Vertreibsleiter PC eingestellt haben und WO diese Gateway IP liegt ??
Dort werden vermutlich auch beide VLAN IP Segmente geroutet und dort muss die IP Accessliste greifen die den Zugang verhindert !
Eigentlich doch ganz logisch oder ?? Ein Traceroute (tracert) hätte dir die Routing Hops auch angezeigt face-wink
mario87
mario87 07.10.2016 um 13:06:45 Uhr
Goto Top
Gateway Admin-PC: 192.168.99.254 -> IP VLAN 99 vom Layer 3 Switch
Gateay Vetriebsleiter-PC: 192.168.10.254 -> Ip VLAN 10 vom Layer 3 Switch

ACL´s sind nun passend konfiguriert.

Nun sollte es passen?!
aqui
Lösung aqui 07.10.2016 aktualisiert um 14:58:47 Uhr
Goto Top
Wie vermutet ! face-wink
Klar dann routet der L3 Switch natürlich wie er soll zw. den IP Segmenten. Works as designed und war dir vermutlich hoffentlich auch klar ?!
ACL´s sind nun passend konfiguriert.
Das hört sich gut an ! Ein
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168..99.0 0.0.0.255
access-list 100 permit ip 192.168.10.0 0.0.0.255 any

Am L3 Interface des VLAN 10 inbound sollte dann den Vertrieb vom Schnüffeln auf den Switches und Management VLAN aussperren face-wink
Nun sollte es passen?!
Wenn du die ACL so richtig eingerichtet hast, ja !
mario87
mario87 07.10.2016 um 15:04:10 Uhr
Goto Top
Perfekt. Ja, ist mir nun klar.

Ich danke dir für deine super Unterstützung.!!!
aqui
aqui 07.10.2016 um 15:24:16 Uhr
Goto Top
Immer gerne wieder... face-smile