Firewall + DC + DNS
Hallo Leute,
hatte nun einiges gelesen, aber irgendwie bin ich mir aktuell unschlüssig, wie man einen DNS Server im Netzwerk richtig integriert.
Vorweg: Das System wird in einem Haushalt betrieben und es handelt sich nicht um ein Firmennetz oder ähnliches.
Aktueller Aufbau:
Internet --> Fritz 7490 -> Sophos XG Firewall -> verschiedene VLANS (Gast / Intern )
Die Rechner im Netzwerk melden sich an einem DC an (Windows Server 2012 r2).
IP Adresse als Beispiel:
DC: 192.168.2.11
Firewall VLAN 20/intern: 192.168.2.1/24
DHCP Server: Sophos XG
Mein "Problem" ist nun aktuell folgendes. Wie bzw. welche DNS Server trägt man nun wo ein? Aktuell verteile ich via DHCP als primären DNS Server die 192.168.2.11 und als "Backup" die 192.168.2.1.
=> Mit Backup ist an dieser Stelle gemeint, dass sofern der DC einmal ausfallen sollte die Rechner noch die Adressen im Internet auflösen können.
Oder sollte man als DNS Server immer die IP der Firewall angeben und diese dann wieder an den Domain Contoller weiterleiten?
Vielen Dank schon einmal im Voraus.
hatte nun einiges gelesen, aber irgendwie bin ich mir aktuell unschlüssig, wie man einen DNS Server im Netzwerk richtig integriert.
Vorweg: Das System wird in einem Haushalt betrieben und es handelt sich nicht um ein Firmennetz oder ähnliches.
Aktueller Aufbau:
Internet --> Fritz 7490 -> Sophos XG Firewall -> verschiedene VLANS (Gast / Intern )
Die Rechner im Netzwerk melden sich an einem DC an (Windows Server 2012 r2).
IP Adresse als Beispiel:
DC: 192.168.2.11
Firewall VLAN 20/intern: 192.168.2.1/24
DHCP Server: Sophos XG
Mein "Problem" ist nun aktuell folgendes. Wie bzw. welche DNS Server trägt man nun wo ein? Aktuell verteile ich via DHCP als primären DNS Server die 192.168.2.11 und als "Backup" die 192.168.2.1.
=> Mit Backup ist an dieser Stelle gemeint, dass sofern der DC einmal ausfallen sollte die Rechner noch die Adressen im Internet auflösen können.
Oder sollte man als DNS Server immer die IP der Firewall angeben und diese dann wieder an den Domain Contoller weiterleiten?
Vielen Dank schon einmal im Voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389310
Url: https://administrator.de/forum/firewall-dc-dns-389310.html
Ausgedruckt am: 26.12.2024 um 11:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Grundsätzlich kannst du alles als DNS einsetzen, solange es sinnvoll konfiguriert ist.
Aber, um was für ein Netz geht es denn? Produktiv oder Test?
Sollte es ersteres sein, würde ich dir raten dich an jemanden professionelles zu wenden, da du hier zwar einige Fragen stellst, aber dir höchstwahrscheinlich einige kritische Fragen gar nicht in den Sinn kommen.
VG
certifiedit.net
Grundsätzlich kannst du alles als DNS einsetzen, solange es sinnvoll konfiguriert ist.
Aber, um was für ein Netz geht es denn? Produktiv oder Test?
Sollte es ersteres sein, würde ich dir raten dich an jemanden professionelles zu wenden, da du hier zwar einige Fragen stellst, aber dir höchstwahrscheinlich einige kritische Fragen gar nicht in den Sinn kommen.
VG
certifiedit.net
Hi
Warum den bitte den DNS der Fritzbox?
Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.
Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.
Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one
Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.
Ist ja wie gesagt ein Heimnetz.
Mit freundlichen Grüßen Nemesis
Warum den bitte den DNS der Fritzbox?
Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.
Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.
Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one
Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.
Ist ja wie gesagt ein Heimnetz.
Mit freundlichen Grüßen Nemesis
Ah ich habe mich vertan,
Die Sophos sollte einen Domain override können. Dann ist es unerheblich ob der Client Domain Mitglied ist oder nicht.
Die DNS Geschichte kann in dem Fall von beiden System abgefackelt werden.
Solche "mal eben umschalten" Vorschläge kann ich nicht unterstützen. Wenn ist eine saubere Lösung der bessere Weg.
Die Sophos sollte einen Domain override können. Dann ist es unerheblich ob der Client Domain Mitglied ist oder nicht.
Die DNS Geschichte kann in dem Fall von beiden System abgefackelt werden.
Solche "mal eben umschalten" Vorschläge kann ich nicht unterstützen. Wenn ist eine saubere Lösung der bessere Weg.
wie man einen DNS Server im Netzwerk richtig integriert.
Hier steht wie es geht:https://www.heise.de/ct/ausgabe/2017-21-Privater-Nameserver-und-Adblocke ...
oder auch hier...
https://www.heise.de/ct/ausgabe/2018-11-Schadcode-und-Werbung-mit-Raspbe ...
Diese wiederum bekommt dann den 8.8.8.8
Sowas machen heute nur noch völlige Dummies ! Jedermann weiss ja das Google damit ein Profil deiner Internet Gewohnheiten erstellt und es mit Dritten vermarktet. Macht nur jemand dem seine eigene Privatsphäre (und die seiner Gäste) völlig egal ist !https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
dann würde die Namensauflösung ja über den DNS vom Windows laufen.
Nur für die Clients im VLAN 20 !Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken
Ja, wenigstens im VLAN 20. Dort kannst du nur den Winblows Server erlauben für Port UDP/TCP 53. Clients kann man dafür komplett blocken.Das war mir so noch nicht bewusst.
So so du dachtest also Google sind Menschenfreunde die einfach alles mal so verschenken...? Etwas weltfremd, oder ?ob ich bei der Firewall die Anfragen auf "Drop" oder "Reject" lassen soll?
Tja, das ist Ermessenssache und hängt von deiner Security Policy ab.Drop schmeisst das Paket kommentarlos weg.
Reject schickt ein ICMP Steuerpaket an den Absender.
Ersteres hat den Vorteil das dann keiner sieht das da eine Firewall am werkeln ist. Zwingt aber das Endgerät dann in eine Retransmission oder in einem Timeout. Letztlich ist das anonymer
Reject schickt brav eine Antwort ans Endgerät und schafft damit klarer Verhältnisse, also etwas Standard konformer.
Dadurch ist aber die Infrastruktur sichtbar.
Deine Entscheidung...
ass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?
Nein, die 192.168.2.1 solltest du belassen. Das ist ja dein Router der als DNS Proxy arbeitet und somit immer den schnellsten Weg zum nächsten DNS hat um die Antwortzeiten klein zu halten.Es macht doch keinerlei Sinn einen DNS Request ohne Grund um den halben Erdball zu schicken.
Das ganze 8.8.8.8 oder 9.9.9.9 ist eh Unsinn.
Nutze die DNS des Providers bzw. dein Router als Weiterleitung und gut iss !
Ob er als Weiterleitung des DNS Servers die 192.168.2.1 oder die 9.9.9.9 dafür einsetzt ist für die Funktion Resolver doch völlig egal !
Es bestimmt doch nur das Ziel an was der Server DNS Requests weiterleitet die er selber nicht auflösen kann. Und ob das dann die 192.168.2.1 oder die 9.9.9.9 ist ist doch völlig egal.
Sinnvoller wäre die 192.168.2.1, da lokal und schneller.
Es bestimmt doch nur das Ziel an was der Server DNS Requests weiterleitet die er selber nicht auflösen kann. Und ob das dann die 192.168.2.1 oder die 9.9.9.9 ist ist doch völlig egal.
Sinnvoller wäre die 192.168.2.1, da lokal und schneller.