mario89
Goto Top

Firewall + DC + DNS

Hallo Leute,

hatte nun einiges gelesen, aber irgendwie bin ich mir aktuell unschlüssig, wie man einen DNS Server im Netzwerk richtig integriert.

Vorweg: Das System wird in einem Haushalt betrieben und es handelt sich nicht um ein Firmennetz oder ähnliches.


Aktueller Aufbau:
Internet --> Fritz 7490 -> Sophos XG Firewall -> verschiedene VLANS (Gast / Intern )

Die Rechner im Netzwerk melden sich an einem DC an (Windows Server 2012 r2).

IP Adresse als Beispiel:
DC: 192.168.2.11
Firewall VLAN 20/intern: 192.168.2.1/24
DHCP Server: Sophos XG

Mein "Problem" ist nun aktuell folgendes. Wie bzw. welche DNS Server trägt man nun wo ein? Aktuell verteile ich via DHCP als primären DNS Server die 192.168.2.11 und als "Backup" die 192.168.2.1.
=> Mit Backup ist an dieser Stelle gemeint, dass sofern der DC einmal ausfallen sollte die Rechner noch die Adressen im Internet auflösen können.

Oder sollte man als DNS Server immer die IP der Firewall angeben und diese dann wieder an den Domain Contoller weiterleiten?

Vielen Dank schon einmal im Voraus.

Content-Key: 389310

Url: https://administrator.de/contentid/389310

Printed on: July 20, 2024 at 06:07 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Oct 13, 2018 updated at 00:51:47 (UTC)
Goto Top
Hallo,

Grundsätzlich kannst du alles als DNS einsetzen, solange es sinnvoll konfiguriert ist.

Aber, um was für ein Netz geht es denn? Produktiv oder Test?

Sollte es ersteres sein, würde ich dir raten dich an jemanden professionelles zu wenden, da du hier zwar einige Fragen stellst, aber dir höchstwahrscheinlich einige kritische Fragen gar nicht in den Sinn kommen.

VG

certifiedit.net
Member: mario89
mario89 Oct 13, 2018 at 01:02:50 (UTC)
Goto Top
Es handelt sich dabei um ein Heimnetzwerk. Sofern dieses ausfallen sollte wäre es keine Tragödie ;)

Hintergrund ist, dass ich mich für den Bereich interessiere und aus Interesse versuche so ein System aufzubauen und damit zu lernen.

Leider geht das ohne fragen seltenst ;)

Bezogen auf den DNS, wenn ich doch den DNS der Firewall einsetzte, finden die Rechner dann noch den DC ? Oder bekomme ich da dann Probleme?
Member: maretz
maretz Oct 13, 2018 at 04:39:23 (UTC)
Goto Top
Du kannst als DNS z.B. deine Fritzbox eintragen - die bekommt dann eh beim Einwählen vom Provider einen DNS mitgeteilt.
Du kannst auch deinen Server (so vorhanden) eintragen und dort den Forwarder dann auf die Fritte legen (ist z.B. Sinnvoll wenn du ein AD betreiben möchtest).
Member: Spirit-of-Eli
Spirit-of-Eli Oct 13, 2018 at 05:05:30 (UTC)
Goto Top
Wenn du keine Fritte einsetzen würdest, könnten auch alle Clients den DNS am GW nutzen.
Dafür muss dieser per Domain override auf deinen DC zeigen.
Member: nEmEsIs
nEmEsIs Oct 13, 2018 at 05:54:14 (UTC)
Goto Top
Hi

Warum den bitte den DNS der Fritzbox?

Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.

Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.

Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one

Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.

Ist ja wie gesagt ein Heimnetz.

Mit freundlichen Grüßen Nemesis
Member: Spirit-of-Eli
Spirit-of-Eli Oct 13, 2018 updated at 06:11:18 (UTC)
Goto Top
Ah ich habe mich vertan,
Die Sophos sollte einen Domain override können. Dann ist es unerheblich ob der Client Domain Mitglied ist oder nicht.
Die DNS Geschichte kann in dem Fall von beiden System abgefackelt werden.

Solche "mal eben umschalten" Vorschläge kann ich nicht unterstützen. Wenn ist eine saubere Lösung der bessere Weg.
Member: aqui
aqui Oct 13, 2018 at 08:03:26 (UTC)
Goto Top
Member: mario89
mario89 Oct 13, 2018 at 10:44:16 (UTC)
Goto Top
Zitat von @nEmEsIs:

Hi

Warum den bitte den DNS der Fritzbox?

Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.

Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.

Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one

Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.

Ist ja wie gesagt ein Heimnetz.

Mit freundlichen Grüßen Nemesis

Hey, so hatte ich es wirklich auch mal geplant ^^ War mir nur unsicher ob man das wirklich so macht.

Um es nochmal kurz zusammenzufassen.

VLan 20 (Interne clients 192.168.2.x/24) --> Primärer DNS 192.168.2.11 (DC + DNS) -> Sekundärer DNS ist Leer
Vlan 50 (Gäste 192.168.5.x/24) -> Primärer DNS 192.168.5.1 (Sophos) -> Sekundärer ebenfalls Leer

Auf dem DC setze ich eine Weiterleitung zu 192.168.2.1 (IP des Sophos GW).
Diese wiederum bekommt dann den 8.8.8.8 und Sekundär den 1.1.1.1.

Wäre dies ein tragbares Szenario ?

Nachtrag:
Sofern ich dass dann richtig verstanden habe, dann würde die Namensauflösung ja über den DNS vom Windows laufen. Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken - oder ?

DNS müsste dann doch nur für den DC und Gäste erlaubt werden.

Danke euch schon einmal
Member: Spirit-of-Eli
Spirit-of-Eli Oct 13, 2018 at 11:38:10 (UTC)
Goto Top
Dann lass den DC lieber als Resolver laufen. Den Google DNS würde auf jeden Fall nicht nehmen.
Member: aqui
aqui Oct 13, 2018 updated at 11:42:13 (UTC)
Goto Top
Diese wiederum bekommt dann den 8.8.8.8
Sowas machen heute nur noch völlige Dummies ! Jedermann weiss ja das Google damit ein Profil deiner Internet Gewohnheiten erstellt und es mit Dritten vermarktet. Macht nur jemand dem seine eigene Privatsphäre (und die seiner Gäste) völlig egal ist !
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
dann würde die Namensauflösung ja über den DNS vom Windows laufen.
Nur für die Clients im VLAN 20 !
Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken
Ja, wenigstens im VLAN 20. Dort kannst du nur den Winblows Server erlauben für Port UDP/TCP 53. Clients kann man dafür komplett blocken.
Member: mario89
mario89 Oct 14, 2018 at 10:42:27 (UTC)
Goto Top
Zitat von @aqui:

Diese wiederum bekommt dann den 8.8.8.8
Sowas machen heute nur noch völlige Dummies ! Jedermann weiss ja das Google damit ein Profil deiner Internet Gewohnheiten erstellt und es mit Dritten vermarktet. Macht nur jemand dem seine eigene Privatsphäre (und die seiner Gäste) völlig egal ist !
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...

Vielen Dank für diesen Hinweis. Das war mir so noch nicht bewusst. Aber da ich mir hier unsicher war, habe euch profis ja um Hilfe gebeten.
Habe jetzt auf allen Geräten den 9.9.9.9 und sekundär den 1.1.1.1

dann würde die Namensauflösung ja über den DNS vom Windows laufen.
Nur für die Clients im VLAN 20 !
Ja genau - so war das auch gewünscht. Bei den Gästen regelt dass die Sophos.

Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken
Ja, wenigstens im VLAN 20. Dort kannst du nur den Winblows Server erlauben für Port UDP/TCP 53. Clients kann man dafür komplett blocken.
Ist so in der FW nun hinterlegt.
Kannst du mir hier vielleicht noch einen Tipp geben, ob ich bei der Firewall die Anfragen auf "Drop" oder "Reject" lassen soll?


Zitat von @Spirit-of-Eli:

Dann lass den DC lieber als Resolver laufen. Den Google DNS würde auf jeden Fall nicht nehmen.

Bitte entschuldige die blöde nachfrage. Aber meinst du damit, dass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?


Danke schon einmal im Voraus.
Member: aqui
aqui Oct 14, 2018 updated at 10:51:32 (UTC)
Goto Top
Das war mir so noch nicht bewusst.
So so du dachtest also Google sind Menschenfreunde die einfach alles mal so verschenken...? Etwas weltfremd, oder ?
ob ich bei der Firewall die Anfragen auf "Drop" oder "Reject" lassen soll?
Tja, das ist Ermessenssache und hängt von deiner Security Policy ab.
Drop schmeisst das Paket kommentarlos weg.
Reject schickt ein ICMP Steuerpaket an den Absender.
Ersteres hat den Vorteil das dann keiner sieht das da eine Firewall am werkeln ist. Zwingt aber das Endgerät dann in eine Retransmission oder in einem Timeout. Letztlich ist das anonymer
Reject schickt brav eine Antwort ans Endgerät und schafft damit klarer Verhältnisse, also etwas Standard konformer.
Dadurch ist aber die Infrastruktur sichtbar.
Deine Entscheidung...
ass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?
Nein, die 192.168.2.1 solltest du belassen. Das ist ja dein Router der als DNS Proxy arbeitet und somit immer den schnellsten Weg zum nächsten DNS hat um die Antwortzeiten klein zu halten.
Es macht doch keinerlei Sinn einen DNS Request ohne Grund um den halben Erdball zu schicken.
Das ganze 8.8.8.8 oder 9.9.9.9 ist eh Unsinn.
Nutze die DNS des Providers bzw. dein Router als Weiterleitung und gut iss !
Member: Spirit-of-Eli
Spirit-of-Eli Oct 14, 2018 updated at 10:54:45 (UTC)
Goto Top
Bitte entschuldige die blöde nachfrage. Aber meinst du damit, dass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?


Danke schon einmal im Voraus.

Das wäre eine Option. Dann Arbeit der Windows DNS tatsächlich als Resolver.
Member: aqui
aqui Oct 15, 2018 at 07:59:38 (UTC)
Goto Top
Ob er als Weiterleitung des DNS Servers die 192.168.2.1 oder die 9.9.9.9 dafür einsetzt ist für die Funktion Resolver doch völlig egal !
Es bestimmt doch nur das Ziel an was der Server DNS Requests weiterleitet die er selber nicht auflösen kann. Und ob das dann die 192.168.2.1 oder die 9.9.9.9 ist ist doch völlig egal.
Sinnvoller wäre die 192.168.2.1, da lokal und schneller.