14
Firewall + DC + DNS
Hallo Leute,
hatte nun einiges gelesen, aber irgendwie bin ich mir aktuell unschlüssig, wie man einen DNS Server im Netzwerk richtig integriert.
Vorweg: Das System wird in einem Haushalt betrieben und es handelt sich nicht um ein Firmennetz oder ähnliches.
Aktueller Aufbau:
Internet --> Fritz 7490 -> Sophos XG Firewall -> verschiedene VLANS (Gast / Intern )
Die Rechner im Netzwerk melden sich an einem DC an (Windows Server 2012 r2).
IP Adresse als Beispiel:
DC: 192.168.2.11
Firewall VLAN 20/intern: 192.168.2.1/24
DHCP Server: Sophos XG
Mein "Problem" ist nun aktuell folgendes. Wie bzw. welche DNS Server trägt man nun wo ein? Aktuell verteile ich via DHCP als primären DNS Server die 192.168.2.11 und als "Backup" die 192.168.2.1.
=> Mit Backup ist an dieser Stelle gemeint, dass sofern der DC einmal ausfallen sollte die Rechner noch die Adressen im Internet auflösen können.
Oder sollte man als DNS Server immer die IP der Firewall angeben und diese dann wieder an den Domain Contoller weiterleiten?
Vielen Dank schon einmal im Voraus.
hatte nun einiges gelesen, aber irgendwie bin ich mir aktuell unschlüssig, wie man einen DNS Server im Netzwerk richtig integriert.
Vorweg: Das System wird in einem Haushalt betrieben und es handelt sich nicht um ein Firmennetz oder ähnliches.
Aktueller Aufbau:
Internet --> Fritz 7490 -> Sophos XG Firewall -> verschiedene VLANS (Gast / Intern )
Die Rechner im Netzwerk melden sich an einem DC an (Windows Server 2012 r2).
IP Adresse als Beispiel:
DC: 192.168.2.11
Firewall VLAN 20/intern: 192.168.2.1/24
DHCP Server: Sophos XG
Mein "Problem" ist nun aktuell folgendes. Wie bzw. welche DNS Server trägt man nun wo ein? Aktuell verteile ich via DHCP als primären DNS Server die 192.168.2.11 und als "Backup" die 192.168.2.1.
=> Mit Backup ist an dieser Stelle gemeint, dass sofern der DC einmal ausfallen sollte die Rechner noch die Adressen im Internet auflösen können.
Oder sollte man als DNS Server immer die IP der Firewall angeben und diese dann wieder an den Domain Contoller weiterleiten?
Vielen Dank schon einmal im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389310
Url: https://administrator.de/contentid/389310
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Grundsätzlich kannst du alles als DNS einsetzen, solange es sinnvoll konfiguriert ist.
Aber, um was für ein Netz geht es denn? Produktiv oder Test?
Sollte es ersteres sein, würde ich dir raten dich an jemanden professionelles zu wenden, da du hier zwar einige Fragen stellst, aber dir höchstwahrscheinlich einige kritische Fragen gar nicht in den Sinn kommen.
VG
certifiedit.net
Grundsätzlich kannst du alles als DNS einsetzen, solange es sinnvoll konfiguriert ist.
Aber, um was für ein Netz geht es denn? Produktiv oder Test?
Sollte es ersteres sein, würde ich dir raten dich an jemanden professionelles zu wenden, da du hier zwar einige Fragen stellst, aber dir höchstwahrscheinlich einige kritische Fragen gar nicht in den Sinn kommen.
VG
certifiedit.net
Es handelt sich dabei um ein Heimnetzwerk. Sofern dieses ausfallen sollte wäre es keine Tragödie ;)
Hintergrund ist, dass ich mich für den Bereich interessiere und aus Interesse versuche so ein System aufzubauen und damit zu lernen.
Leider geht das ohne fragen seltenst ;)
Bezogen auf den DNS, wenn ich doch den DNS der Firewall einsetzte, finden die Rechner dann noch den DC ? Oder bekomme ich da dann Probleme?
Hintergrund ist, dass ich mich für den Bereich interessiere und aus Interesse versuche so ein System aufzubauen und damit zu lernen.
Leider geht das ohne fragen seltenst ;)
Bezogen auf den DNS, wenn ich doch den DNS der Firewall einsetzte, finden die Rechner dann noch den DC ? Oder bekomme ich da dann Probleme?
Du kannst als DNS z.B. deine Fritzbox eintragen - die bekommt dann eh beim Einwählen vom Provider einen DNS mitgeteilt.
Du kannst auch deinen Server (so vorhanden) eintragen und dort den Forwarder dann auf die Fritte legen (ist z.B. Sinnvoll wenn du ein AD betreiben möchtest).
Du kannst auch deinen Server (so vorhanden) eintragen und dort den Forwarder dann auf die Fritte legen (ist z.B. Sinnvoll wenn du ein AD betreiben möchtest).
Wenn du keine Fritte einsetzen würdest, könnten auch alle Clients den DNS am GW nutzen.
Dafür muss dieser per Domain override auf deinen DC zeigen.
Dafür muss dieser per Domain override auf deinen DC zeigen.
Hi
Warum den bitte den DNS der Fritzbox?
Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.
Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.
Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one
Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.
Ist ja wie gesagt ein Heimnetz.
Mit freundlichen Grüßen Nemesis
Warum den bitte den DNS der Fritzbox?
Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.
Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.
Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one
Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.
Ist ja wie gesagt ein Heimnetz.
Mit freundlichen Grüßen Nemesis
Ah ich habe mich vertan,
Die Sophos sollte einen Domain override können. Dann ist es unerheblich ob der Client Domain Mitglied ist oder nicht.
Die DNS Geschichte kann in dem Fall von beiden System abgefackelt werden.
Solche "mal eben umschalten" Vorschläge kann ich nicht unterstützen. Wenn ist eine saubere Lösung der bessere Weg.
Die Sophos sollte einen Domain override können. Dann ist es unerheblich ob der Client Domain Mitglied ist oder nicht.
Die DNS Geschichte kann in dem Fall von beiden System abgefackelt werden.
Solche "mal eben umschalten" Vorschläge kann ich nicht unterstützen. Wenn ist eine saubere Lösung der bessere Weg.
wie man einen DNS Server im Netzwerk richtig integriert.
Hier steht wie es geht:https://www.heise.de/ct/ausgabe/2017-21-Privater-Nameserver-und-Adblocke ...
oder auch hier...
https://www.heise.de/ct/ausgabe/2018-11-Schadcode-und-Werbung-mit-Raspbe ...
Zitat von @nEmEsIs:
Hi
Warum den bitte den DNS der Fritzbox?
Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.
Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.
Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one
Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.
Ist ja wie gesagt ein Heimnetz.
Mit freundlichen Grüßen Nemesis
Hi
Warum den bitte den DNS der Fritzbox?
Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.
Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.
Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one
Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.
Ist ja wie gesagt ein Heimnetz.
Mit freundlichen Grüßen Nemesis
Hey, so hatte ich es wirklich auch mal geplant ^^ War mir nur unsicher ob man das wirklich so macht.
Um es nochmal kurz zusammenzufassen.
VLan 20 (Interne clients 192.168.2.x/24) --> Primärer DNS 192.168.2.11 (DC + DNS) -> Sekundärer DNS ist Leer
Vlan 50 (Gäste 192.168.5.x/24) -> Primärer DNS 192.168.5.1 (Sophos) -> Sekundärer ebenfalls Leer
Auf dem DC setze ich eine Weiterleitung zu 192.168.2.1 (IP des Sophos GW).
Diese wiederum bekommt dann den 8.8.8.8 und Sekundär den 1.1.1.1.
Wäre dies ein tragbares Szenario ?
Nachtrag:
Sofern ich dass dann richtig verstanden habe, dann würde die Namensauflösung ja über den DNS vom Windows laufen. Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken - oder ?
DNS müsste dann doch nur für den DC und Gäste erlaubt werden.
Danke euch schon einmal
Dann lass den DC lieber als Resolver laufen. Den Google DNS würde auf jeden Fall nicht nehmen.
Diese wiederum bekommt dann den 8.8.8.8
Sowas machen heute nur noch völlige Dummies ! Jedermann weiss ja das Google damit ein Profil deiner Internet Gewohnheiten erstellt und es mit Dritten vermarktet. Macht nur jemand dem seine eigene Privatsphäre (und die seiner Gäste) völlig egal ist !https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
dann würde die Namensauflösung ja über den DNS vom Windows laufen.
Nur für die Clients im VLAN 20 !Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken
Ja, wenigstens im VLAN 20. Dort kannst du nur den Winblows Server erlauben für Port UDP/TCP 53. Clients kann man dafür komplett blocken.Zitat von @aqui:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Diese wiederum bekommt dann den 8.8.8.8
Sowas machen heute nur noch völlige Dummies ! Jedermann weiss ja das Google damit ein Profil deiner Internet Gewohnheiten erstellt und es mit Dritten vermarktet. Macht nur jemand dem seine eigene Privatsphäre (und die seiner Gäste) völlig egal ist !https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Vielen Dank für diesen Hinweis. Das war mir so noch nicht bewusst. Aber da ich mir hier unsicher war, habe euch profis ja um Hilfe gebeten.
Habe jetzt auf allen Geräten den 9.9.9.9 und sekundär den 1.1.1.1
dann würde die Namensauflösung ja über den DNS vom Windows laufen.
Nur für die Clients im VLAN 20 !Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken
Ja, wenigstens im VLAN 20. Dort kannst du nur den Winblows Server erlauben für Port UDP/TCP 53. Clients kann man dafür komplett blocken.Kannst du mir hier vielleicht noch einen Tipp geben, ob ich bei der Firewall die Anfragen auf "Drop" oder "Reject" lassen soll?
Zitat von @Spirit-of-Eli:
Dann lass den DC lieber als Resolver laufen. Den Google DNS würde auf jeden Fall nicht nehmen.
Dann lass den DC lieber als Resolver laufen. Den Google DNS würde auf jeden Fall nicht nehmen.
Bitte entschuldige die blöde nachfrage. Aber meinst du damit, dass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?
Danke schon einmal im Voraus.
Das war mir so noch nicht bewusst.
So so du dachtest also Google sind Menschenfreunde die einfach alles mal so verschenken...? Etwas weltfremd, oder ?ob ich bei der Firewall die Anfragen auf "Drop" oder "Reject" lassen soll?
Tja, das ist Ermessenssache und hängt von deiner Security Policy ab.Drop schmeisst das Paket kommentarlos weg.
Reject schickt ein ICMP Steuerpaket an den Absender.
Ersteres hat den Vorteil das dann keiner sieht das da eine Firewall am werkeln ist. Zwingt aber das Endgerät dann in eine Retransmission oder in einem Timeout. Letztlich ist das anonymer
Reject schickt brav eine Antwort ans Endgerät und schafft damit klarer Verhältnisse, also etwas Standard konformer.
Dadurch ist aber die Infrastruktur sichtbar.
Deine Entscheidung...
ass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?
Nein, die 192.168.2.1 solltest du belassen. Das ist ja dein Router der als DNS Proxy arbeitet und somit immer den schnellsten Weg zum nächsten DNS hat um die Antwortzeiten klein zu halten.Es macht doch keinerlei Sinn einen DNS Request ohne Grund um den halben Erdball zu schicken.
Das ganze 8.8.8.8 oder 9.9.9.9 ist eh Unsinn.
Nutze die DNS des Providers bzw. dein Router als Weiterleitung und gut iss !
Bitte entschuldige die blöde nachfrage. Aber meinst du damit, dass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?
Danke schon einmal im Voraus.
Danke schon einmal im Voraus.
Das wäre eine Option. Dann Arbeit der Windows DNS tatsächlich als Resolver.
Ob er als Weiterleitung des DNS Servers die 192.168.2.1 oder die 9.9.9.9 dafür einsetzt ist für die Funktion Resolver doch völlig egal !
Es bestimmt doch nur das Ziel an was der Server DNS Requests weiterleitet die er selber nicht auflösen kann. Und ob das dann die 192.168.2.1 oder die 9.9.9.9 ist ist doch völlig egal.
Sinnvoller wäre die 192.168.2.1, da lokal und schneller.
Es bestimmt doch nur das Ziel an was der Server DNS Requests weiterleitet die er selber nicht auflösen kann. Und ob das dann die 192.168.2.1 oder die 9.9.9.9 ist ist doch völlig egal.
Sinnvoller wäre die 192.168.2.1, da lokal und schneller.
