Firewall + DC + DNS

Mitglied: mario89

mario89 (Level 1) - Jetzt verbinden

13.10.2018, aktualisiert 02:24 Uhr, 2751 Aufrufe, 14 Kommentare

Hallo Leute,

hatte nun einiges gelesen, aber irgendwie bin ich mir aktuell unschlüssig, wie man einen DNS Server im Netzwerk richtig integriert.

Vorweg: Das System wird in einem Haushalt betrieben und es handelt sich nicht um ein Firmennetz oder ähnliches.


Aktueller Aufbau:
Internet --> Fritz 7490 -> Sophos XG Firewall -> verschiedene VLANS (Gast / Intern )

Die Rechner im Netzwerk melden sich an einem DC an (Windows Server 2012 r2).

IP Adresse als Beispiel:
DC: 192.168.2.11
Firewall VLAN 20/intern: 192.168.2.1/24
DHCP Server: Sophos XG

Mein "Problem" ist nun aktuell folgendes. Wie bzw. welche DNS Server trägt man nun wo ein? Aktuell verteile ich via DHCP als primären DNS Server die 192.168.2.11 und als "Backup" die 192.168.2.1.
=> Mit Backup ist an dieser Stelle gemeint, dass sofern der DC einmal ausfallen sollte die Rechner noch die Adressen im Internet auflösen können.

Oder sollte man als DNS Server immer die IP der Firewall angeben und diese dann wieder an den Domain Contoller weiterleiten?

Vielen Dank schon einmal im Voraus.
Mitglied: certifiedit.net
13.10.2018, aktualisiert um 02:51 Uhr
Hallo,

Grundsätzlich kannst du alles als DNS einsetzen, solange es sinnvoll konfiguriert ist.

Aber, um was für ein Netz geht es denn? Produktiv oder Test?

Sollte es ersteres sein, würde ich dir raten dich an jemanden professionelles zu wenden, da du hier zwar einige Fragen stellst, aber dir höchstwahrscheinlich einige kritische Fragen gar nicht in den Sinn kommen.

VG

certifiedit.net
Bitte warten ..
Mitglied: mario89
13.10.2018 um 03:02 Uhr
Es handelt sich dabei um ein Heimnetzwerk. Sofern dieses ausfallen sollte wäre es keine Tragödie ;)

Hintergrund ist, dass ich mich für den Bereich interessiere und aus Interesse versuche so ein System aufzubauen und damit zu lernen.

Leider geht das ohne fragen seltenst ;)

Bezogen auf den DNS, wenn ich doch den DNS der Firewall einsetzte, finden die Rechner dann noch den DC ? Oder bekomme ich da dann Probleme?
Bitte warten ..
Mitglied: maretz
13.10.2018 um 06:39 Uhr
Du kannst als DNS z.B. deine Fritzbox eintragen - die bekommt dann eh beim Einwählen vom Provider einen DNS mitgeteilt.
Du kannst auch deinen Server (so vorhanden) eintragen und dort den Forwarder dann auf die Fritte legen (ist z.B. Sinnvoll wenn du ein AD betreiben möchtest).
Bitte warten ..
Mitglied: Spirit-of-Eli
13.10.2018 um 07:05 Uhr
Wenn du keine Fritte einsetzen würdest, könnten auch alle Clients den DNS am GW nutzen.
Dafür muss dieser per Domain override auf deinen DC zeigen.
Bitte warten ..
Mitglied: nEmEsIs
13.10.2018 um 07:54 Uhr
Hi

Warum den bitte den DNS der Fritzbox?

Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.

Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.

Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one

Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.

Ist ja wie gesagt ein Heimnetz.

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: Spirit-of-Eli
13.10.2018, aktualisiert um 08:11 Uhr
Ah ich habe mich vertan,
Die Sophos sollte einen Domain override können. Dann ist es unerheblich ob der Client Domain Mitglied ist oder nicht.
Die DNS Geschichte kann in dem Fall von beiden System abgefackelt werden.

Solche "mal eben umschalten" Vorschläge kann ich nicht unterstützen. Wenn ist eine saubere Lösung der bessere Weg.
Bitte warten ..
Mitglied: mario89
13.10.2018 um 12:44 Uhr
Zitat von nEmEsIs:

Hi

Warum den bitte den DNS der Fritzbox?

Warum machst du es nicht so, dass aus allen Vlans der DNS deines DCs angesprochen wird?
Oder besser gesagt alle VLANs wo Domain Mitglieder deines DCs sich befinden den DC als DNS mit einer Weiterleitung auf deine Sophos.

Den Sophos DNS Wiederrum nutzt du für Gäste und Netze welche keine Domain Members beinhalten.

Wohin die Sophos weiterleitet ist ja egal ob zur fritzbox Telekom
Google DNS oder one.one.one.one

Bei den Domain Members den Sophos DNS als zweite einzutragen ist keine gute Idee. Damit wird deine Domain dann nicht richtig aufgelöst.
Wenn der DC ausfällt musst du doch nur „schnell“ an dem Sophos DHCP die DNS Adresse auf die des Sophos DNS umstellten und gut ist.

Ist ja wie gesagt ein Heimnetz.

Mit freundlichen Grüßen Nemesis

Hey, so hatte ich es wirklich auch mal geplant ^^ War mir nur unsicher ob man das wirklich so macht.

Um es nochmal kurz zusammenzufassen.

VLan 20 (Interne clients 192.168.2.x/24) --> Primärer DNS 192.168.2.11 (DC + DNS) -> Sekundärer DNS ist Leer
Vlan 50 (Gäste 192.168.5.x/24) -> Primärer DNS 192.168.5.1 (Sophos) -> Sekundärer ebenfalls Leer

Auf dem DC setze ich eine Weiterleitung zu 192.168.2.1 (IP des Sophos GW).
Diese wiederum bekommt dann den 8.8.8.8 und Sekundär den 1.1.1.1.

Wäre dies ein tragbares Szenario ?

Nachtrag:
Sofern ich dass dann richtig verstanden habe, dann würde die Namensauflösung ja über den DNS vom Windows laufen. Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken - oder ?

DNS müsste dann doch nur für den DC und Gäste erlaubt werden.

Danke euch schon einmal
Bitte warten ..
Mitglied: Spirit-of-Eli
13.10.2018 um 13:38 Uhr
Dann lass den DC lieber als Resolver laufen. Den Google DNS würde auf jeden Fall nicht nehmen.
Bitte warten ..
Mitglied: aqui
13.10.2018, aktualisiert um 13:42 Uhr
Diese wiederum bekommt dann den 8.8.8.8
Sowas machen heute nur noch völlige Dummies ! Jedermann weiss ja das Google damit ein Profil deiner Internet Gewohnheiten erstellt und es mit Dritten vermarktet. Macht nur jemand dem seine eigene Privatsphäre (und die seiner Gäste) völlig egal ist !
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
dann würde die Namensauflösung ja über den DNS vom Windows laufen.
Nur für die Clients im VLAN 20 !
Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken
Ja, wenigstens im VLAN 20. Dort kannst du nur den Winblows Server erlauben für Port UDP/TCP 53. Clients kann man dafür komplett blocken.
Bitte warten ..
Mitglied: mario89
14.10.2018 um 12:42 Uhr
Zitat von aqui:

Diese wiederum bekommt dann den 8.8.8.8
Sowas machen heute nur noch völlige Dummies ! Jedermann weiss ja das Google damit ein Profil deiner Internet Gewohnheiten erstellt und es mit Dritten vermarktet. Macht nur jemand dem seine eigene Privatsphäre (und die seiner Gäste) völlig egal ist !
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...

Vielen Dank für diesen Hinweis. Das war mir so noch nicht bewusst. Aber da ich mir hier unsicher war, habe euch profis ja um Hilfe gebeten.
Habe jetzt auf allen Geräten den 9.9.9.9 und sekundär den 1.1.1.1

dann würde die Namensauflösung ja über den DNS vom Windows laufen.
Nur für die Clients im VLAN 20 !
Ja genau - so war das auch gewünscht. Bei den Gästen regelt dass die Sophos.

Somit könnte ich dann doch in der Firewall den DNS Service für alle Clients blocken
Ja, wenigstens im VLAN 20. Dort kannst du nur den Winblows Server erlauben für Port UDP/TCP 53. Clients kann man dafür komplett blocken.
Ist so in der FW nun hinterlegt.
Kannst du mir hier vielleicht noch einen Tipp geben, ob ich bei der Firewall die Anfragen auf "Drop" oder "Reject" lassen soll?




Zitat von Spirit-of-Eli:

Dann lass den DC lieber als Resolver laufen. Den Google DNS würde auf jeden Fall nicht nehmen.

Bitte entschuldige die blöde nachfrage. Aber meinst du damit, dass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?


Danke schon einmal im Voraus.
Bitte warten ..
Mitglied: aqui
14.10.2018, aktualisiert um 12:51 Uhr
Das war mir so noch nicht bewusst.
So so du dachtest also Google sind Menschenfreunde die einfach alles mal so verschenken...? Etwas weltfremd, oder ?
ob ich bei der Firewall die Anfragen auf "Drop" oder "Reject" lassen soll?
Tja, das ist Ermessenssache und hängt von deiner Security Policy ab.
Drop schmeisst das Paket kommentarlos weg.
Reject schickt ein ICMP Steuerpaket an den Absender.
Ersteres hat den Vorteil das dann keiner sieht das da eine Firewall am werkeln ist. Zwingt aber das Endgerät dann in eine Retransmission oder in einem Timeout. Letztlich ist das anonymer
Reject schickt brav eine Antwort ans Endgerät und schafft damit klarer Verhältnisse, also etwas Standard konformer.
Dadurch ist aber die Infrastruktur sichtbar.
Deine Entscheidung...
ass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?
Nein, die 192.168.2.1 solltest du belassen. Das ist ja dein Router der als DNS Proxy arbeitet und somit immer den schnellsten Weg zum nächsten DNS hat um die Antwortzeiten klein zu halten.
Es macht doch keinerlei Sinn einen DNS Request ohne Grund um den halben Erdball zu schicken.
Das ganze 8.8.8.8 oder 9.9.9.9 ist eh Unsinn.
Nutze die DNS des Providers bzw. dein Router als Weiterleitung und gut iss !
Bitte warten ..
Mitglied: Spirit-of-Eli
14.10.2018, aktualisiert um 12:54 Uhr
Bitte entschuldige die blöde nachfrage. Aber meinst du damit, dass ich bei dem Windows Server nun die 192.168.2.1 als Weiterleitung rauslösche und dafür den 9.9.9.9 setze?


Danke schon einmal im Voraus.

Das wäre eine Option. Dann Arbeit der Windows DNS tatsächlich als Resolver.
Bitte warten ..
Mitglied: aqui
15.10.2018 um 09:59 Uhr
Ob er als Weiterleitung des DNS Servers die 192.168.2.1 oder die 9.9.9.9 dafür einsetzt ist für die Funktion Resolver doch völlig egal !
Es bestimmt doch nur das Ziel an was der Server DNS Requests weiterleitet die er selber nicht auflösen kann. Und ob das dann die 192.168.2.1 oder die 9.9.9.9 ist ist doch völlig egal.
Sinnvoller wäre die 192.168.2.1, da lokal und schneller.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing17 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu13 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware12 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Ähnliche Inhalte
Windows Server
Kein Firewall Log auf DC
scusimarcusFrageWindows Server13 Kommentare

Hallo, ich habe gerade eine Kuriosität auf einem DC (server 2012 R2) entdeckt. Die Firewall-Settings werden über GPO´s an ...

DSL, VDSL
Umleitung DNS
brooksFrageDSL, VDSL9 Kommentare

Hallo, eine Frage: Ich möchte bei mir das UTM Portal von Sophos veröffentlichen und es funktioniert auch prima. Aktuell ...

Exchange Server
Exchange dns
Max-meisterFrageExchange Server7 Kommentare

Hallo, ich bin neu hier, und mache gerade meine Ausbildung Installiren in Hyper-v meine Server 1 x Domäne 2012R2 ...

DNS
DNS-Manipulation
IT-EinsteigerFrageDNS14 Kommentare

Guten Tag, Dieses Fragebeispiel ist zwar im Zusammenhang mit NTP-Servern, soll aber eher dem allgemeinen Verständnis zu DNS dienen. ...

DNS
Weiterleitung DNS
gelöst chris123FrageDNS2 Kommentare

Hallo zusammen, wir haben einen Terminalserver bekommen. Nun möchte ich nicht überall den RDP-Client ändern. Teilweise ist IP von ...

Windows 10

Internet Explorer DNS Problem, obwohl DNS funktioniert

gelöst Dennis93FrageWindows 1019 Kommentare

Hallo zusammen. Ich betreue ein Toyota Autohaus und dort wird von Toyota eine VPN Verbindung aufgebaut um in deren ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT