5
Interne DNS Auflösung verursacht Probleme mit mobilen Clients
Moin moin,
ich versuche mich kurz zu fassen:
Intern existiert ein Dienst zur Kommunikation (z.B. Chat, Groupware etc.) und wird über die Domain "coms.domain.tld" sowohl intern als auch extern zur Verfügung gestellt. Damit der Traffic von intern nicht über WAN raus und wieder rein geht, wird die Domain intern vom lokalen DNS mit der lokalen IP-Adresse überschrieben (Unbound innerhalb von pfsense). Extern wird die Domain korrekt mit der WAN-IP aufgelöst.
Problem ist nun wenn ein mobiler Client von LAN nach WAN (z.B. Smartphone, Laptop) wechselt. Ab diesem Zeitpunkt ist der Dienst per WAN nicht mehr nutzbar, da natürlich die LAN-Adresse aus dem lokalen DNS-Cache des Clients nicht funktioniert. Bei Smartphones ist das löschen eines DNS-Caches auch nicht ohne weiteres möglich.
Derzeit kenne ich keine Lösung für dieses Problem außer die Entfernung der lokalen DNS-Auflösung. Dann geht jedoch der Traffic unnötig über das WAN Interface.
Gibt es für die Art von Problem eine technische Lösung?
ich versuche mich kurz zu fassen:
Intern existiert ein Dienst zur Kommunikation (z.B. Chat, Groupware etc.) und wird über die Domain "coms.domain.tld" sowohl intern als auch extern zur Verfügung gestellt. Damit der Traffic von intern nicht über WAN raus und wieder rein geht, wird die Domain intern vom lokalen DNS mit der lokalen IP-Adresse überschrieben (Unbound innerhalb von pfsense). Extern wird die Domain korrekt mit der WAN-IP aufgelöst.
Problem ist nun wenn ein mobiler Client von LAN nach WAN (z.B. Smartphone, Laptop) wechselt. Ab diesem Zeitpunkt ist der Dienst per WAN nicht mehr nutzbar, da natürlich die LAN-Adresse aus dem lokalen DNS-Cache des Clients nicht funktioniert. Bei Smartphones ist das löschen eines DNS-Caches auch nicht ohne weiteres möglich.
Derzeit kenne ich keine Lösung für dieses Problem außer die Entfernung der lokalen DNS-Auflösung. Dann geht jedoch der Traffic unnötig über das WAN Interface.
Gibt es für die Art von Problem eine technische Lösung?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 424668
Url: https://administrator.de/contentid/424668
Ausgedruckt am: 15.11.2024 um 21:11 Uhr
5 Kommentare
Neuester Kommentar
Ja, setze den TTL Wert des DNS Eintrags niedriger, z.B. auf 5min, oder bei Bedarf noch geringer. Dann finden zwar mehr DNS Abfragen statt aber die Einträge laufen im Cache am Client früher ab.
Moin,
du kannst auch einfach Hairpin NAT nutzen. Dann funktioniert das ganze auch mit der WAN IP von intern.
Der Traffic läuft dann nicht nach extern heraus.
Gruß
Spirit
du kannst auch einfach Hairpin NAT nutzen. Dann funktioniert das ganze auch mit der WAN IP von intern.
Der Traffic läuft dann nicht nach extern heraus.
Gruß
Spirit
Hallo,
DNS-Cache lässt sich bei den meisten Mobiles per Flugmodus an/Flugmodus aus leeren.
Wir machen das auch bei den meisten Netzwerken so wie ihr, bisher kaum Probleme, bis auf das eben mal
jemand sein Mobile neu starten müsste oder eben Flugmodus.
Grüße
bloody
DNS-Cache lässt sich bei den meisten Mobiles per Flugmodus an/Flugmodus aus leeren.
Wir machen das auch bei den meisten Netzwerken so wie ihr, bisher kaum Probleme, bis auf das eben mal
jemand sein Mobile neu starten müsste oder eben Flugmodus.
Grüße
bloody
Zitat von @bloodstix:
Hallo,
DNS-Cache lässt sich bei den meisten Mobiles per Flugmodus an/Flugmodus aus leeren.
Wir machen das auch bei den meisten Netzwerken so wie ihr, bisher kaum Probleme, bis auf das eben mal
jemand sein Mobile neu starten müsste oder eben Flugmodus.
Grüße
bloody
Hallo,
DNS-Cache lässt sich bei den meisten Mobiles per Flugmodus an/Flugmodus aus leeren.
Wir machen das auch bei den meisten Netzwerken so wie ihr, bisher kaum Probleme, bis auf das eben mal
jemand sein Mobile neu starten müsste oder eben Flugmodus.
Grüße
bloody
Ist allerdings Käse da eine händische Aktion erforderlich ist.
Vielen Dank für den Hinweis. Die Technik war mir bislang neu. In pfsense heißt dies nat reflection, ermöglicht jedoch genau die Verfahrensweise von Hairpinning.
Bislang habe ich jedoch immer gelesen, dass man Hairpinning eher als letztes Mittel der Wahl einsetzen soll. Hier werde ich noch genauer evaluieren, ob diese Kritik an Hairpinning wirklich berechtigt ist.
Die TTL lässt sich im DNS für eine überschriebene Regel leider nicht explizit einstellen und liegt hier bei 3600 sec, was natürlich nicht optimal ist. Hier prüfe ich derzeit, ob sich daran was per manueller Konfiguration drehen lässt.
Bislang habe ich jedoch immer gelesen, dass man Hairpinning eher als letztes Mittel der Wahl einsetzen soll. Hier werde ich noch genauer evaluieren, ob diese Kritik an Hairpinning wirklich berechtigt ist.
Die TTL lässt sich im DNS für eine überschriebene Regel leider nicht explizit einstellen und liegt hier bei 3600 sec, was natürlich nicht optimal ist. Hier prüfe ich derzeit, ob sich daran was per manueller Konfiguration drehen lässt.
