killtec
Goto Top

Private IP in öffentlichem DNS

Hallo,
ich habe eine Domain TLD .de die öffentlich im Netz ist. Nun möchte ich von einem anderem Standort aus einen Server erreichbar machen. An diesem ist jedoch kein DNS-Server in dem Sinn vorhanden. Von Standort A zu B gibt es eine Site-2-Site VPN. Standort A hat einen Server (DHCP, DNS ...) Standort B hat keinen. Lediglich eine Fritzbox für das Internet, Telefon und VPN.

Kann ich einen Server (private IP) in meiner öffentlichem Domain eintragen, so dass von Standort B per DNS auf einen Server am Standort A zugegriffen werden kann, oder zerschieße ich mir hiermit den DNS?

Bsp.: Standort B soll via myserver.mydomain.de auf die IP 10.10.2.2 zugreifen.

Gruß

Content-ID: 278580

Url: https://administrator.de/forum/private-ip-in-oeffentlichem-dns-278580.html

Ausgedruckt am: 02.04.2025 um 08:04 Uhr

Vision2015
Vision2015 28.07.2015 um 20:50:18 Uhr
Goto Top
nabend,

so geht das nicht, du brauchst an deinem standort ( bzw. an beiden ) eine feste ip, dann kannst du auch ein ipsec vpn bauen!
wenn du die IP 10.10.2.2 in deine dns einträgst ( beim hoster) passiert nix beim aufruf der myserver.mydomain.de
wie auch.. es gibbt da kein routing etc... woher soll der dns wissen wo dein ziel ist!
ergo: feste ip adressen an deinen standorten

lg
frank
Lochkartenstanzer
Lochkartenstanzer 28.07.2015 aktualisiert um 21:29:36 Uhr
Goto Top
Zitat von @Vision2015:

nabend,

so geht das nicht, du brauchst an deinem standort ( bzw. an beiden ) eine feste ip, dann kannst du auch ein ipsec vpn bauen!
wenn du die IP 10.10.2.2 in deine dns einträgst ( beim hoster) passiert nix beim aufruf der myserver.mydomain.de
wie auch.. es gibbt da kein routing etc... woher soll der dns wissen wo dein ziel ist!
ergo: feste ip adressen an deinen standorten


Er hat doch schon ein site-to-site-VPN, wenn ich ihn richtig verstanden habe. Prinzipiell würde das mit dem DNS-Eintrag auch funktionieren, sofern er das Routing richtig eingerichtet hat,.

Prinzipiell ist es aber eine schlecht Idee interne Strukturen an die große Internet-Glocke zu hängen. Sinnvoller wäre es, einfach auch DNS über den VPN-Tunnel zu schicken.

lks
keine-ahnung
keine-ahnung 28.07.2015 um 21:24:50 Uhr
Goto Top
Moin LKS,
Prinzilöiell würde das mit dem DNS-einmtrag
gigantisch face-smile!
Bsp.: Standort B soll via myserver.mydomain.de auf die IP 10.10.2.2 zugreifen.
Dafür brauchst Du einen DNS-Server am Standort ... aber warum? Kannst Du doch auch über die Adresse erschlagen?

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 28.07.2015 um 21:30:07 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin LKS,
> Prinzilöiell würde das mit dem DNS-einmtrag
gigantisch face-smile!

Extra für Dich. face-smile

lks
LordGurke
LordGurke 28.07.2015 aktualisiert um 23:44:06 Uhr
Goto Top
Es sei übrigens noch erwähnt, dass manche Router (z.B. die FritzBox) einen DNS-Rebind-Schutz haben. Das heißt, dass damit RFC1918-Adressen aus den DNS-Antworten herausgefiltert werden, meistens jedoch wenigstens IP-Adressen, die auf die FritzBox selbst oder das eigene Subnetz zeigen.
Wenn der Router beim Client so etwas macht und nicht über die VPN-Verbindung ein DNS-Server von euch erzwungen wird, könntet ihr euch mit solchen "Features" durchaus Probleme einhandeln face-wink
killtec
killtec 29.07.2015 um 07:55:43 Uhr
Goto Top
Ok, oder anders gefragt, kann ich an der Fritzbox einen DNS für bestimmte Adressen eintragen? (Ich vermute nein).
Es geht eigentlich nur um einen Rechner auf den zugegriffen werden soll. Am Standort B (Meine Eltern) ist eigentlich nur ein Client (nicht AD-Mitglied) und ein Multifunktionsgerät. Bei mir selbst steht dann ein Server mit AD... Sie sollen nun auf einen PC bei mir zugreifen können (am besten via Namen). Daher kam die Frage, ob das so funktionieren würde, oder ob man lieber davon die Finger lässt.
Das VPN ist mittels zwei Fritzboxen (7390+7490).

Gruß
Lochkartenstanzer
Lochkartenstanzer 29.07.2015 aktualisiert um 08:24:11 Uhr
Goto Top
Zitat von @killtec:

Ok, oder anders gefragt, kann ich an der Fritzbox einen DNS für bestimmte Adressen eintragen? (Ich vermute nein).

Deien vermutung trügt Dich nciht.

Du könntest natürlich die boxen freetzen und es dann machen.

Es geht eigentlich nur um einen Rechner auf den zugegriffen werden soll. Am Standort B (Meine Eltern) ist eigentlich nur ein
Client (nicht AD-Mitglied) und ein Multifunktionsgerät. Bei mir selbst steht dann ein Server mit AD... Sie sollen nun auf
einen PC bei mir zugreifen können (am besten via Namen). Daher kam die Frage, ob das so funktionieren würde, oder ob man
lieber davon die Finger lässt.

Trag es doch einfach in die hosts-datei ein, wenn es wirklich nur ein Client ist.


lks
killtec
killtec 29.07.2015 um 08:36:49 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Trag es doch einfach in die hosts-datei ein, wenn es wirklich nur ein Client ist.
lks

Manche dinge können so einfach sein :D -> Habe schon gar nicht mehr an die Hosts gedacht...
Ist vermutlich das sauberste.

Also lieber keine privaten Adressen im öffentlichem DNS laufen lassen face-smile

Gruß
clSchak
clSchak 29.07.2015 um 09:12:09 Uhr
Goto Top
Es geht auch anders (wenn es mal mehr Benutzer werden)

am DNS Server eine neue Zone im Bereich "ForwardLockup Zones" mit "meineseitehateinennamen.meinedomain.de" anlegen und dort lediglich einen Host A Eintrag ohne Namen eintragen, damit "verbiegst" du interne DNS anfragen die auf externe Seite zeigen (müssten) so das diese auf interne Server.

Setzt allerdings einen lokalen DNS Server am Standort voraus, der bei einem DC im Regelfall mitinstalliert wird, dafür muss ja kein HighEnd System da stehen haben.

Und es stellt sich mir dann noch die Frage, warum man ein Site2Site VPN einrichtet bei einem Benutzer face-smile

Gruß
@clSchak
killtec
killtec 29.07.2015 aktualisiert um 09:27:18 Uhr
Goto Top
@clSchak
Weil da noch meine alte Telefonnummer via VoIP angeschlossen ist ;)
Geht u.a. um Drucken, VoIP und RDP Zugänge. Es waren mal mehr Geräte dort vorhanden.

Gruß
Lochkartenstanzer
Lochkartenstanzer 29.07.2015 aktualisiert um 09:33:33 Uhr
Goto Top
Zitat von @clSchak:

Und es stellt sich mir dann noch die Frage, warum man ein Site2Site VPN einrichtet bei einem Benutzer face-smile


Damit man am Client die VPN-Einstellungen nicht verstellen kann. face-smile

lks
108012
108012 29.07.2015 um 12:42:58 Uhr
Goto Top
Hallo,

private IP Adressen werden nicht durch das Internet geroutet.

Gruß
Dobby
Lochkartenstanzer
Lochkartenstanzer 29.07.2015 aktualisiert um 13:48:31 Uhr
Goto Top
Zitat von @108012:

private IP Adressen werden nicht durch das Internet geroutet.

Er hat doch ein site-to-site-VPN.

lks

Nachtrag: Du würdest Dich wundern, was man alles beim Probvider geroutet bekommt, wenn man dafür bezahlt.

Und manchmal routen die sogar, ohne daß man bezahlt. face-smile
killtec
killtec 29.07.2015 um 14:04:45 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Und manchmal routen die sogar, ohne daß man bezahlt. face-smile

Das sind dann aber eher die "billigen" Anbieter, oder? Also könnte mir so etwas bei dem rosa / Mangenta farbenem Konzern nicht denken...

Gruß