DNS-Cache für Domain deaktivieren [VPN]

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
SteffenK
Beiträge: 14
Registriert: 13 Nov 2016, 15:12

DNS-Cache für Domain deaktivieren [VPN]

Beitrag von SteffenK »

Moin zusammen,

ist es möglich, den DNS-Cache eines Lancom-Routers für eine bestimmte Domain (oder generell) zu deaktivieren?

Problem/Hintergrund:

Das Internet in unserer Filiale fällt immer mal wieder aus (Kabelnetz --> statische IP). Als Backup haben wir hier eine DSL-Verbindung, die leider über eine dynamische IP verfügt. Diese ist an ein Konto bei Dyns.cx gekoppelt. Die Backup-Verbindung wird vom Lancom (1906VA-4G) nur aufgebaut, wenn die Hauptverbindung ausfällt, der Dyns.cx-Eintrag wird beim Aufbau aktualisiert. Beim Router der Zentrale (1900EF --> Kabelnetz, statische IP --> Verbindung extrem zuverlässig) ist nun als weiteres entferntes Gateway die dyns.cx-Adresse eingetragen (ich hoffe, dass ich das so richtig verstanden habe). Kommt es nun häufiger am Tag zu Ausfällen, versucht der 1900EF stets die ihm bekannte IP-Adresse aufzurufen, obwohl der dnys.cx-Eintrag vom 1906VA-4G schon wieder aktualisiert wurde. Daher wäre es hilfreich, den DSN-Cache für zumindest diese Domain zu deaktivieren. Oder gibt es einen anderen Workaround?

Danke!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS-Cache für Domain deaktivieren [VPN]

Beitrag von backslash »

Hi SteffenK,

das LANCOM speichert sich die DNS-Auflösungen für die in der Antwort angegebene Gültigkeit (aber mindestens 5 Minuten) - wenn jetzt der Abbruch der VPN-Verbindung festgestellt wird, bevor die Gegenseite den Dyn-DNS-Eintrag aktualisiert hat, dann meldet der Dyn-DNS-Provider erstmal die alte Auflösung. Diese nutzt das LANCOM dann mindestens die nächsten 5 Minuten... Erst dann erfolgt eine neue Auflösung...

Hier wäre die besserere Lösung, die Verbindung von der Filiale aus aufbauen zu lassen. Dann brauchst du in der Zentrale gar keine Konfiguration des Remote Gateway - zumindest wenn du eine der folgenden Varianten verwendest:
  • IKEv2 oder IKEv1 mit Zertifikaten
  • IKEv2 mit preshared-Key
  • IKEv1 mit preshared-Key im Main-Mode mit "dynamic VPN"
  • IKEv2 mit preshared-Key im Aggressive-Mode (solte tunlichst nicht verwendet werden, weil der Aggresive Mode "offline"(!) angreifbar ist)
Dabei sind die Varianten mit IKEv2 zu bevorzugen

Gruß
Backslash
SteffenK
Beiträge: 14
Registriert: 13 Nov 2016, 15:12

Re: DNS-Cache für Domain deaktivieren [VPN]

Beitrag von SteffenK »

Das ist natürlich deutlich cleverer.

Danke backslash!
Antworten