Eigene DNS-Server verwenden

[Maurice]

Moin,

Wir betreiben eigene DNS-Server im Intranet. Der DNS-Server im Lancom-Router (1781VA) ist deaktiviert. Auch der Router selbst soll unsere internen DNS-Server verwenden, nicht die von der Telekom zugewiesenen.

Die DNS-Server-Adressen habe ich konfiguriert unter IPv4 / Adressen / Nameserver-Adressen bzw. IPv6 / Allgemein / IPv6-Parameter (Interface INTRANET). Soweit richtig?
Dennoch verwendet der Router die Telekom-DNS-Server. Wenn ich versuche von der Konsole einen internen Host zu pingen (über den FQDN), so kann die Adresse nicht aufgelöst werden (bzw. löst auf eine Adresse der Telekom-"Navigationshilfe" auf, sofern man die nicht abschaltet). Hosts im öffentlichen DNS werden korrekt aufgelöst.

Wie kann ich dem Lancom klarmachen, dass er (ausschließlich) unsere eigenen DNS-Server verwenden soll?

Danke!

Maurice

[GrandDixence]

Wenn der DHCP-Server des LANCOM-Routers die IP-Adressen im Heimnetzwerk verteilt, muss der DHCP-Server entsprechend konfiguriert werden, dass er bei der IP-Adressvergabe auch die korrekte DNS-Server-Adresse mitsendet.

Code: Alles auswählen

Setup > DHCP > Netzliste > DNS-Default
Setup > DHCP > Netzliste > DNS-Backup

Gemäss LCOS-Menüreferenz:

https://www.lancom-systems.de/docs/LCOS ... 10_20.html

Und bitte auch das LCOS Referenzhandbuch beachten:

https://www.lancom-systems.de/docs/conf ... 42544.html

[Jirka]

Hallo,

nein, wenn man das so will, gibt man einen (oder zwei) DNS-Server hier an:
Konfiguration -> IPv4 -> DNS ->
DNS-Weiterleitung aktiviert
Auflösung von Stationsnamen -> Weiterleitungen... -> Hinzufügen ->
Domäne: *
Routing-Tag: 0
Gegenstelle: 192.168.10.10 192.168.10.11 (unter der Annahme, dass 192.168.10.10 und 192.168.10.11 die IP-Adressen der lokalen DNS-Server sind)

Viele Grüße,
Jirka

[Maurice]

Wenn der DHCP-Server des LANCOM-Routers die IP-Adressen im Heimnetzwerk verteilt

Nein, tut er nicht, DHCP-Server sind auch separate Maschinen im Intranet. Der 1781VA ist nur Router und Firewall und hat mit DHCP / DNS nichts am Hut. Mit den Clients habe ich auch keine Probleme, die verwenden unsere internen DNS-Server. Es geht darum, dass auch der Router selbst unsere internen DNS-Server verwenden soll. Ist z. B. erforderlich, um den FQDN unseres internen NTP-Servers aufzulösen, von dem sich der Lancom die Zeit holt.

nein, wenn man das so will, gibt man einen (oder zwei) DNS-Server hier an:
Konfiguration -> IPv4 -> DNS ->
DNS-Weiterleitung aktiviert

Könnte man so machen, würde ich aber als üblen Workaround sehen. Der Router stellt dann DNS-Anfragen an sich selbst und leitet sie anschließend weiter, anstatt direkt die externen DNS-Server zu fragen.

Laut Doku sollte die Reihenfolge bei DNS-Anfragen wie folgt sein:

• interner DNS-Server des Routers (ist deaktiviert)
• manuell konfigurierte DNS-Server (habe ich wie beschrieben konfiguriert)
• vom ISP dynamisch zugewiesene DNS-Server

Aus irgend einem Grund scheint er aber die ISP-Server den manuell konfigurierten vorzuziehen.

Mittlerweile konnte ich das Problem so umgehen: Wenn man die IPv6-DNS-Server (IPv6 / Allgemein / IPv6-Parameter) beim WAN-Interface einträgt statt beim INTRANET, dann funktioniert es. Bug oder muss das so? Aus meiner Sicht nicht ganz schlüssig.

[GrandDixence]

Bei deaktivierten LANCOM-internen DNS-Proxy (DNS-Server) kann der vom LANCOM-internen DNS-Client zu verwendende DNS-Server/DNS-Forwarder unter:

Code: Alles auswählen

Setup > TCP-IP > DNS-Default
Setup > TCP-IP > DNS-Backup

Setup > WAN > IP-Liste > DNS-Default
Setup > WAN > IP-Liste > DNS-Backup

https://www.lancom-systems.de/docs/LCOS ... s/2_7.html

https://www.lancom-systems.de/docs/LCOS ... _2_20.html

konfiguriert werden. Die Konfigurationen im LANCOM-Webinterface (Webconfig) unter "Konfiguration -> IPv4 -> Adressen" entsprechen dem "LCOS-Menübaum > Setup > TCP-IP > DNS-*"

Webconfig_Menuestruktur.png

Bitte die Hinweise in der LCOS-Menüreferenz beachten!

Nach jeglichen Konfigurationsänderungen im DNS-Bereich muss das LANCOM-Gerät zwingend neugestartet werden!!

Aber zu Zeiten von LCOS 8.60 funktionierte diese oben genannte Konfiguration nicht:
https://www2.lancom.de/kb.nsf/1275/CE9F ... E6002EF531

Deshalb verwenden wohl heute noch alle "LANCOM-Profis" den von Jirka beschriebenen "DNS-Proxy-Murks". Aber aus Sicherheitsgründen sollte der LANCOM-interne DNS-Proxy abgeschaltet werden, wenn er nicht verwendet wird. Damit kein unnötiger Angriffsvektor gebildet wird. Siehe auch die Konfigurationsanleitung für die "hochsicheren" CC-Routern:

https://www.lancom-systems.de/fileadmin ... idance.pdf

[Jirka]

Hallo,

da hier anscheinend Zweifel und Unsicherheiten aufkommen, ergänze ich meine Aussage

nein, wenn man das so will, gibt man einen (oder zwei) DNS-Server hier an:
Konfiguration -> IPv4 -> DNS ->
DNS-Weiterleitung aktiviert
Auflösung von Stationsnamen -> Weiterleitungen... -> Hinzufügen ->
Domäne: *
Routing-Tag: 0
Gegenstelle: 192.168.10.10 192.168.10.11 (unter der Annahme, dass 192.168.10.10 und 192.168.10.11 die IP-Adressen der lokalen DNS-Server sind)

hiermit um den Punkt der eingangs als Voraussetzung angegebenen und für mich somit selbstverständlichen und nicht mehr zu erwähnenden Tatsache

Der DNS-Server im Lancom-Router (1781VA) ist deaktiviert.

Konfiguration -> IPv4 -> DNS -> 'DNS-Server aktiviert' ohne Haken (=deaktiviert).

Aber zu Zeiten von LCOS 8.60 funktionierte diese oben genannte Konfiguration nicht:
https://www2.lancom.de/kb.nsf/1275/CE9F ... E6002EF531

Und genau deswegen habe ich das im seinerzeitigen nichtöffentlichen Beta-Programm als Fehler gemeldet. Leider blieb meine Bugmeldung damals hängen und so kam es, dass der Fehler released wurde und anschließend dieser Knowledgebase-Artikel geschrieben werden musste.

Deshalb verwenden wohl heute noch alle "LANCOM-Profis" den von Jirka beschriebenen "DNS-Proxy-Murks".

...der immerhin zum Ziel führt, im Gegensatz zu Maßnahmen wie

Code: Alles auswählen

Setup > TCP-IP > DNS-Default
Setup > TCP-IP > DNS-Backup

Setup > WAN > IP-Liste > DNS-Default
Setup > WAN > IP-Liste > DNS-Backup

bei einem Telekom-DSL-PPPoE-Zugang
oder Aktionen wie

Nach jeglichen Konfigurationsänderungen im DNS-Bereich muss das LANCOM-Gerät zwingend neugestartet werden!!

die überhaupt nicht nötig sind, da ein LANCOM-Router Einstellungen zur WAN-Verbindung absichtlich nachhält und daher eine Verbindungstrennung das einzig Nötige ist.

Viele Grüße,
Jirka

[Maurice]

Bei deaktivierten LANCOM-internen DNS-Proxy (DNS-Server) kann der vom LANCOM-internen DNS-Client zu verwendende DNS-Server/DNS-Forwarder unter:

Code: Alles auswählen

Setup > TCP-IP > DNS-Default
Setup > TCP-IP > DNS-Backup

Setup > WAN > IP-Liste > DNS-Default
Setup > WAN > IP-Liste > DNS-Backup

[...] konfiguriert werden.

Ersteres habe ich konfiguriert, siehe mein Ursprungsposting (allerdings mit LANconfig, daher sind die Bezeichnungen anders).
Für die WAN-Interfaces habe ich keine DNS-Server konfiguriert. Das ist wohl nur sinnvoll, wenn man WAN-seitige DNS-Server verwenden möchte, aber nicht die ggfs. automatisch zugewiesenen?
Laut Doku werden die "global" konfigurierten DNS-Server (Setup > TCP-IP > DNS...) gegenüber den WAN-seitigen bevorzugt.

Aber zu Zeiten von LCOS 8.60 funktionierte diese oben genannte Konfiguration nicht:
https://www2.lancom.de/kb.nsf/1275/CE9F ... E6002EF531

Deshalb verwenden wohl heute noch alle "LANCOM-Profis" den von Jirka beschriebenen "DNS-Proxy-Murks".

Das ist ja wirklich ganz übler Murks als Workaround für einen Bug in einer alten LCOS-Version. Betrifft aktuelle Versionen hoffentlich nicht mehr? Hätte noch erwähnen sollen, dass wir die aktuelle 10.12.0147 verwenden.

Aber aus Sicherheitsgründen sollte der LANCOM-interne DNS-Proxy abgeschaltet werden, wenn er nicht verwendet wird.

Sehe ich genauso. Für DNS betreiben wir Resolver mit Active-Directory-Integration, da soll sich der Router raushalten.

Konfiguration -> IPv4 -> DNS -> 'DNS-Server aktiviert' ohne Haken (=deaktiviert).

Richtig, so ist es konfiguriert.

Wie gesagt, es funktioniert jetzt.
Wenn der Lancom sowohl IPv4- als auch IPv6-DNS-Server "kennt", so favorisiert er offensichtlich IPv6. Soweit logisch und sinnvoll. Allerdings scheint er dann die vom ISP per DHCPv6 zugewiesenen zu verwenden und nicht die in den Parametern des IPv6-Intranet-Interface konfigurierten. Meiner Ansicht nach falsch bzw. im Widerspruch zur Doku (soweit existent).
Eine "globale" Konfiguration der DNS-Server (wie bei IPv4) scheint es bei IPv6 nicht zu geben, nur eine Interface-spezifische. Wenn man nun die internen DNS-Server einfach in den Parametern des IPv6-WAN-Interface einträgt funktioniert es. Im LCOS-Menübaum unter:

Code: Alles auswählen

Setup > IPv6 > Netzwerk > Parameter

Auch eher ein Workaround, aber einer mit dem ich leben kann. Und bis das gefixt ist (oder einfach als "muss so" deklariert wird)...

[backslash]

Hi Maurice,

Wenn der Lancom sowohl IPv4- als auch IPv6-DNS-Server "kennt", so favorisiert er offensichtlich IPv6. Soweit logisch und sinnvoll. Allerdings scheint er dann die vom ISP per DHCPv6 zugewiesenen zu verwenden und nicht die in den Parametern des IPv6-Intranet-Interface konfigurierten. Meiner Ansicht nach falsch bzw. im Widerspruch zur Doku (soweit existent).

das ist weder falsch noch ein Widerspruch zur Doku... Wenn keine explizite Weiterleitung konfiguriert ist, dann nimmt das LANCOM die DNS-Server die dem Interface zugewiesen wurden, auf das die Default-Route zeigt - und dei wird i.A. nicht ins INTRANET zeigen...

Zur gesamten Diskussion, wo welche DNS-Server konfiguriert werden:

Code: Alles auswählen

Setup > WAN > IP-Liste > DNS-Default
Setup > WAN > IP-Liste > DNS-Backup

wird genutzt, wenn der Provider dem Interface keinen DNS-Server zuweist

Code: Alles auswählen

Setup > TCP-IP > DNS-Default
Setup > TCP-IP > DNS-Backup

hier wird mitnichten der DNS-Server eingetragen, den das LANCOM als Client nutzen soll. Hier wird eingetragen, welche DNS-Server das LANCOM einem RAS-Client zuweist, wenn es keinen Override in der WAN-Tag-Tabelle (/Setup/IP-Router/Tag-Table) für die Gegenstelle gibt. Der Client verwendet die Adressen nur dann als Fallback, wenn es keine Weiterleitung und keinen zugewiesenen DNS-Server auf dem Interface der Defaultroute gibt.

Code: Alles auswählen

Setup > DHCP > Netzliste > DNS-Default
Setup > DHCP > Netzliste > DNS-Backup

Diese Adressen werden DHCP-Clients auf dem jeweiligen LAN-Interface zugewiesen.

Gruß
Backslash

[Maurice]

Hi backslash,

Wenn keine explizite Weiterleitung konfiguriert ist, dann nimmt das LANCOM die DNS-Server die dem Interface zugewiesen wurden, auf das die Default-Route zeigt

Danke, das klingt plausibel. Die Info habe ich gesucht, aber beim besten Willen nicht in der Doku gefunden. Hast Du mir da einen Link?
Für IPv6 habe ich es dann wohl richtig konfiguriert (in den Parametern des IPv6-WAN-Interface).
Die IPv4-Default-Route zeigt auf den Load Balancer. Der ist ja in diesem Sinne kein Interface, dem man DNS-Server zuweisen könnte, oder? Muss ich dann unsere internen DNS-Server allen IPv4-WAN-Interfaces zuweisen, die vom Load Balancer verwendet werden?

Code: Alles auswählen

Setup > WAN > IP-Liste > DNS-Default
Setup > WAN > IP-Liste > DNS-Backup

wird genutzt, wenn der Provider dem Interface keinen DNS-Server zuweist

... bzw. als Override, falls die automatisch zugewiesenen nicht genutzt werden sollen, richtig?

Code: Alles auswählen

Setup > TCP-IP > DNS-Default
Setup > TCP-IP > DNS-Backup

hier wird mitnichten der DNS-Server eingetragen, den das LANCOM als Client nutzen soll. Hier wird eingetragen, welche DNS-Server das LANCOM einem RAS-Client zuweist, wenn es keinen Override in der WAN-Tag-Tabelle (/Setup/IP-Router/Tag-Table) für die Gegenstelle gibt. Der Client verwendet die Adressen nur dann als Fallback, wenn es keine Weiterleitung und keinen zugewiesenen DNS-Server auf dem Interface der Defaultroute gibt.

Zumindest der DNS-Forwarder verwendet laut Doku explizit diese Adressen:

https://www.lancom-systems.de/docs/LCOS ... 81487.html
Der Router sucht zunächst in seinen eigenen Einstellungen, ob ein DNS-Server eingetragen ist. Wird er dort fündig, holt er die gewünschte Information von diesem Server. Bis zu zwei übergeordnete DNS-Server können angegeben werden. [Gemeint ist die Einstellung Setup > TCP-IP > DNS...]
Gibt es keinen eingetragenen DNS-Server im Router, versucht er auf einer evtl. bestehenden PPP-Verbindung (z.  B. zum Internet-Provider) einen DNS-Server zu erreichen, und holt die Zuordnung der IP-Adresse zum Namen von dort. Das gelingt natürlich nur dann, wenn während der PPP-Verhandlung die Adresse eines DNS-Servers an den Router übermittelt worden ist.

Zum DNS-Client habe ich nichts gefunden. Meine Schlussfolgerung war einfach, dass der sich genauso verhält.

Gruß

Maurice

[GrandDixence]

Ja, die offizielle LANCOM-Dokumentation zum LCOS-Betriebssystem (LCOS-Referenzhandbuch + LCOS-Menüreferenz) lässt in diesem Bereich schon zu wünschen übrig.

[Maurice]

Moin!

Sorry, ich muss das Thema nochmal ausgraben. Mit diesem Setup hat es vermeintlich längere Zeit funktioniert:

• 1781VA (LCOS 10.30), Dual-WAN (beide Telekom PPPoE), IPv6-Default-Route über WAN1, IPv4-Default-Route über den Load-Balancer.
• DNS-Server und DNS-Weiterleitung sind deaktiviert.
• Wir haben eigene DNS-Server im Intranet stehen:
  • Deren IPv6-Adressen sind eingetragen unter Setup > IPv6 > Netzwerk > Parameter (bei beiden WAN-Interfaces).
  • Deren IPv4-Adressen sind eingetragen unter Setup > TCP-IP > DNS-Default / DNS-Backup. (Backslash sagte ja sinngemäß, dass der DNS-Client diese Server nur verwendet, falls vom ISP keine zugewiesen wurden. Die Doku behauptet das Gegenteil. Backslash scheint recht zu behalten.)

Neulich hatten wir einen längeren Ausfall von WAN1 und prompt konnte der Router keine internen Hostnamen mehr auflösen. Was richtig schlecht war, da er dadurch unseren RADIUS-Server nicht mehr erreichen konnte.

Analyse: Durch den Ausfall von WAN1 werden die für dieses Interface konfigurierten IPv6-DNS-Server ignoriert. Obwohl diese im Intranet stehen, für den Router also erreichbar bleiben (IPv6-Präfix und -Adresse der Intranet-Schnittstelle sind statisch konfiguriert). Auch die für WAN2 konfigurierten IPv6-DNS-Server werden ignoriert. Auch die global konfigurierten IPv4-DNS-Server werden ignoriert (s. o.). Stattdessen werden wohl die auf WAN2 dynamisch gelernten Telekom-DNS-Server verwendet, die unsere internen Hostnamen natürlich nicht auflösen können.

Daher nochmal meine Frage an die Experten: Der Router soll unter gar keinen Umständen vom ISP gelernte DNS-Server befragen, sondern immer unsere internen. Diese sind hochredundant, es gibt daher keinen Grund für ein Fallback auf externe Server. Wie lässt sich das zuverlässig erreichen? Und zum Debugging: Wie finde ich heraus, welchen Server der DNS-Client aktuell tatsächlich verwendet?

Grüße

Maurice

[Koppelfeld]

Wozu benötigt der Lancom überhaupt DNS?

Mir fallen da höchstens NTP und VPN - Gegenstelle ein.

Du kannst Dich nicht dafür erwärmen, den eingebauten DNS-Server zu nutzen? Als Proxy?

Da kannst Du Anfragen sogar mit einem Tag versehen.

Ja, schön geht anders - aber einen MS-AD - Server mit dem nackten Hintern ins Internet zu hängen ist auch nicht das, was das Herz eines Ästheten höherschlagen läßt...

[backslash]

Hi Maurice,

Der Router soll unter gar keinen Umständen vom ISP gelernte DNS-Server befragen, sondern immer unsere internen. Diese sind hochredundant, es gibt daher keinen Grund für ein Fallback auf externe Server. Wie lässt sich das zuverlässig erreichen

Ganz einfach: richte eine Weiterleitung für "*" an deine DNS-Server ein...
Noch einfacher: Weise deinen PCs statt des LANCOMs direkt deine DNS-Server zu...

Gruß
Backslash

[Koppelfeld]

Der letzte Vorschlag würde nicht greifen.

Eine Zeitlang konnte man den Mickysoft-Mist gar nicht routen,
später reichte ein A-Record im DNS, damit ein PC seinen DC finden konnte, heute steht da ganz viel Voodoo drin.
Man braucht also schon einen MS-DNS - Server.

Neulich habe ich sinngemäß von einem "MVP" gehört:
- In einem "Domännennetzwerk" wird v6 gesprochen, ob man will oder nicht
- es muß auch MS-DHCP sein, Zitat wörtlich, "denn nur so kann sich der Client im AD-DNS registrieren".
- Wenn die DHCP - Dieste "genutzt" werden, dann sint "Client CAL"s fällig
- Trotzdem "ziehen manchmal die GPOs nicht"
Wir haben Tränen gelacht, ein Kollege schrie laut "Vooodooo" und ein ganzer Haufen "Junge Union" - Wähler mit Polyesterkrawatten ermahnte uns böse, still zu sein, man wolle ja etwas lernen.

Haben wir auch: Wer ernsthaft Einzelbüchsen über mehrere Standorte mit "AD" verwaltet, der ist kein Idiot, sondern ein krimineller idiot.

Schlußendlich muß auch der Lancom selbst u.U. auf interne Rechner zugreifen - in solchen Fällen ist der Würgaround mit der Umleitung aber o.K..

[Maurice]

Wozu benötigt der Lancom überhaupt DNS?

Momentan für den NTP-Client und insbesondere den RADIUS-Forwarder. Die Kiste hat eine WLC-Option und macht die RADIUS-Weiterleitung für die APs. Kein DNS -> kein RADIUS -> kein WLAN.

Du kannst Dich nicht dafür erwärmen, den eingebauten DNS-Server zu nutzen? Als Proxy?

Ganz einfach: richte eine Weiterleitung für "*" an deine DNS-Server ein...

Das wäre der Workaround, den Jirka vorgeschlagen hatte. Möchte ich wirklich gerne vermeiden. Ich brauche keinen DNS-Forwarder im Router, soll ihn aber aktivieren, weil der DNS-Client sonst lustig Server würfelt? Würde ihm lieber das Würfeln abgewöhnen.

Noch einfacher: Weise deinen PCs statt des LANCOMs direkt deine DNS-Server zu...

Das tue ich schon immer. Das Missverständnis gab es weiter oben im Thread schon mal: Es geht nicht um die PCs, sondern ausschließlich um den DNS-Client im Router. Wenn der Router unseren NTP- oder RADIUS-Server kontaktieren möchte, so muss er ja zunächst eine DNS-Auflösung machen (ntp.intern.example.com / radius.intern.example.com). Das geht nicht über irgend einen Telekom-Server.

Grüße

Maurice