Lancom DNS - Verständnisfrage

[Avalanche]

Hallo,

ich versuche gerade zu verstehen, wie DNS im 1781er funtioniert:

Wird unter IPv4 > Adressen als erster und zweiter DNS-Server 0.0.0.0 angegeben, wird der bei der Einwahl vom Provider per DHCP zugewiesene DNS Server verwendet. Ist das korrekt? Wo kann ich einsehen, welche IPs tatsächlich bei der Einwahl zugewiesen wurden?


Wann kommen DNS-Weiterleitungen zu tragen? Angenommen, ich richte folgende Weiterleitung ein:
*.domain.de => <interner über das VPN erreichbarer DNS-Server (z.B. 192.168.2.1)>

Kann dann die VPN-Verbindung zu vpn.domain.de noch aufgebaut werden oder wird dies immer scheitern, weil <interner über das VPN erreichbarer DNS-Server> nicht erreicht werden kann und so für den Namen keine IP aufgelöst werden kann? Gibt es einen anderen Weg das Problem zu lösen als z.B. vpn.anderedomain.de als Gateway für die VPN Verbindung zu verwenden?


Schließt *.domain.de auch host.sub.domain.de mit ein oder muss dafür eine zweite Weiterleitung *.sub.domain.de eingerichtet werden?


Ist es möglich, dass auf der Kommandozeile automatisch der Domänenteil angehängt wird (dieser ist korrekt unter IPv4>DNS>Eigene Domäne eingetragen)?
Beispiel:
ping host2 => ping failed: Address resolution failed
ping host2.domain.de => erfolgreich

Vielen Dank!

[backslash]

Hi Avalanche

Wird unter IPv4 > Adressen als erster und zweiter DNS-Server 0.0.0.0 angegeben, wird der bei der Einwahl vom Provider per DHCP zugewiesene DNS Server verwendet. Ist das korrekt? Wo kann ich einsehen, welche IPs tatsächlich bei der Einwahl zugewiesen wurden?

Wenn der Internetzugang tatsächlich DHCP nutzt, dann kannst du auf der Konsole unter /Status/DHCP-Client/WAN-IP-List nachschauen, welchem Kanal welche IP-Adressen zugewisen wurden. Wenn die Verbindung PPP nutzt, dann findest du die Zuordnung unter /Status/PPP/Rx-Options/IPCP. Nun fehlt dir nur noch die Zuordnung zwischen Kanal und Gegenstelle (zumindest, wenn du mehr als einen Provider nutzt). Die kannst du unter /Status/Channel auflösen.

Oder du nutzt einfach den LANmonitor - der löst dir das korrekt zur jeweiligen Verbindung auf:

Wann kommen DNS-Weiterleitungen zu tragen? Angenommen, ich richte folgende Weiterleitung ein:
*.domain.de => <interner über das VPN erreichbarer DNS-Server (z.B. 192.168.2.1)>
Kann dann die VPN-Verbindung zu vpn.domain.de noch aufgebaut werden oder wird dies immer scheitern, weil <interner über das VPN erreichbarer DNS-Server> nicht erreicht werden kann und so für den Namen keine IP aufgelöst werden kann?

korrekt - du hast da ein Henne und Ei-Problem

Gibt es einen anderen Weg das Problem zu lösen als z.B. vpn.anderedomain.de als Gateway für die VPN Verbindung zu verwenden?

nun ja, die allgemein übliche... Das VPN-Gateway hat eine öffentliche IP, während die Hosts "hinter" dem VPN i.A. private IPs haben. Daher sollte das Gateway auch in einer anderen Domain stehen, als die anderen Hosts, z.b. vpn.anderedomain.de für das Gateway und hostx.anderedomain.intern für die internen Hosts.

Oder wenn du partout die internen Hosts und das Gateway in der gleichen Domain haben willst, dann mußt du die DNS-Auflösung für das Gateway halt explizit auf die DNS-Server deines Providers weiterleiten, d.h.

vpn.anderedomain.de => INTERNET
*.anderedomain.de => VPN-Verbindung

Schließt *.domain.de auch host.sub.domain.de mit ein oder muss dafür eine zweite Weiterleitung *.sub.domain.de eingerichtet werden?

der Stern ist ein Platzhalter für beliebige Zeichen davor, d.h. auch Subdomains werden eingeschlossen

Ist es möglich, dass auf der Kommandozeile automatisch der Domänenteil angehängt wird (dieser ist korrekt unter IPv4>DNS>Eigene Domäne eingetragen)?
Beispiel:
ping host2 => ping failed: Address resolution failed
ping host2.domain.de => erfolgreich

bei Namen, die das LANCOM selbst auflösen kann - d.h. die es z.B. über DHCP oder NetBIOS gelernt hat - brauchst du keine Domain angeben. Bei allen anderen ist die Angabe der Domain zwingend nötig, damit das LANCOM weiss, wohin die Anfragen weitergeleitet werden sollen.

Gruß
Backslash

[Avalanche]

Hi,

zuerst einmal vielen Dank für die Antwort!

Oder wenn du partout die internen Hosts und das Gateway in der gleichen Domain haben willst, dann mußt du die DNS-Auflösung für das Gateway halt explizit auf die DNS-Server deines Providers weiterleiten, d.h.

vpn.anderedomain.de => INTERNET
*.anderedomain.de => VPN-Verbindung

Verstehe ich das richtig, dass ich nicht nur ganze Zonen weiterleiten kann, sondern auch einzelne Hosts? Das ist ja ziemlich praktisch (wenn einzelne Hosts höhere Priorität haben als die Weiterleitung ganzer Zonen). Sind auch solche Dinge möglich? srv*host.domain.de (also * als richtiger Platzhalter). Was wäre denn, wenn *.domain.de auf zwei verschiedene DNS-Server weiterleite?

P.S:
Ich denke, es würde vielen Nutzern helfen, die Infos aus diesem Thread auch auf http://www2.lancom.de/kb.nsf/1275/61196 ... enDocument unter zu bringen. Dort ist leider nur der offensichtliche Fall erklärt. Selbst Reverse-Lookups fehlen dort.

[backslash]

Hi Avalanche

Verstehe ich das richtig, dass ich nicht nur ganze Zonen weiterleiten kann, sondern auch einzelne Hosts? Das ist ja ziemlich praktisch (wenn einzelne Hosts höhere Priorität haben als die Weiterleitung ganzer Zonen)

letztendlich wird jede DNS-Anfrage mit den Pattern in der Weiterleitungsliste verglichen. Die Liste ist so sortiert, daß das längste Pattern oben steht und somit auch als erstes verglichen wird. Somit sind Hosts automatisch höher priorisiert als die Zone in der sie liegen...

Sind auch solche Dinge möglich? srv*host.domain.de (also * als richtiger Platzhalter).

prinzipiell ja - nur könntest du damit u.U. Probleme mit der Sortierung bekommen...

Was wäre denn, wenn *.domain.de auf zwei verschiedene DNS-Server weiterleite?

Dann wird zunächst an den ersten DNS-Server weitergeleitet. Wenn die Anfrage wiederholt wird (d.h. der erste Server hat nicht geantwortet) wird der zweite aktiv. Ab dann werden alle weiteren Anfragen an den zweiten Server weitergeleitet. Nach ca. 5 Minuten wird dann wieder der erste Server genutzt. D.h. beide Server sollten synchron sein, da der Zweite nur als Backup für den Ersten dient.

P.S:
Ich denke, es würde vielen Nutzern helfen, die Infos aus diesem Thread auch auf http://www2.lancom.de/kb.nsf/1275/61196 ... enDocument unter zu bringen. Dort ist leider nur der offensichtliche Fall erklärt.

Die KB-Einträge werden vom Support erstellt, wenn sich Fragen häufen. Da hier "nur der offensichtliche Fall erklärt" ist, heißt das, daß es genügend Leute gibt, die bereits daran scheitern. Für diese wäre dann aber ein KB-Eintrag, der in die Tiefe geht, auch wieder zu viel...

Selbst Reverse-Lookups fehlen dort.

Reverse-Lookups sind auch etwas unschön... Das LANCOM befragt bei Reverse-Lookups die DNS-Server, die der Verbindung zugeordnet sind, über die die angefragte Adresse erreichbar ist. Soll ein anderer Server genutzt werden, mußt du den Reverse-Lookup explizit eintragen, z.B.

*.0.168.192.in-addr.arpa => DNS-Server der 192.168.0.x-Adressen auflösen kann
*.0.0.0.0.c.2.9.a.8.b.d.0.1.0.0.2.ip6.arpa => DNS-Server der 2001:db8:a92c::/64-Adressen auflösen kann

Gruß
Backslash

[Avalanche]

Vielen Dank für Deine ausführlichen Erklärungen.

[koehne]

Damit ich kein neues Thema eröffnen muss, schließe ich mir hier mit an.
Ich habe auch mehr oder weniger ein Verständnisproblem mit dem internen DNS Server vom Lancom.

Ich habe eine VPN Verbindung zu unserer Zentrale (beides Lancom-Router) eingerichtet. Das Pingen per IP klappt auch einwandfrei.

Jetzt möchte ich auch gerne die DNS Weiterleitung einrichten, scheitere aber daran.

Hier eine kurze Übersicht:

Zentrale:
DNS Server: 192.168.1.1 (Server mit W2008r2)
Gateway: 192.168.1.99 (Lancom Router)
Domainname: testdomain.local

Filiale:
DNS Server: 192.168.3.99 (Lancom Router)
Gateway: 192.168.3.99 (Lancom Router)
Domainname: interntest (das was im Lancom Router eingestellt ist)

Ich hatte schon getestet unter IPv4->DNS->Weiterleitungen
Domäne: *.testdomain.local
Tag: 0
Gegenstelle: VPN_Verbindung (alternativ 192.168.1.1)

Doch wenn ich z.B. "ping pc-1" oder ping "pc-1.testdomain.local" eingebe kommt keine Antwort.
Also leitet er die DNS Anfrage nicht richtig weiter.

Muss ich die Domain vom Filialenrouter einfach nur auf testdomain.local stellen!?

Könnte mir einer erklären was ich falsch mache?! Wäre wirklich nett von euch

[Avalanche]

Was sagen bei Dir

nslookup pc-1.testdomain.local 192.168.1.1

und

nslookup pc-1.testdomain.local 192.168.3.99
mit der Weiterleitung *.testdomain.local => 192.168.1.1

(von einem Client aus)? Wenn beide die gleiche IP liefern, dann sollte DNS richtig auflösen.

[Bernie137]

Hi,

Jetzt möchte ich auch gerne die DNS Weiterleitung einrichten, scheitere aber daran.

Hier eine kurze Übersicht:

Zentrale:
DNS Server: 192.168.1.1 (Server mit W2008r2)

Im Router der Außenstelle mit LANconfig -> Kommunikation -> Protokolle -> IP-Parameter -> Hinzufügen "Deine Gegenstelle Zentrale" und bei DNS die 192.168.1.1 angeben.

Viele Grüße
Heiko

[Avalanche]

Was genau bewirkt das? Sobald die Gegenstelle verfügbar ist, wird global für alle Anfragen der angegebene DNS verwendet?

[koehne]

Wenn beide die gleiche IP liefern, dann sollte DNS richtig auflösen.

nslookup pc-1.testdomain.local 192.168.1.1
Server: server1.testdomain.local
Address: 192.168.1.1

Name: pc-1.testdomain.local
Address: 192.168.1.106


nslookup pc-1.testdomain.local 192.168.3.99
Server: lancomroutername.interntest
Address: 192.168.3.99

Name: pc-1.testdomain.local
Address: 192.168.1.106

Und jetzt gehts auch plötzlich?! Na spinn ich!? Ich habe doch gar nichts geändert. Liegt das am nslookup?!

Im Router der Außenstelle mit LANconfig -> Kommunikation -> Protokolle -> IP-Parameter -> Hinzufügen "Deine Gegenstelle Zentrale" und bei DNS die 192.168.1.1 angeben.

Muss ich das jetzt trotzdem noch einstellen bzw. was bewirkt diese Einstellung?

[Bernie137]

Muss ich das jetzt trotzdem noch einstellen bzw. was bewirkt diese Einstellung?

Du wolltest eine Weiterleitung, das ist die Weiterleitung. Alle Clients, die den Router Filiale 192.168.3.99 befragen und er keine Auskunft geben kann, dann geht der Router weiter fragen an 192.168.1.1 in der Zentrale.

Viele Grüße
Heiko

[koehne]

Ich habe jetzt zum testen einen zweiten Rechner an den Router angeschlossen.
Gleiches Ergebnis wie am Anfang: Keine DNS Auflösung nach testdomain.local möglich!

Auch nachdem ich LANconfig -> Kommunikation -> Protokolle -> IP-Parameter -> Hinzufügen "Deine Gegenstelle Zentrale" und bei DNS die 192.168.1.1 angeben habe (Rest bleibt bei 0.0.0.0) funktioniert es nicht.

Nslookup habe ich jetzt noch nicht getestet, doch gehe ich davon aus, dass der Laptop danach wieder DNS auflösen kann. Spinnt der Router oder woran liegt das?!

[Bernie137]

Auch nachdem ich LANconfig -> Kommunikation -> Protokolle -> IP-Parameter -> Hinzufügen "Deine Gegenstelle Zentrale" und bei DNS die 192.168.1.1 angeben habe (Rest bleibt bei 0.0.0.0) funktioniert es nicht.

Kann der Router auch mit 192.168.1.1 kommunizieren über Port 53 (Firewall im Router!, Firewall Router Zentrale, Firewall am 2008R2!)?
Mit trace + DNS in der Router Console kannst Du das Verhalten weiter untersuchen. Außerdem muss LANconfig -> IPv4 -> DNS -> DNS Server aktivieren eingeschaltet sein, davon gehen wir alle einmal aus jetzt.

Viele Grüße
Heiko

EDIT: Außerdem muss man im 2008R2 DNS Server Dienst auch konfigurieren, dass ein "Domainfremder DNS" die DNS Zone abfragen darf (Rechtsklick auf die DNS Zone -> Nameserver).

[koehne]

Ja, der DNS Server ist aktiviert!

Wie genau kann ich testen ob der

So recht will das alles nicht klappen. Das Interesannteste ist: Wenn ich den Filialenrouter per Name (lancomroutername.interntest) per Tracert im Netzwerk suche, geht die Anfrage raus übers Internet (nicht durch den VPN Tunnel) und der Router wird auch gefunden.

Wenn ich im Windows 2008 Server den Filialenrouter als DNS Namensserver eintragen will kommt nach der Eingabe der IP 192.168.3.1 "unbekannter Fehler beim Überprüfen des Servers"

Das Trace + DNS ist doch nichts anderes als wenn ich über den LANMonitor einen Trace vom DNS erstellen lasse.

Wenn ich tracert 192.168.1.1 eingebe kommt folgendes:

1 .... lancomroutername.interntest [192.168.3.99]
2 .... 192.168.1.99
3 .... server1.interntest <-- warum ist dort die Domäne vom Filialenrouter und nicht die von der Zentrale?

Mit ipconfig /displaydns finde ich folgendes:

1.1.168.192.in-addr.arpa
----------------------------------------------------
Eintragungsname: 1.1.168.192.in-addr.arpa
Eintragungstyp: 12
Gültigkeitsdauert 85887
Datenlänge: 8
Abschnitt: Antwort
PTR Eintrag: server1.interntest

aber als

rr-fs-01
----------------------------------------------------
Eintragungsname: server1.testdomain.local
Eintragungstyp: 1
Gültigkeitsdauert 3600
Datenlänge: 4
Abschnitt: Antwort
(Host-)A-Eintrag: 192.168.1.1

Außerdem habe ich zwei Notebooks am Router hängen: NB-1 und NB-2.
Wenn ich jetzt allerdings von NB-1 nach NB-2 pinge, dann sucht er automatisch NB-2 in der Zentrale und nicht erst am Filialenrouter.
Kann man dem Router sagen, er soll erst bei sich schauen und dann erst in der Domäne?!
Oder sind die NB-1 und NB-2 Namen zwangsläufig mit der Domäne verbunden und der Filialenrouter kann NB-1 und NB-2 als Name nicht "übernehmen"?!

[Bernie137]

Moin,

Ja, der DNS Server ist aktiviert!

Das ist schon mal gut.

Wenn ich im Windows 2008 Server den Filialenrouter als DNS Namensserver eintragen will kommt nach der Eingabe der IP 192.168.3.1 "unbekannter Fehler beim Überprüfen des Servers"

Ich korrigiere mich, das ist nur notwendig bei DNS Zonen Übertragungen und das machen nur Server untereinander, nicht zum Router. Aber die Firewall vom 2008er solltest prüfen TCP eingehend/ausgehend an das Subnetz 192.168.3.x muss gehen!

Das Trace + DNS ist doch nichts anderes als wenn ich über den LANMonitor einen Trace vom DNS erstellen lasse.

Richtig und was für Meldungen kommen da?

Wenn ich tracert 192.168.1.1 eingebe kommt folgendes:

1 .... lancomroutername.interntest [192.168.3.99]
2 .... 192.168.1.99
3 .... server1.interntest <-- warum ist dort die Domäne vom Filialenrouter und nicht die von der Zentrale?

Fehlt da noch ein Eintrag bei LANconfig -> IPv4 -> DNS -> Weiterleitungen -> Hinzufügen " *.DeineWindowsDomain.local" an "Gegenstelle Zentrale" im Router der Filiale???

Viele Grüße
Heiko