Lancom und Pi-hole DNS Server

[backslash]

Hi tom63,

1) das mit den netzen die 'sich nicht mehr sehen koennen' habe ich noch nicht ganz verstanden. aktuell habe ich (wie auf dem bild im oberen post zu sehen) 2 netze (intranet und guestnet) da intranet tag 0 und guestnet tag 1 hat kann ich von allen clients in intranet auf alles in guestnet zugreifen. das ist auch wunderbar so und soll so bleiben. kann ich dann also auf die von dir vorgeschlagene firewallregel verzichten oder habe ich dann ein (anderes) problem?

ohne genaue Beschreibung der Umgebung muß ich erstmal vom Allgemeinfall ausgehen und der lautet: jeder kann mit jedem... Wenn du bereits über Routing-Tags die Sichtbarkeit geregelt hast, dann ist das auch OK und du brauchst keine weiteren Regeln

2) wenn ich den PI-Hole in das 'guestnet' haenge geht alles wunderbar und alle clients in beiden netzen loesen dns ueber den pihole auf. leider haette ich den pihole aber lieber im 'intranet' nur dann funtioniert der internetzugriff fuer die clients vom guestnet nicht mehr. wie koennte man das loesen dass das klappt und dennoch der zugriff von clients im 'guestnet' auf das 'intranet' gesperrt bleibt?

Wenn du den pi-hole im Intranet stehen hast, überschreitet der Zugriff aus dem Gastnetz die Sichtbarkeitsgrenze... Daher mußt du die Weiterleitung aus dem Gatsnetz umtaggen. Dazu hängst du prinzipiell an die IP des Pi-Hole das Tag des Intranets in der Form <Weiterleitungsziel>@<Tag> an. Da das Interanet aber Tag 0 hat, und in der Firewall generell ein Tag 0 bedeutet, daß ein etwaig bereits gesetztes Tag nicht geändert wird, mußt du statt der 0 dort 65535 eintragen, die Weiterleitung zum Pi-Hole sieht demnach wie folgt aus:

Code: Alles auswählen

Domäne: ?*
Routing-Tag: 1
Gegenstelle: IP-des-Pi-Hole@65535

) wenn ich bei der dns umleitung im lancom mit komma getrennt eine fallback dns-server-ip (zb 8.8.8. angebe ist der pihole sofort wirkungslos und die clients verwenden direkt nur die google server (8.8.8.. also irgendwie muss man das mit dem(n) fallback dns servern anders machen?

Der Fallback-Server ist über die Default-Route erreichbar und muß deshalb nicht umgetaggt werden. Da der DNS-Forwarder den PI-Hole ohne umtaggen nicht erreichen kann, wird sofort der Fallback-Server gnommen. Die vollständige Weiterleitung sieht demnach so aus:

Code: Alles auswählen

Domäne: ?*
Routing-Tag: 1
Gegenstelle: IP-des-Pi-Hole@65535, IP-des-Fallback-DNS

Und um jetzt der kompletten Verwirrung entgegen zu wirken: Da Tag 0 hat zwei unterschiedliche Bedeutungen, jenachdem wo es betrachtet wird.

• Im LAN kennzeichnet das Tag 0 das Supervisor-Netz, das alle anderen Netze sieht
• In der statischen Routing-Tabelle kennzeichnet das Tag 0 die Route, die verwendet wird, wenn es keine dedizierte Route für das gewünschte Tag gibt - es ist somit sozusagen das "Default-Tag" (so wie es auch eine Default-Route gibt, die genommen wird, wenn sonst nichts matcht)

Gruß
Backslash

[tom63]

hallo backslash,

supercool - werde ich diese woche gleich einmal alles ausprobieren und danach bescheid geben ob ich es hinbekommen habe.

so - und jetzt mal was in eigener sache als seit 15 jahren winzig kleiner lancom kunde und hier im forum mitleser:
es ist wirklich unglaublich welcher mehrwert hier mit diesem forum fuer die kunden von lancom geschaffen wird. und ein (wenn nicht der) zentraler faktor ist 'backslash'. es ist wirklich unfassbar wie man all diese dinge aus dem kopf heraus wissen kann und derart gut anderen erklaert - insbesondere eben auch solchen wie mir die keinen wirklichen plan von der sache haben. und das mit einer eselsgeduld und seit vielen vielen jahren.

also - ein wirklich aufrichtiges dankeschoen wieder fuer diesen tipp und all die jahre davor!

nette gruesse vom ammersee
tom

[foxtrotlima26]

Hallo Tom,

Das hast du richtig auf den Punkt gebracht. Ich lese hier auch immer gerne mit und lerne immer wieder was dazu.
Auch von mir ein Dankeschön an alle die hier mitmachen und Probleme gemeinsam lösen.

Schönen Abend noch!

VG
Florian

[tom63]

Der Fallback-Server ist über die Default-Route erreichbar und muß deshalb nicht umgetaggt werden. Da der DNS-Forwarder den PI-Hole ohne umtaggen nicht erreichen kann, wird sofort der Fallback-Server gnommen. Die vollständige Weiterleitung sieht demnach so aus:

Code: Alles auswählen

Domäne: ?*
Routing-Tag: 1
Gegenstelle: IP-des-Pi-Hole@65535, IP-des-Fallback-DNS

Und um jetzt der kompletten Verwirrung entgegen zu wirken: Da Tag 0 hat zwei unterschiedliche Bedeutungen, jenachdem wo es betrachtet wird.

• Im LAN kennzeichnet das Tag 0 das Supervisor-Netz, das alle anderen Netze sieht
• In der statischen Routing-Tabelle kennzeichnet das Tag 0 die Route, die verwendet wird, wenn es keine dedizierte Route für das gewünschte Tag gibt - es ist somit sozusagen das "Default-Tag" (so wie es auch eine Default-Route gibt, die genommen wird, wenn sonst nichts matcht)

hallo backslash,

habe es jetzt nach deiner anleitung gemacht und es funktioniert perfekt! sobald ich dem pi-hole den stecker ziehe wird vom lancom der alternative dns verwendet und wenn der pi-hole wieder verfuegbar ist wird wieder ueber diesen aufgeloest. und dank deines magischen tipps mit 'e@65535' funktioniert das ganze jetzt sogar wenn der pi im netz mit tag 0 steht und der client aus dem netz mit tag 1 anfragt.

supergut + dankeschoen!!!

eine frage haette ich noch wobei die jetzt nicht fuer die funktion als solche notwendig ist:
da der pi-hole ja jetzt alle dns-anfragen direkt vom lancom bekommt sind in den statistiken/logs des pi-hole keine unterscheidungen mehr nach den einzelnen anfragenden clients mehr moeglich. dafuer gaebe es offenbar eine loesung:
https://discourse.pi-hole.net/t/how-do- ... server/245

2. Advertise Pi-hole’s IP address via dnsmasq in the router (if supported)
This method is very similar to method 1, but if your router has an advanced firmware (OpenWRT, DD-WRT, Tomato, etc.), you probably have more options available then what you would find on a stock router purchased from the store.

Rationale
If you have this capability, there are a few benefits:
Per-host tracking on Pi-hole
The ability to resolve hostnames on the LAN
Ad blocking/network monitoring provided by Pi-hole

Setup
On the router, use a custom dnsmasq config entry to advertise the IP of the Pi-hole box. Many firmwares have a section in their respective web GUIs listed under DHCP or DNS for this. The screenshot below was taken from DD-WRT and is only meant to be illustrative:
The syntax is: dhcp-option=6,IP_of_Pi-hole. This is simply doing what the method 1 above is obscuring (setting DHCP option 6 3.1k)

ist diese 'dnsmasq' methode auch auf dem lancom machbar?
wie gesagt es ist nicht noetig da der pi-hole auch so einwandfrei mit dem lancom funktioniert - nur eben die statistiken auf dem pi-hole waeren dann etwas aussagekraeftiger.

netter gruss
tom

edit: waere das vielleicht irgendwie/irgendwo unter diesen punkten zu erreichen???
- konfig->ipv4->dhcpv4->dhcp-netzwerke
- konfig->ipv4->dhcpv4->dhcp-optionen

edit2: also wenn ich es richtig verstehe muesste man eigentlich dem lancom sagen er soll einfach in den werten die er als dhcp-server an die clients weiter gibt nicht sich selbst als dns-server angeben sonden den pi-hole?

[GrandDixence]

Auf den LANCOM-Routern mit dem Betriebssystem LCOS läuft kein dnsmasq. Dnsmasq läuft aber gerne auf einem Raspberry Pi. Siehe:

fragen-zur-lancom-systems-routern-und-g ... ml#p102320

fragen-zur-lancom-systems-routern-und-g ... ml#p103913

für mehr Informationen zu dnsmasq und DNSSEC.

[tom63]

Auf den LANCOM-Routern mit dem Betriebssystem LCOS läuft kein dnsmasq. Dnsmasq läuft aber gerne auf einem Raspberry Pi. Siehe:

fragen-zur-lancom-systems-routern-und-g ... ml#p102320

fragen-zur-lancom-systems-routern-und-g ... ml#p103913

für mehr Informationen zu dnsmasq und DNSSEC.

hallo granddixence,

vielen dank fuer den hinweis! aber waere nicht mit eintraegen in die von mir genannten felder/tabellen etwas zu erreichen?

edit: waere das vielleicht irgendwie/irgendwo unter diesen punkten zu erreichen???
- konfig->ipv4->dhcpv4->dhcp-netzwerke
- konfig->ipv4->dhcpv4->dhcp-optionen

diese dinge wie einen eigenen router aus einem raspberrx pi basteln oder aehnliches liegen einfach deutlich ueber meinem vermoegen. und ich glaube wenn man als ahnungsloser da zu sehr an allem rumbastelt steht man am ende mit der denkbar unsichersten loesung da. deswegen hatten wir uns als kleine firma eben fuer die lancoms entschieden weil da von profis etwas gebaut wird was auch laien ein gutes sicherheitsniveau bringt und trotzdem grosse flexibilitaet hat.

netter gruss
tom

edit: aber trotzdem werde ich mir natuerlich deine beiden links genau durchlesen!

[backslash]

Hi tom63,

edit: waere das vielleicht irgendwie/irgendwo unter diesen punkten zu erreichen???
- konfig->ipv4->dhcpv4->dhcp-netzwerke

ja, da kannst du den Pi-Hole und auch den Provider-DNS-Server als ersten und zweiten DNS-Server eintragen.
Dann brauchst du aber in der Firewall-Eine Regel, die die DNS-Anfragen aus dem Gastnetz umtaggt:

Code: Alles auswählen

Name:        ALLOW-DNS-PI-HOLE
Routing-Tag: 65535
Quelle:      alle Stationen im lokalen Netz "GASTNETZ"
Ziel:        IP des PI-Hole
Dienste:     DNS

Auch hier muß du die Besonderheit des Tag 0 in der Firewall beachten und statdessen 65535 in der Regel verwenden,

Bei der Methode kannst du dir aber nicht mehr sicher sein, daß der Provider-DNS nur genutzt wird, wenn der PI-Hole nicht erreichbar ist.

Gruß
Backslash

[tom63]

ja, da kannst du den Pi-Hole und auch den Provider-DNS-Server als ersten und zweiten DNS-Server eintragen.

hallo backslash,

wie du auf dem einen screenshot siehst habe ich sowohl bei intranet als auch guestnet nur die bereiche von x.x.x.100 - x.x.x.149 als adressen angegeben. die meisten rechner in beiden netzten bekommen ihre ip aus der bootp per dhcp fest zugewiesen oder fuer vpn-verbindungen oder einwahlverbindungen. die angabe des dns hier wirkt sich dann trotzdem auf den ganzen bereich von x.x.x.1 - x.x.x.254 aus?

Dann brauchst du aber in der Firewall-Eine Regel, die die DNS-Anfragen aus dem Gastnetz umtaggt:
Auch hier muß du die Besonderheit des Tag 0 in der Firewall beachten und statdessen 65535 in der Regel verwenden

Code: Alles auswählen

Name:        ALLOW-DNS-PI-HOLE
Routing-Tag: 65535
Quelle:      alle Stationen im lokalen Netz "GASTNETZ"
Ziel:        IP des PI-Hole
Dienste:     DNS

waere das der richtige ort um die firewall-regel zu hinterlegen - siehe screenshot? da sind aber viel mehr parameter anzugeben und so etwas wie 'alle Stationen im lokalen Netz "GASTNETZ" zeigt keines der dropdowns???

Bei der Methode kannst du dir aber nicht mehr sicher sein, daß der Provider-DNS nur genutzt wird, wenn der PI-Hole nicht erreichbar ist.

wieso ist die anfrage zum pi-hole dann nicht mehr zuverlaessig - das wuerde das alles dann ja irgendwie obsolet machen???
und wenn - waere ein moeglicher workaround den pi-hole als ersten und zweiten dns anzugeben (vermutlich mit dem nachteil dass bei ausfall des pi-hole dann erst mal schicht im schacht waer)?

edit: ich koennte ja auch zusaetzlich noch die von dir empfohlenen weiterleitungen (siehe screenshot) drinnen lassen? nach dem motto - sicher is sicher hat der bauer gesagt und den berg rauf gebremst ...

edit 2: unsere im lancom eingestellte interne domain heisst 'intern'. sobald ich diese loesung hier verwende geht der ping z.b. auf 'RaspPiHole.intern' nicht mehr. aber 'ping RaspPiHole' und 'ping RaspPiHole.local' geht immer noch? sollte ich dann auch im lancom die interne domain wieder auf 'local' setzen? ich hatte das mal auf 'intern' geandert weil es hier im forum hiess 'intern' waere besser als 'local' das sich mit bonjour beissen koennte ...

wie stets ahnungslose aber nette gruesse aus bayern
tom

[backslash]

Hi tom63,

die angabe des dns hier wirkt sich dann trotzdem auf den ganzen bereich von x.x.x.1 - x.x.x.254 aus?

Die wirkt sich natürlich nur auf die Rechner aus, die DHCP machen...

RAS-Einwahlen werden die unter IPv4 -> Adressen -> Nameserver-Adressen eingetragenen Server zugewiesen (oder halt das LANCOM, wenn da nichts drin steht)
Außerdem kannst du RAS-Verbindungen über die WAN-Tag-Tabelle (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle) den Adress-Pool sowie die DNS-Server individuell zugewiesen. Wenn deine RAS-Einwahlen gemeinsakeiten im Namen haben, kannst du dort auch Wildcards verwenden (zB.: VPN_XXX, VPN_YYY, ... => VPN_*)

waere das der richtige ort um die firewall-regel zu hinterlegen - siehe screenshot? da sind aber viel mehr parameter anzugeben und so etwas wie 'alle Stationen im lokalen Netz "GASTNETZ" zeigt keines der dropdowns???

in der WEBcomnfig: ja, meine Bescheribung bezug sich auf LANconfig, das ist nämlich etwas benutzterfreundlicher. Aber wenn du unbedingt die WEBconfig benutzen willst, dann werden "alle Stationen im lokalen Netz" mit %L markiert, in deinem Fall also %LGASTNETZ (die ganzen Kürzel sollten eigentlich im Handbuch erklärt werden)

wieso ist die anfrage zum pi-hole dann nicht mehr zuverlaessig - das wuerde das alles dann ja irgendwie obsolet machen???

weil es dem jeweiligen Betriebssystem überlassen ist, in welcher Reihenfolge es die zugewiesenen DNS-Server abfragt (Windows z.B. fragt so weit ich weiss, einfach beide glecihzeitig). Damit wird Wirksamkeit des Pi-Hole als Adblocker natürlich untergraben...

ich koennte ja auch zusaetzlich noch die von dir empfohlenen weiterleitungen (siehe screenshot) drinnen lassen? nach dem motto - sicher is sicher hat der bauer gesagt und den berg rauf gebremst ...

ja, was denn nun... entweder das LANCOM ist der DNS-Server für deine Rechner und kann dann gezielt die Weiterleitungen machen oder aber du weist den Rechnern direkt den Pi-Hole und den Provider-DNS zu - dann ist das LANCOM aber aussen vor und hat keinen Einfluß mehr darauf, welcher DNS-Sever befragt wird.

unsere im lancom eingestellte interne domain heisst 'intern'. sobald ich diese loesung hier verwende geht der ping z.b. auf 'RaspPiHole.intern' nicht mehr

wenn der PI-Hole DNS-Server ist, dann mußt du ihm auch sagen, wie seine neigenen Domain ist - ansonstren kann er diese nicht auflösen. Dazu mußt du aber die Anleitung zum Pi-Hole lesen.

aber 'ping RaspPiHole' und 'ping RaspPiHole.local' geht immer noch?

vermutlich weil du dem der PI-Hole seine eigene Domain nicht gesetzt hast. ".local" sollte er eigentlich nicht auflösen - es sei denn er hat irgendwo Multicast-DNS (mDNS) aktiviert. Aber auch da gilt: das die PI-Hole-Doku ist dein Freund...

sollte ich dann auch im lancom die interne domain wieder auf 'local' setzen?

nein, auf gar keinen Fall! ".local" ist für mDNS reserviert.

BTW: wenn du den Rechnern Pi-Hole und Provider-DNS direkt zuweist, dann ist es prinzipiell sogar mölglich, daß der Name des Pi-Hole gar nicht aufgelöst werden kann - jenachdem wie der jeweilige Rechner die zugewiesenen DNS-Server nutzt. Aber wie heißt es so schön: man kann nicht alles haben

Ich würde dir also raten: Nutze einfach das LANCOM als DNS-Server mit Weiterleitungen - das hast du auch kein DSGVO-Problem, weil der Pi-Hole ja nur die IP des LANCOMs sieht.

Gruß
Backslash

[tom63]

Hi tom63,

die angabe des dns hier wirkt sich dann trotzdem auf den ganzen bereich von x.x.x.1 - x.x.x.254 aus?

Die wirkt sich natürlich nur auf die Rechner aus, die DHCP machen...

RAS-Einwahlen werden die unter IPv4 -> Adressen -> Nameserver-Adressen eingetragenen Server zugewiesen (oder halt das LANCOM, wenn da nichts drin steht)
Außerdem kannst du RAS-Verbindungen über die WAN-Tag-Tabelle (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle) den Adress-Pool sowie die DNS-Server individuell zugewiesen. Wenn deine RAS-Einwahlen gemeinsakeiten im Namen haben, kannst du dort auch Wildcards verwenden (zB.: VPN_XXX, VPN_YYY, ... => VPN_*)

aber die in bootp fest zugewiesenen adressen/stationen fallen auch unter dhcp und es funktioniert fuer diese?

waere das der richtige ort um die firewall-regel zu hinterlegen - siehe screenshot? da sind aber viel mehr parameter anzugeben und so etwas wie 'alle Stationen im lokalen Netz "GASTNETZ" zeigt keines der dropdowns???

in der WEBcomnfig: ja, meine Bescheribung bezug sich auf LANconfig, das ist nämlich etwas benutzterfreundlicher. Aber wenn du unbedingt die WEBconfig benutzen willst, dann werden "alle Stationen im lokalen Netz" mit %L markiert, in deinem Fall also %LGASTNETZ (die ganzen Kürzel sollten eigentlich im Handbuch erklärt werden)

ist das jetzt alles so richtig - siehe screenshots?
und muss die regel in eine bestimmte reihenfolge unter den anderen regeln - und kann man die reihenfolge ueberhaupt festlegen?

netter gruss
tom

[backslash]

Hi tom63,

aber die in bootp fest zugewiesenen adressen/stationen fallen auch unter dhcp und es funktioniert fuer diese?

ja, BOOTP ist Teil von DHCP...

ist das jetzt alles so richtig - siehe screenshots?

ja,

und muss die regel in eine bestimmte reihenfolge unter den anderen regeln

Das LANCOM sortiert die Regeln automatisch, so daß i.A. keine manuelle Sortierung nötig ist.

und kann man die reihenfolge ueberhaupt festlegen?

ja, über die Priorität. Je höher die ist, um so höher steht die Rgeel - aber wenn du schon fragst, kann dein Regelsatz nicht allzu kompliziert sein und du kannst die auf die automatische Sortierung verlassen.

Gruß
Backslash

[tom63]

Hi tom63,

aber die in bootp fest zugewiesenen adressen/stationen fallen auch unter dhcp und es funktioniert fuer diese?

ja, BOOTP ist Teil von DHCP...

ist das jetzt alles so richtig - siehe screenshots?

ja,

und muss die regel in eine bestimmte reihenfolge unter den anderen regeln

Das LANCOM sortiert die Regeln automatisch, so daß i.A. keine manuelle Sortierung nötig ist.

hallo backslash,

ja - super dann funktioniert ja jetzt alles - und ich habe sogar zwei wege von dir gezeigt bekommen (weiterleitung und ueber dhcp)!

dass ich fast immer das webinterface benutze liegt daran dass wir ausschliesslich macs haben. auf ein paar von denen laeuft zwar nativ windows (wegen solidworks) aber auf meinen persoenlichen dingern (mac macbook ipad iphone) eben macos oder ios. habe auf den macs auch vmware mit ubuntu und win7/10 aber irgendwie ist es einfach (zumindest vermeintlich zuerst) schneller auf das webinterface zu gehen als lanconfig in der vm anzuwerfen. vielleicht ein fehler aber irgendwie ist man halt auch so daran gewoehnt dass heute fast alles ueber webinterfaces gesteuert wird?!

also noch einmal ganz ganz herzlichen dank fuer die nette ausfuehrliche und superkompetente hilfe!
hoffe ich habe dir nicht zu sehr ein loch in den bauch gefragt ...

schoenes wochenende + nette gruesse vom ammersee
tom

p.s. und auch vielen dank fuer den neben all der technik sinnvollen hinweis auf die dsgvo

[van Grunz]

2) wenn ich den pi-hole in das 'guestnet' haenge, geht alles wunderbar und alle clients in beiden netzen loesen dns ueber den pihole auf. leider haette ich den pihole aber lieber im 'intranet', nur dann funtioniert der internetzugriff fuer die clients vom guestnet nicht mehr. wie koennte man das loesen, dass das klappt und dennoch der zugriff von clients im 'guestnet' auf das 'intranet' gesperrt bleibt?

Hast Du, wie von backslash angeleitet, zwei Regeln erstellt? Pro Routing-Tag eine?

Hast Du auch für beide Netze getrennte Routing-Tags erstellt? Ich hege den Verdacht, daß das nicht der Fall ist.

3) wenn ich bei der dns umleitung im lancom mit komma getrennt eine fallback dns-server-ip (zb 8.8.8. angebe ist der pihole sofort wirkungslos und die clients verwenden direkt nur die google server (8.8.8.. also irgendwie muss man das mit dem(n) fallback dns servern anders machen?

Der Google-DNS-Server muß die zweite IP sein, die IP des Pi-Hole die erste: "<PiHole>, 8.8.8.8"

Normalerweise sollte die Fallback-DNS erst dann genutzt werden, wenn die primäre nicht erreichbar ist. Gut möglich, daß bei Deiner Konfig etwas schief gelaufen ist, wodurch der Pi-Hole nicht mehr erreichbar ist. Wie schon vermutet, könnte das mit dem Routing-Tag zusammen hängen.

Kann der Pi-Hole auch Routing-Tags? Wenn ja (er läuft IMHO auf Linux-Basis, also sollte er das können...), dann aktiviere beide Routing-Tags im Pi-Hole genau so, wie sie im LANCOM vergeben sind. Immerhin müssen die Netzwerke zusammen arbeiten.

[tom63]

hallo van grunz,

vielen dank fuer deine antworten aber es laeuft dank der erklaerungen von backslash laengst alles wunderbar.
und - nein - man darf eben dann nicht zwei verschiedene dns angeben sondern beide male den pi.
hier ist alles von backslash ausgefuehrt:
fragen-zur-lancom-systems-routern-und-g ... ml#p104443

netter gruss
tom

[overcast37]

Und um jetzt der kompletten Verwirrung entgegen zu wirken: Da Tag 0 hat zwei unterschiedliche Bedeutungen, jenachdem wo es betrachtet wird.

• Im LAN kennzeichnet das Tag 0 das Supervisor-Netz, das alle anderen Netze sieht
• In der statischen Routing-Tabelle kennzeichnet das Tag 0 die Route, die verwendet wird, wenn es keine dedizierte Route für das gewünschte Tag gibt - es ist somit sozusagen das "Default-Tag" (so wie es auch eine Default-Route gibt, die genommen wird, wenn sonst nichts matcht)

Gruß
Backslash

Hallo @backslash,
sehe ich das richtig, dass wenn ich mehrere Netze habe, abgegrenzt durch Tags, ich die Weiterleitung für den DNS mit Tag 0 für alle Netze/Tags geregelt habe (ich muss also nicht für jedes Netz/Tag eine eigene Weiterleitung einrichten [es sollen alle Netze über den DNS laufen])