Probleme mit encrypted DNS (iOS 14)

[frontend_dev]

Hallo,

ich habe hier einen lokalen Webserver (aka "meine-maschine") zu Entwicklungszwecken, der über den DNS Server meines 1783VAW erreicht wird. Also zB via "server1.meine-maschine", "server2.meine-maschine"

Allerdings funktioniert das nicht mit Geräten, die mit iOS 14 laufen (iOS 13 ist kein Problem), in dem Fall werden Anfragen zu "serverX.meine-maschine" einfach nicht mehr beantwortet. Ich vermute das liegt daran, dass iOS 14 encrypted DNS verwendet. Das scheint dazu zu führen, dass dann nur noch der externe DNS Server (hier: 1.1.1.1) befragt wird (weil dieser encrypted DNS kann, und der Lancom nicht?). Trage ich hingegen bei den DHCP Einstellungen nur den internen Lancom DNS Server ein (hier: 192.168.1.1) dann geht es wieder, aber dann dummerweise nicht mehr mit allen anderen Domains.

Wie kann ich das Problem nun lösen? Es scheint, ich darf in Zukunft nur noch den lokalen DNS Server eintragen, um iOS zu zwingen diesen auch zu nutzen. Aber wie schaffe ich es, dass ALLE DNS Anfragen, die eben nicht "meineMaschine" betreffen automatisch weiterhin die 1.1.1.1 verwenden? Oder wegen mir umgekehrt, also 1.1.1.1 als globaler DNS Eintrag, aber alle Anfragen nach "meine-maschine" werden vom internen DNS gehandelt (muss dann natürlich auch mit iOS 14 noch funktionieren)

Für jegliche Hilfe bin ich sehr dankbar, da ich so nicht mehr meine Testserver unter iOS nutzen kann.

[backslash]

Hi frontend_dev,

Aber wie schaffe ich es, dass ALLE DNS Anfragen, die eben nicht "meineMaschine" betreffen automatisch weiterhin die 1.1.1.1 verwenden?

eigentlich recht einfach: Du sagst deinem DNS-Server, daß er alles, was er nicht kennt an die 1.1.1.1 weiterleiten soll...

Gruß
Backslash

[frontend_dev]

... und wie mache ich das auf meinem 1783VAW?

[backslash]

Hi frontend_dev

... und wie mache ich das auf meinem 1783VAW?

In dem du unter IPv4 -> DNS-> Weiterleitungen eine Weiterleitung für "?*" an die 1.1.1.1 einrichtest... Normalerweise sollte das LANCOM unbekannte Domains aber eh über den DNS-Server des Providers auflösen und somit ist eine explitzite Weiterleitung nur nötig, wenn du den DNS-Server des Providers nicht benutzen willst.

Aber ich dachte, du willst einen eigenen DNS-Server verweden - dann mußt du die Weiterleitung auch auf diesem einrichten. Wie das geht kann ich dir nicht sagen, das sollte aber im Handbuch dieses DNS-Servers stehen

Gruß
Backlash

[frontend_dev]

Naja, also der Lancom IST der DNS Server Leider komme ich mit den Weiterleitungen nicht klar. Also wie ich es sehe kann ich NUR den Router als einzigen DNS Server eintragen. Sobald ich zB die "1.1.1.1" angebe nimmt iOS exklusiv diesen, ich nehme an weil der encrypted DNS kann (der Lancom aber nicht). Denkbar wäre nun, einfach alle (zuerst) nicht erkannten Domains dann zu "1.1.1.1" weiterzuleiten, aber schön ist das m.E. nicht?

Wie auch immer, wie mache ich das? Setze ich eine Weirerleitung wie von Dir beschrieben geht es nicht.

[backslash]

Hi frontend_dev

Wie auch immer, wie mache ich das? Setze ich eine Weirerleitung wie von Dir beschrieben geht es nicht.

Doch ganau so geht es und jnhicht anders... Unter IPv4 -> DNS -> Weiterleitungen einen Eintrag machen der "?*" an die 1.1.1.1 weiterleitet, und schin leitet das LANCOM alle Anfragen für Domains, die es nicht kennt an die 1.1.1.1 weiter

Ach ja: dem iOS mußt du natürlich den 1.1.1.1 als DNS-Server abgewöhnen

Gruß
Backslash

[frontend_dev]

Nein, leider geht das nicht, aber vllt. habe ich was übersehen.

Also, per DHCP bekommt der Client nur noch die IP des Lancoms, hier: 192.168.1.1

Und zusätzlich habe ich eine Weiterleitung festgelegt mit den von Dir genannten Parametern.

Mit dieser Config gehen zwar die lokalen Domain Auflösungen (wie unter "Stationen" eingetragen), aber eben nicht mehr externe.

Was mache ich falsch?

[backslash]

Hi frontend_dev

hast du ggf. eine "Deny-All" Regel in der Firewall? Falls ja, dann mußt du für weitergeleitete DNS-Anfragen eine Allow-Regel erstellen, die aber nicht den externen DNS-Server als Ziel hat, sondern das LANCOM

Code: Alles auswählen

Name:      ALLOW-DNS
Quelle:    alle Stationen im lokalen Netz
Ziel:      IP des LANCOMs
Dienste:   DNS

Ansonsten hilft nur noch der DNS-Trace weiter.

Gruß
Backslash

[frontend_dev]

backslash, Du bist meine Rettung!

Ja, es war tatsächlich die Firewall! Darauf wäre ich erstmal nicht gekommen ... natürlich war da DNS erlaubt, aber nicht für den Fall. Nachdem ich die entsprechende Regel hinzugefügt habe scheint es jetzt zu gehen. Vielen vielen Dank!