Ergebnis 1 bis 12 von 12

Thema: Zusammenspiel DHCP und DNS

  1. #1

    Zusammenspiel DHCP und DNS

    Heyho Leute,
    ist jemand da, der ein bisschen Erfahrung mit DNS und DHCP und deren zusammenspiel hat? Wenn alles klappt habe ich morgen einen neuen Server hier und mit dem soll auch mein komplettes Heimnetz neu gebaut werden.

    Kurze Erläuterung zu Relevanten Diensten:
    Ist ein einzelner Proxmox auf dem mehere VM und LXC Container laufen werden.
    Firewall wird per VM eine Sophos XG sein
    DNS wird von einem Pi-Hole und Bind9 übernommen in jeweils einem LXC Container

    Das komplette interne Netz wird ICANN konform mit einer FQDN (i.bongo.de) von mir realisiert (wer sich das ausgedacht hat anstatt eine .TLD für lokale Netze zu definieren...). Jetzt würde ich gerne auch wollen, dass die Rechnernamen einfach zu erreichen sind. Wenn jetzt also der Hostname "Palpatine" die IP-Adresse 192.168.0.20 bekommt möchte ich diesen Rechner über die FQDN Palpatine.i.bongo.de erreichen. Dies soll mit jedem Rechner passieren der es über DHCP bekommt.
    Hat da irgendjemand eine Idee ob das überhaupt realisierbar ist? Ich kenn das nur in der Windows Welt, wenn der AD Server auch gleichzeitig DHCP spielt. Da ich aber keinerlei Windows Server im meinem Netz haben möchte, wollte ich fragen ob es das auch in der Pinguin Welt gibt.

    Warum ich das mache? Weil ich es kann War ja schon immer experimentierfreudig und total Overkill was das Heimnetz angeht ... Aber es macht einfach unheimlich viel Spaß sowas zu lernen.
    Bananarama und Peanutbutterjellytime!

    Verteiler von leckeren Keksen!
    Und Nürnberg ist eine so sichere Stadt, da kann der Autoschlüssel stecken bleiben :D

  2. #2
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    7.450
    ngb:news Artikel
    18

    Re: Zusammenspiel DHCP und DNS

    Hm Overkill macht Spaß, aber manches ist auch unnötig komplex... Aber das ist auch zum Teil Ansichtssache.
    Ich finde Virtualisierung und Container sollte man nur dann einsetzen wenn technisch notwendig. Für Notwendigkeit sehe ich bei dir aktuell nicht wirklich. Außer evtl die Sophos als appliance.
    Komplexität führt meist zu mehr fehlen.

    Warum pihole + Bind9?

    Das Zusammenspiel geht nicht nur bei Microsoft und auf der gleichen Maschine.... Das geht auch bei Installation auf vielen Maschinen und wenn dns oder dhcp ein anderes Produkt sind. Es kommt nur auf das Vorhandensein einer Schnittstelle an

    Und das ist auch die Antwort auf deine Frage...
    Nur erwähnst du nicht was dhcp spielen soll. Der dhcp muss bei Zuteilung ein Script / einen Befehl ausführen können.
    Damit fügst du wenn nicht vorhanden. Einen neuen dns Eintrag hinzu oder aktualisiert die ip. Für Bind9 gibt es dafür Befehle und für pihole direkt soviel ich mich erinnere auch.
    Für diesen Beitrag bedankt sich Steev
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  3. #3

    Re: Zusammenspiel DHCP und DNS

    Ich tät mir das mit der XG überlegen. Auch wenn wir Platin Partner sind, ich ne HW-Appliance zuhause habe, ne SW-Appliance im RZ, Architekt-Zertifiziert bin kann sie nicht empfehlen. SG ja, XG nein. Grund: Bugs ohne Ende. Bei uns lagen komplette Firmennetze brach und nicht einmal Sophos konnte helfen, weil in die Verbindungstabellen falsche Einträge gesetzt wurden/werden.

    Ansonsten tät ich für zuhause halt AdGuard verwenden. Das wirkt irgendwie ausgereifter und nicht in der Zeit stehen geblieben. Du nimmst vmtl die Sophos als DHCP Server. Die Client Geräte nehmen die Sophos als DNS Server. Die Sophos verwendet dein pihole/AdGuard als DNS Server.

    Kurz noch zu Proxmox: Anbetracht der Veeam Community Editionen würde ich dir da eher zu HyperV raten, auch wenn du keinen MS Server wolltest. Den gibts umsonst und du kannst damit vernünftig sichern. Bei Proxmox ginge das zwar auch, aber nur BareMetal. Die eigene Sicherung von Proxmox konnte bis vor ca. einem Jahr keine inrementellen Sicherungen. Keine Ahnung ob das noch immer so ist. Würde ich aber nicht wollen.

    Wir schätzen die Menschen, die frisch und offen ihre Meinung sagen - vorausgesetzt, sie meinen dasselbe wie wir.
    Auf Picflash deine Bilder schnell und unkompliziert teilen. Anonym.

  4. #4
    Keks-Verteiler

    News-Redakteur

    (Threadstarter)

    Avatar von Localhorst
    Registriert seit
    Nov 2014
    Beiträge
    1.934
    ngb:news Artikel
    92

    Re: Zusammenspiel DHCP und DNS

    Heyho,
    sorry Feiertage haben das Board ein bisschen in den Hintergrund rücken lassen

    Tatsache hatte ich einen Tag die XG im Einsatz, jedoch wollte z. B. IPv6 gar nicht wie ich wollte. Nachdem 2 - 3 andere gewollte Funktionen auch nicht so liefen, bin ich zu pfSense gewechselt. Danke nochmal wegen dem Hinweis bzgl. HW applience, aber ich wollte endlich mal einen gescheiten Router haben und achtete dabei auch auf Stromberbrauch usw. Deshalb habe ich da zu diesem Mittel gegriffen. Und zu Proxmox: Jap, da geht immer noch nicht inkrementelle Sicherung, jedoch ist die die sie haben besser als keine

    Also DHCP spielt jetzt die pfSense, entsprechend war ich mir nicht ganz sicher, ob es so überhaupt möglich ist dem bind9 dass dann beizubringen. PiHole und Bind9 einfach aus dem Grund: PiHole für den Werbeblocker und Bind9 für einen internen DNS Server. Ich weis bei PiHole kann man auch inzwischen A und CNAME Records setzen, doch irgendwie ging das gar nicht gut bei der internen Domain Auflösung und hat mich teilweise doch in die Außenwelt geleitet.
    Bananarama und Peanutbutterjellytime!

    Verteiler von leckeren Keksen!
    Und Nürnberg ist eine so sichere Stadt, da kann der Autoschlüssel stecken bleiben :D

  5. #5
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    7.450
    ngb:news Artikel
    18

    Re: Zusammenspiel DHCP und DNS

    Aber wenn ich ein Problem mit einem Dienst habe - löst das Problem im Normalfall nicht noch ein Dienst?
    PiHole IST ja ein DNS-Server - wenn du nun einen 2. dazu schaltest musst du in jedem Fall deren Reihenfolge definieren und wer wann wen aufruft - was vor allem bei ipv6 dann echt interessant wird.

    pfsense kann wohl auch DNS-Anfragen weiterleiten und cachen. Die Frage ist wie viele DNS-Caches du im Netz passieren willst - wenn mal ein falscher Eintrag drin ist suchst du dich dumm und deppert.

    Davon abgesehen unterstützt pfsense DDNS https://docs.netgate.com/pfsense/en/...d-rfc2136.html
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  6. #6
    Keks-Verteiler

    News-Redakteur

    (Threadstarter)

    Avatar von Localhorst
    Registriert seit
    Nov 2014
    Beiträge
    1.934
    ngb:news Artikel
    92

    Re: Zusammenspiel DHCP und DNS

    Ja das stimmt, aber ich weis nicht genau wie ich die Block Einträge in den Bind reinknallen kann

    Aber danke für den Eintrag, das sehe ich mir mal an!
    Bananarama und Peanutbutterjellytime!

    Verteiler von leckeren Keksen!
    Und Nürnberg ist eine so sichere Stadt, da kann der Autoschlüssel stecken bleiben :D

  7. #7
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    7.450
    ngb:news Artikel
    18

    Re: Zusammenspiel DHCP und DNS

    Mein Vorschlag wäre eher gewesen die internen dns-einträge in den dns im Pihole zu schreiben.
    Wenn du die Einträge in /etc/pihole/custom.list geschrieben bekommt (ipadress hostname - plain, ein Eintrag pro Zeile) funktioniert das direkt.
    Wenn du das dhcp-log ausliest bekommst du dort jeden neuen lease mit und kannst per script / cron den Eintrag in das File schreiben.
    Da die Log-Formate meist recht stabil bleiben dürfte das eine recht stabile Lösung sein.

    Sowohl Router als auch PFsense zeigen dann als dns-server auf pihole - dann geht nichts an diesem vorbei.
    Für diesen Beitrag bedanken sich pspzockerscene, Localhorst
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  8. #8

  9. #9
    Mitglied
    Registriert seit
    Jul 2013
    Ort
    /dev/null
    Beiträge
    3.057

    Re: Zusammenspiel DHCP und DNS

    @Trash: Ich glaub, der Localhorst dürfte wohl nach mehr als einem halben Jahr ohne Rückfragen an der Größe und der Komplexität seines Monsterprojekts verzweifelt sein. Oder er hat alle Komponenten installiert und sich damit selbst vom großen weiten www wirksam ausgeschlossen.

    Aber wenigstens bist du einigen vorherigen Vorschlägen treu geblieben und präsentierst eine vollkommen überdimensionierte Lösung, wobei Lösung der falsche Ausdruck ist. In den Stapel an nicht benötigten Komponenten noch einen AD-Controller draufzupacken, ist zwar konsequent aber genauso sinnlos.

    Mal kurz mein System:
    Ich hab ein NAS (Helios64), was vom Preis her gesehen auch schon überdimensioniert ist. Auf dem Ding läuft ein Debian mit dnsmasq. Die Software bietet sowohl DHCP als auch DNS, was für Heimnetzwerke mehr als ausreichend ist. Im DNS hab ich noch ein paar Hostlisten zum Blocken der Werbung. Eine Firewall hab ich gar nicht im Einsatz, da die Fritzbox sowieso nichts reinlässt.
    Geändert von musv (21.07.21 um 16:10 Uhr)

  10. #10
    Keks-Verteiler

    News-Redakteur

    (Threadstarter)

    Avatar von Localhorst
    Registriert seit
    Nov 2014
    Beiträge
    1.934
    ngb:news Artikel
    92

    Re: Zusammenspiel DHCP und DNS

    @musv: Dein Einleitungssatz ist ja mal herrlich

    Tatsache hab ich dann das Projekt einfach aufgegeben mit DHCP im DNS. Momentan läuft noch der Bind9, aber den überlege ich auch wieder abzuschalten, weil manchmal die interne DNS Auflösung nicht so will

    So gebe ich z. B. auf meinem Windows Client die Adresse server.i.bongo.de ein und was macht Windows draus? server.i.bongo.de.i.bongo.de Mir ist auch bewusst das es ein Client Problem ist, aber momentan hab ich keinen Nerv darum mich zu kümmern. Ist ja eh ein homelab und kenne meine IP-Adressen notfalls auswendig

    Ah und @Trash, danke für die Intension, aber einen DC stelle ich mir daheim besser nicht mehr auf. Das hat auch nur für sehr viel Overhead gesorgt
    Bananarama und Peanutbutterjellytime!

    Verteiler von leckeren Keksen!
    Und Nürnberg ist eine so sichere Stadt, da kann der Autoschlüssel stecken bleiben :D

  11. #11
    Mitglied
    Registriert seit
    Jul 2013
    Ort
    /dev/null
    Beiträge
    3.057

    Re: Zusammenspiel DHCP und DNS

    Zitat Zitat von Localhorst Beitrag anzeigen
    Tatsache hab ich dann das Projekt einfach aufgegeben mit DHCP im DNS. Momentan läuft noch der Bind9, aber den überlege ich auch wieder abzuschalten,
    Bind9 ist viel zu überdimensioniert für ein Heimnetzwerk. Vor allem auch bräuchtest du noch einen separaten DHCP-Server. Dynamische IPs kannst du dann auch per Autoupdate wieder in den Bind zurückschreiben lassen.

    Versuch dnsmasq. Das Ding ist klein und leicht zu handhaben, wenn einmal eingerichtet:
    /etc/dnsmasq.conf

    Spoiler: 


    Code:
    ############### DNS #############
    # resolv.conf und hosts ignorieren
    # no-poll: Änderungen in resolv nicht verfolgen
    no-resolv
    no-hosts
    no-poll
    expand-hosts
    # keine lokalen Anfragen nach draußen
    domain-needed
    bogus-priv
    
    ############### DNS - Authoritative #############
    auth-server=dns.horst
    listen-address=192.168.1.50,127.0.0.1
    auth-zone=horst,192.168.1.0/24
    #- Serial,Hostmaster,Refresh,Retry,Expiry -#
    auth-soa=42,admin@mail.de,86400,900,86400
    domain=horst,192.168.109.0/24,local
    
    
    ############### DNS - Forwarding #############
    server=9.9.9.9              # Speedy
    server=1.1.1.1              # Cloudflare (1.0.0.1)
    server=85.214.20.141        # Digital Courage
    server=208.67.222.222       # OpenDNS (208.67.220.220)
    server=192.168.1.1        # Fritzbox
    cache-size=1000
    neg-ttl=600
    
    
    ############### DHCP #############
    dhcp-option=3,192.168.1.1                 # Default-GW via Fritzbox
    dhcp-option=6,192.168.1.50,192.168.109.1  # DNS
    dhcp-option=15,horst                          # Domain (wird ignoriert)
    dhcp-option=42,192.168.1.1                # NTP
    dhcp-option=119,horst                     # Search Domain
    dhcp-range=192.168.1.100,192.168.1.150,12h

    Ich hab mal meine Config soweit für Dich angepasst:
    • horst = lokale Domain
    • 192.168.1.10 = primäre IP meines zentralen Heimservers, auf dem auch DNS und NFS laufen
    • 192.168.1.50 = IP des DNS-Servers (ich nutz sekundäre IPs für jeden Dienst, z.B. DNS, NFS),
    • 192.168.1.1-99 = feste IPs, 100-150 = dynamische IP-Range für temporäre Geräte


    Das lokale Netzwerk:
    /etc/dnsmasq.d/hosts-horst

    Spoiler: 


    Code:
    # Netzwerk 1-9
    host-record = fritzbox.horst,                         192.168.1.1
    dhcp-host   = a1:b2:c3:d4:e5:f0,                    192.168.1.1,          infinite
    
    # Server 10-19
    host-record = kobold.horst,                           192.168.1.10
    dhcp-host   = a1:b2:c3:d4:e5:f1,                    192.168.1.10, kobold, infinite
    
    # Clients LAN 20-29
    host-record = meinpc1.horst,                             192.168.1.20
    dhcp-host   = a1:b2:c3:d4:e5:f6,                    192.168.1.20, meinpc1,   infinite
    host-record = meinpc2.horst,,                             192.168.1.22
    dhcp-host   = a1:b2:c3:d4:e5:f7, a1:b2:c3:d4:e5:f8, 192.168.1.22, meinpc2,   infinite
    host-record = meinpc3.horst,,                             192.168.1.23
    dhcp-host   = a1:b2:c3:d4:e5:f9, a1:b2:c3:d4:e5:fa, 192.168.1.23, meinpc3,   infinite
    
    # Service-IPs 50-59
    host-record = dns.horst,                              192.168.1.50
    host-record = nfs.horst,                              192.168.1.51
    
    # CNAMES
    cname       = gitweb.horst,                           kobold.horst

    • Du kannst für einen Host mehrere Mäc-Adressen angeben, wenn da z.B. eine LAN- und eine WLAN-Karte drinstecken.
    • Service-IPs sind sekundäre IPs, damit man einzelne Dienste auch bei Bedarf leichter auf einen anderen Rechner übertragen kann.


    Und der Werbeblocker, der alle Anfragen an nachfolgende Domains auf den lokalen Webserver umbiegt:
    /etc/dnsmasq.d/hosts-adblock

    Spoiler: 


    Code:
    address=/clickserve.uk.dartsearch.net/192.168.109.10
    address=/doubleclick.net/192.168.109.10
    address=/ad.doubleclick.net/192.168.109.10
    address=/ad-g.doubleclick.net/192.168.109.10

    Die Liste aktualisier ich mir über https://winhelp2002.mvps.org/hosts.txt

    Zum Updaten der Liste hab ich mir ein Script geschrieben, was ich von Zeit zu Zeit mal aufruf:
    /usr/local/sbin/update-dnsmasq-adblock

    Spoiler: 


    Code (Bash):
    1. #!/bin/bash
    2. # downloads a hostfile with ad servers
    3. # removes comments, localhost and blank lines
    4. # moves the file to /etc/dnsmasq.d/hosts-adblock
    5. # and restarts dnsmasq
    6. #
    7. # Usage: update_adhosts [IP]
    8. # IP is optional, Default is 192.168.109.11 Nas
    9.  
    10. HOST_FILE="hosts-adblock"
    11. HOST_ETC="/etc/dnsmasq.d/$HOST_FILE"
    12. HOST_TMP="/tmp/$HOST_FILE"
    13. HOST_IP="192.168.109.10"
    14.  
    15. # IP as parameter - without any check
    16. [[ -n "$1" ]] && HOST_IP="$1"
    17.  
    18. # Liste runterladen
    19. HOST_LISTE="$(curl -s -w "\n%{http_code}" 'https://winhelp2002.mvps.org/hosts.txt')"
    20. STATUS=$(tail -1 <<< "$HOST_LISTE")
    21. if [[ $STATUS -ne 200 ]]; then
    22.     echo "Download fehlgeschlagen: $STATUS"
    23.     exit 1
    24. fi
    25.  
    26. # Backup
    27. sed -n "s/\r//g
    28.        s/^0.0.0.0\s\([^ ]*\).*$/address\=\/\1\/$HOST_IP/p
    29.       " <<< "$HOST_LISTE" > $HOST_TMP
    30.  
    31. if [[ $(cat $HOST_TMP | wc -l) -gt 0 ]]; then
    32.     mv $HOST_TMP $HOST_ETC
    33.     systemctl restart dnsmasq
    34. else
    35.     echo "Fehler: $HOST_ETC leer"
    36.     exit 1
    37. fi
    38.  


    Und zur Domain:
    Damit hab ich mich ziemlich schwer getan. Das Problem ist, dass bei öffentlichen TLDs die Abfragen dann auch an öffentliche DNS-Server gehen können, wenn du das nicht korrekt konfigurierst (SOA). Die offizielle Empfehlung geht dahin, dass du eine öffentliche TLD auch intern (mit Subdomain) verwendest, wenn sie Dir auch gehört. Ist das bei bongo.de bei Dir der Fall? Dann wäre i.bongo.de für das interne Netzwerk brauchbar.

    Hast du keine öffentliche TLD, dann nimm eine, die nicht als TLD existiert, z.B. horst.

    Anmerkung, sollte aber klar sein.: Natürlich solltest du DNS + DHCP in der Fritzbox abschalten. Und mit aktivierter IPv6 in der Fritzbox gab's auch Konflikte.
    Geändert von musv (22.07.21 um 12:06 Uhr)

  12. #12
    Mitglied
    Registriert seit
    Mar 2021
    Beiträge
    37

    Re: Zusammenspiel DHCP und DNS

    @musv:

    dnsmasq ist eine sehr gute Idee!

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •