• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Zusammenspiel DHCP und DNS

Localhorst

Keks-Verteiler

Registriert
12 Nov. 2014
Beiträge
1.941
Heyho Leute,
ist jemand da, der ein bisschen Erfahrung mit DNS und DHCP und deren zusammenspiel hat? :uglyngb: Wenn alles klappt habe ich morgen einen neuen Server hier und mit dem soll auch mein komplettes Heimnetz neu gebaut werden.

Kurze Erläuterung zu Relevanten Diensten:
Ist ein einzelner Proxmox auf dem mehere VM und LXC Container laufen werden.
Firewall wird per VM eine Sophos XG sein
DNS wird von einem Pi-Hole und Bind9 übernommen in jeweils einem LXC Container

Das komplette interne Netz wird ICANN konform mit einer FQDN (i.bongo.de) von mir realisiert (wer sich das ausgedacht hat anstatt eine .TLD für lokale Netze zu definieren...). Jetzt würde ich gerne auch wollen, dass die Rechnernamen einfach zu erreichen sind. Wenn jetzt also der Hostname "Palpatine" die IP-Adresse 192.168.0.20 bekommt möchte ich diesen Rechner über die FQDN Palpatine.i.bongo.de erreichen. Dies soll mit jedem Rechner passieren der es über DHCP bekommt.
Hat da irgendjemand eine Idee ob das überhaupt realisierbar ist? Ich kenn das nur in der Windows Welt, wenn der AD Server auch gleichzeitig DHCP spielt. Da ich aber keinerlei Windows Server im meinem Netz haben möchte, wollte ich fragen ob es das auch in der Pinguin Welt gibt.

Warum ich das mache? Weil ich es kann :uglyngb: War ja schon immer experimentierfreudig und total Overkill was das Heimnetz angeht ... Aber es macht einfach unheimlich viel Spaß sowas zu lernen.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Hm Overkill macht Spaß, aber manches ist auch unnötig komplex... Aber das ist auch zum Teil Ansichtssache.
Ich finde Virtualisierung und Container sollte man nur dann einsetzen wenn technisch notwendig. Für Notwendigkeit sehe ich bei dir aktuell nicht wirklich. Außer evtl die Sophos als appliance.
Komplexität führt meist zu mehr fehlen.

Warum pihole + Bind9?

Das Zusammenspiel geht nicht nur bei Microsoft und auf der gleichen Maschine.... Das geht auch bei Installation auf vielen Maschinen und wenn dns oder dhcp ein anderes Produkt sind. Es kommt nur auf das Vorhandensein einer Schnittstelle an ;)

Und das ist auch die Antwort auf deine Frage...
Nur erwähnst du nicht was dhcp spielen soll. Der dhcp muss bei Zuteilung ein Script / einen Befehl ausführen können.
Damit fügst du wenn nicht vorhanden. Einen neuen dns Eintrag hinzu oder aktualisiert die ip. Für Bind9 gibt es dafür Befehle und für pihole direkt soviel ich mich erinnere auch.
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Ich tät mir das mit der XG überlegen. Auch wenn wir Platin Partner sind, ich ne HW-Appliance zuhause habe, ne SW-Appliance im RZ, Architekt-Zertifiziert bin kann sie nicht empfehlen. SG ja, XG nein. Grund: Bugs ohne Ende. Bei uns lagen komplette Firmennetze brach und nicht einmal Sophos konnte helfen, weil in die Verbindungstabellen falsche Einträge gesetzt wurden/werden.

Ansonsten tät ich für zuhause halt AdGuard verwenden. Das wirkt irgendwie ausgereifter und nicht in der Zeit stehen geblieben. Du nimmst vmtl die Sophos als DHCP Server. Die Client Geräte nehmen die Sophos als DNS Server. Die Sophos verwendet dein pihole/AdGuard als DNS Server.

Kurz noch zu Proxmox: Anbetracht der Veeam Community Editionen würde ich dir da eher zu HyperV raten, auch wenn du keinen MS Server wolltest. Den gibts umsonst und du kannst damit vernünftig sichern. Bei Proxmox ginge das zwar auch, aber nur BareMetal. Die eigene Sicherung von Proxmox konnte bis vor ca. einem Jahr keine inrementellen Sicherungen. Keine Ahnung ob das noch immer so ist. Würde ich aber nicht wollen.
 

Localhorst

Keks-Verteiler

Registriert
12 Nov. 2014
Beiträge
1.941
  • Thread Starter Thread Starter
  • #4
Heyho,
sorry Feiertage haben das Board ein bisschen in den Hintergrund rücken lassen :D

Tatsache hatte ich einen Tag die XG im Einsatz, jedoch wollte z. B. IPv6 gar nicht wie ich wollte. Nachdem 2 - 3 andere gewollte Funktionen auch nicht so liefen, bin ich zu pfSense gewechselt. Danke nochmal wegen dem Hinweis bzgl. HW applience, aber ich wollte endlich mal einen gescheiten Router haben und achtete dabei auch auf Stromberbrauch usw. Deshalb habe ich da zu diesem Mittel gegriffen. Und zu Proxmox: Jap, da geht immer noch nicht inkrementelle Sicherung, jedoch ist die die sie haben besser als keine :uglyngb:

Also DHCP spielt jetzt die pfSense, entsprechend war ich mir nicht ganz sicher, ob es so überhaupt möglich ist dem bind9 dass dann beizubringen. PiHole und Bind9 einfach aus dem Grund: PiHole für den Werbeblocker und Bind9 für einen internen DNS Server. Ich weis bei PiHole kann man auch inzwischen A und CNAME Records setzen, doch irgendwie ging das gar nicht gut bei der internen Domain Auflösung und hat mich teilweise doch in die Außenwelt geleitet.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Aber wenn ich ein Problem mit einem Dienst habe - löst das Problem im Normalfall nicht noch ein Dienst? :)
PiHole IST ja ein DNS-Server - wenn du nun einen 2. dazu schaltest musst du in jedem Fall deren Reihenfolge definieren und wer wann wen aufruft - was vor allem bei ipv6 dann echt interessant wird.

pfsense kann wohl auch DNS-Anfragen weiterleiten und cachen. Die Frage ist wie viele DNS-Caches du im Netz passieren willst - wenn mal ein falscher Eintrag drin ist suchst du dich dumm und deppert.

Davon abgesehen unterstützt pfsense DDNS https://docs.netgate.com/pfsense/en/latest/recipes/bind-rfc2136.html
 

Localhorst

Keks-Verteiler

Registriert
12 Nov. 2014
Beiträge
1.941
  • Thread Starter Thread Starter
  • #6
Ja das stimmt, aber ich weis nicht genau wie ich die Block Einträge in den Bind reinknallen kann :)

Aber danke für den Eintrag, das sehe ich mir mal an!
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Mein Vorschlag wäre eher gewesen die internen dns-einträge in den dns im Pihole zu schreiben.
Wenn du die Einträge in /etc/pihole/custom.list geschrieben bekommt (ipadress hostname - plain, ein Eintrag pro Zeile) funktioniert das direkt.
Wenn du das dhcp-log ausliest bekommst du dort jeden neuen lease mit und kannst per script / cron den Eintrag in das File schreiben.
Da die Log-Formate meist recht stabil bleiben dürfte das eine recht stabile Lösung sein.

Sowohl Router als auch PFsense zeigen dann als dns-server auf pihole - dann geht nichts an diesem vorbei.
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
@Trash: Ich glaub, der Localhorst dürfte wohl nach mehr als einem halben Jahr ohne Rückfragen an der Größe und der Komplexität seines Monsterprojekts verzweifelt sein. Oder er hat alle Komponenten installiert und sich damit selbst vom großen weiten www wirksam ausgeschlossen.

Aber wenigstens bist du einigen vorherigen Vorschlägen treu geblieben und präsentierst eine vollkommen überdimensionierte Lösung, wobei Lösung der falsche Ausdruck ist. In den Stapel an nicht benötigten Komponenten noch einen AD-Controller draufzupacken, ist zwar konsequent aber genauso sinnlos.

Mal kurz mein System:
Ich hab ein NAS (Helios64), was vom Preis her gesehen auch schon überdimensioniert ist. Auf dem Ding läuft ein Debian mit dnsmasq. Die Software bietet sowohl DHCP als auch DNS, was für Heimnetzwerke mehr als ausreichend ist. Im DNS hab ich noch ein paar Hostlisten zum Blocken der Werbung. Eine Firewall hab ich gar nicht im Einsatz, da die Fritzbox sowieso nichts reinlässt.
 
Zuletzt bearbeitet:

Localhorst

Keks-Verteiler

Registriert
12 Nov. 2014
Beiträge
1.941
  • Thread Starter Thread Starter
  • #10
@musv: Dein Einleitungssatz ist ja mal herrlich :D

Tatsache hab ich dann das Projekt einfach aufgegeben mit DHCP im DNS. Momentan läuft noch der Bind9, aber den überlege ich auch wieder abzuschalten, weil manchmal die interne DNS Auflösung nicht so will :uglyngb:

So gebe ich z. B. auf meinem Windows Client die Adresse server.i.bongo.de ein und was macht Windows draus? server.i.bongo.de.i.bongo.de :dozey: Mir ist auch bewusst das es ein Client Problem ist, aber momentan hab ich keinen Nerv darum mich zu kümmern. Ist ja eh ein homelab und kenne meine IP-Adressen notfalls auswendig :uglyngb:

Ah und @Trash, danke für die Intension, aber einen DC stelle ich mir daheim besser nicht mehr auf. Das hat auch nur für sehr viel Overhead gesorgt :D
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Tatsache hab ich dann das Projekt einfach aufgegeben mit DHCP im DNS. Momentan läuft noch der Bind9, aber den überlege ich auch wieder abzuschalten,
Bind9 ist viel zu überdimensioniert für ein Heimnetzwerk. Vor allem auch bräuchtest du noch einen separaten DHCP-Server. Dynamische IPs kannst du dann auch per Autoupdate wieder in den Bind zurückschreiben lassen.

Versuch dnsmasq. Das Ding ist klein und leicht zu handhaben, wenn einmal eingerichtet:
/etc/dnsmasq.conf
Code:
############### DNS #############
# resolv.conf und hosts ignorieren
# no-poll: Änderungen in resolv nicht verfolgen
no-resolv
no-hosts
no-poll
expand-hosts
# keine lokalen Anfragen nach draußen
domain-needed
bogus-priv

############### DNS - Authoritative #############
auth-server=dns.horst
listen-address=192.168.1.50,127.0.0.1
auth-zone=horst,192.168.1.0/24
#- Serial,Hostmaster,Refresh,Retry,Expiry -#
auth-soa=42,admin@mail.de,86400,900,86400
domain=horst,192.168.109.0/24,local


############### DNS - Forwarding #############
server=9.9.9.9              # Speedy
server=1.1.1.1              # Cloudflare (1.0.0.1)
server=85.214.20.141        # Digital Courage
server=208.67.222.222       # OpenDNS (208.67.220.220)
server=192.168.1.1        # Fritzbox
cache-size=1000
neg-ttl=600


############### DHCP #############
dhcp-option=3,192.168.1.1                 # Default-GW via Fritzbox
dhcp-option=6,192.168.1.50,192.168.109.1  # DNS
dhcp-option=15,horst                          # Domain (wird ignoriert)
dhcp-option=42,192.168.1.1                # NTP
dhcp-option=119,horst                     # Search Domain
dhcp-range=192.168.1.100,192.168.1.150,12h
Ich hab mal meine Config soweit für Dich angepasst:
  • horst = lokale Domain
  • 192.168.1.10 = primäre IP meines zentralen Heimservers, auf dem auch DNS und NFS laufen
  • 192.168.1.50 = IP des DNS-Servers (ich nutz sekundäre IPs für jeden Dienst, z.B. DNS, NFS),
  • 192.168.1.1-99 = feste IPs, 100-150 = dynamische IP-Range für temporäre Geräte

Das lokale Netzwerk:
/etc/dnsmasq.d/hosts-horst
Code:
# Netzwerk 1-9
host-record = fritzbox.horst,                         192.168.1.1
dhcp-host   = a1:b2:c3:d4:e5:f0,                    192.168.1.1,          infinite

# Server 10-19
host-record = kobold.horst,                           192.168.1.10
dhcp-host   = a1:b2:c3:d4:e5:f1,                    192.168.1.10, kobold, infinite

# Clients LAN 20-29
host-record = meinpc1.horst,                             192.168.1.20
dhcp-host   = a1:b2:c3:d4:e5:f6,                    192.168.1.20, meinpc1,   infinite
host-record = meinpc2.horst,,                             192.168.1.22
dhcp-host   = a1:b2:c3:d4:e5:f7, a1:b2:c3:d4:e5:f8, 192.168.1.22, meinpc2,   infinite
host-record = meinpc3.horst,,                             192.168.1.23
dhcp-host   = a1:b2:c3:d4:e5:f9, a1:b2:c3:d4:e5:fa, 192.168.1.23, meinpc3,   infinite

# Service-IPs 50-59
host-record = dns.horst,                              192.168.1.50
host-record = nfs.horst,                              192.168.1.51

# CNAMES
cname       = gitweb.horst,                           kobold.horst
  • Du kannst für einen Host mehrere Mäc-Adressen angeben, wenn da z.B. eine LAN- und eine WLAN-Karte drinstecken.
  • Service-IPs sind sekundäre IPs, damit man einzelne Dienste auch bei Bedarf leichter auf einen anderen Rechner übertragen kann.

Und der Werbeblocker, der alle Anfragen an nachfolgende Domains auf den lokalen Webserver umbiegt:
/etc/dnsmasq.d/hosts-adblock
Code:
address=/clickserve.uk.dartsearch.net/192.168.109.10
address=/doubleclick.net/192.168.109.10
address=/ad.doubleclick.net/192.168.109.10
address=/ad-g.doubleclick.net/192.168.109.10
Die Liste aktualisier ich mir über https://winhelp2002.mvps.org/hosts.txt

Zum Updaten der Liste hab ich mir ein Script geschrieben, was ich von Zeit zu Zeit mal aufruf:
/usr/local/sbin/update-dnsmasq-adblock

[src="bash"]#!/bin/bash
# downloads a hostfile with ad servers
# removes comments, localhost and blank lines
# moves the file to /etc/dnsmasq.d/hosts-adblock
# and restarts dnsmasq
#
# Usage: update_adhosts [IP]
# IP is optional, Default is 192.168.109.11 Nas

HOST_FILE="hosts-adblock"
HOST_ETC="/etc/dnsmasq.d/$HOST_FILE"
HOST_TMP="/tmp/$HOST_FILE"
HOST_IP="192.168.109.10"

# IP as parameter - without any check
[[ -n "$1" ]] && HOST_IP="$1"

# Liste runterladen
HOST_LISTE="$(curl -s -w "\n%{http_code}" 'https://winhelp2002.mvps.org/hosts.txt')"
STATUS=$(tail -1 <<< "$HOST_LISTE")
if [[ $STATUS -ne 200 ]]; then
echo "Download fehlgeschlagen: $STATUS"
exit 1
fi

# Backup
sed -n "s/\r//g
s/^0.0.0.0\s\([^ ]*\).*$/address\=\/\1\/$HOST_IP/p
" <<< "$HOST_LISTE" > $HOST_TMP

if [[ $(cat $HOST_TMP | wc -l) -gt 0 ]]; then
mv $HOST_TMP $HOST_ETC
systemctl restart dnsmasq
else
echo "Fehler: $HOST_ETC leer"
exit 1
fi
[/src]

Und zur Domain:
Damit hab ich mich ziemlich schwer getan. Das Problem ist, dass bei öffentlichen TLDs die Abfragen dann auch an öffentliche DNS-Server gehen können, wenn du das nicht korrekt konfigurierst (SOA). Die offizielle Empfehlung geht dahin, dass du eine öffentliche TLD auch intern (mit Subdomain) verwendest, wenn sie Dir auch gehört. Ist das bei bongo.de bei Dir der Fall? Dann wäre i.bongo.de für das interne Netzwerk brauchbar.

Hast du keine öffentliche TLD, dann nimm eine, die nicht als TLD existiert, z.B. horst.

Anmerkung, sollte aber klar sein.: Natürlich solltest du DNS + DHCP in der Fritzbox abschalten. Und mit aktivierter IPv6 in der Fritzbox gab's auch Konflikte.
 
Zuletzt bearbeitet:
Oben