DNS Server richtig konfiguriert?

Status
Für weitere Antworten geschlossen.

thorstenst

Benutzer
Mitglied seit
06. Apr 2018
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo an Alle,

bekomme meinen DNS nicht so richtig ans laufen, habe schon mehrere Foreneinträge mir durchgelesen, und angewendet,
aber ich habe das Gefühl was übersehen zu haben.

Wie so viele möchte ich meine MYNAME.synology.me Adresse im LAN direkt auf meine NAS umleiten. Dies gelingt mir aber irgendwie nicht.

Beim ping auf MYNAME.synology.me bekomme ich immer "Ping-Anforderung konnte Host "MYNAME.synology.me" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."

Grundlegendes
Ich habe den DNS Dienst auf meiner Synology DS118 (DSM-Version 6.1.6-15266) installiert.
192.168.178.100 = NAS
192.168.178.1 = Router

DNS Server Einstellungen:

Zone

Master Zone (Forward Zone) angelegt.
Domainname = synology.me
Master DNS-Server = 192.168.178.100
Alle Haken der Optionen "Zonetransfer einschränken", "Quell-IP Dienst beschränken", "Benachrichtigung für Slave aktivieren" und "Zonenaktualisierung einschränken" sind deaktiviert.

SOA Eintrag für die Master Zone (Forward):

Hostname: ns.synology.me
Email: mail@synology.me
Seriell: 2018041405
Aktualisierungszeit: 43200
Retry Time: 180
Verfallzeit: 1209600
Negativer: 10800

Folgende Resourcen Einträge sind vorhanden:

NAME TYP TTL Information

myname.synology.me. A 86400 192.168.178.100
ns.synology.me. A 86400 192.168.178.100
synology.me. NS 86400 ns.synology.me.
www.myname.synology.me. CNAME 86400 myname.synology.me.

Jetzt habe ich noch eine weitere Master Zone (Reverse Zone) angelegt.

Domainname = 178.168.192.in-addr.arpa
Nameserver: ns.synology.me
Alle Haken der Optionen "Zonetransfer einschränken", "Quell-IP Dienst beschränken", "Benachrichtigung für Slave aktivieren" und "Zonenaktualisierung einschränken" sind deaktiviert.


SOA Eintrag für die Master Zone (Reverse):

Hostname: ns.178.168.192.in-addr.arpa
Email: mail@178.168.192.in-addr.arpa
Seriell: 2018041402
Aktualisierungszeit: 43200
Retry Time: 180
Verfallzeit: 1209600
Negativer: 10800

Folgende Resourcen Einträge sind vorhanden:

NAME TYP TTL Information

100.178.168.192.in-addr.arpa. PTR 86400 myname.synology.me.
178.168.192.in-addr.arpa. NS 86400 ns.synology.me


Auflösung

"Auflösungsdienste aktivieren" angehakt.
"Quell-IP Dienst beschränken" abgehakt.
"Forwarder aktivieren" angehakt

Forwarder1: 62.109.121.2
Forwader2: 62.109.121.1
Weiterleitungsrichtlinie: Zuerst weiterleiten

Sonst habe ich keine Einstellungen im DNS Server vorgenommen.

--------------------

Im Router habe ich als DNS Adresse und Alternativ die Adresse der NAS angegeben 192.168.178.100.

Muss ich sonst noch irgendwelche Einstellungen in der NAS Systemsteuerung im Bereich "Netzwerk" vornehmen?

DNS Server manuell konfigurieren ist hier abgehakt.
Standardgateway ist 192.168.178.1

In den Netzwerkschnittstellen Einstellungen für LAN ist IPv4 manuell konfiguriert:

IP: 192.168.178.100
Subnetz: 255.255.255.0
Gateway; 192.168.178.1
DNS Server: 192.168.178.100
Als Standard Gateway festlegen ist angehakt.
Sonst keine Einstellungen

Das wären alle Einstellungen die ich vorgenommen haben. Wie gesagt, ich kann alles scheinbar Auflösen, Internet etc. funktioniert noch nur bekomme ich bei
ping auf MYNAME.synology.me immer "Ping-Anforderung konnte Host "MYNAME.synology.me" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."

Was habe ich nur übersehen?

Vielen Dank!

Gruß
Thorsten
 

thorstenst

Benutzer
Mitglied seit
06. Apr 2018
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
OK! Ich habe den Fehler gefunden.

Das Problem lag an den Einstellungen meiner FritzBox (7330).
In den Einstellungen unter Heimnetz->Heimnetzübersicht->Netzwerkeinstellungen->IPV4Adressen
DHCP ist bei mir aktiviert. Hier war aber unter Lokaler "DNS-Server" die IP des Routers angegeben. Habe diese durch meine IP der NAS
geändert, auf dem der DNS-Server läuft und habe auf meinem Rechner ein ipconfig /renew durchgeführt.

Jetzt wird myname.synology.me direkt mit der IP der NAS aufgelöst.

Aber hätte das nicht trotzdem funktionieren müssen?
In den FritzBox Internet Einstellungen war ja für DNS1 und 2 die IP der NAS eingetragen.
Das hatte anscheinend auch Auswirkung. Denn wenn ich im DNS-Server die Auflösung ausgeschalten habe, dann lief nichts mehr.

Oder hätte ich hier zusätzlich noch was anderes Einstellen müssen im DNS Server?


Gruß
Thorsten
 
Zuletzt bearbeitet:

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Hallo thorstenst, schön kompakte Beschreibung von dir!
Ich habe meinen DNS auch so konfiguriert, und habe das als Vorlage diese Seite genommen: https://privatetechnology.blogspot.com/2015/10/synology-dns-server.html da ich eher wenig Ahnung habe.

Anfangs hatte es nicht funktioniert, bis ich in der FritzBox 7490 meine Domain in die Ausnahmen des DNS-Rebind-Schutzes auf Heimnetz->Heimnetzübersicht->Netzwerkeinstellungen eingetragen habe.


Warum ich den DNS des NAS verwende:
Jetzt kann ich über https und meine Domain auf's NAS zugreifen, wobei ich innerhalb des privaten Netzes bleibe, und die Browser trotzdem keine Warnung ausgeben. Zuvor ist es über die öffentliche IP gegangen (Sicherheitsrisiko? Und: kein Zugriff bei unterbrochener Internetverbindung), oder wenn ich das NAS direkt über die private IP angesprochen hatte, gab es Warnungen der Browser, da die IP natürlich kein passendes Zertifikat hat. Zusammen mit NoScript wollte das Einloggen mit dem Firefox nicht funktionieren.


Fragen:

1. Im DNS Protokoll habe ich Warnungen: zone 'meinedomain' allows updates by IP adress, which is insecure
Warum? Abhilfe?

2. Welches Risiko gehe ich durch die Ausnahmen des DNS-Rebind-Schutzes ein?


LG
iOOi
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Wozu groß einen Rebind-Schutz? Der sorgt dafür, dass da nicht blöde rumgefuchelt wird und erfüllt somit seine Aufgabe schon ganz gut. Der springende Punkt ist allerdings, dass man das Konstrukt einfach "vernünftig" aufsetzen sollte (mit dem Syno-DNS), was folgendes bewirkt:

1) Die Fritzbox verteilt via DHCP die IP des "NAS" als DNS-Server (eher nicht so als "eigener" DNS-Server, das wäre schon WAN-seitig)
2) Der DNS-Server beherbergt die interne Domäne, ggf. noch einen externen Teil und leitet ausserdem alles - was nicht bekannt ist - weiter an den ursprünglichen DNS-Server im Netz (-> Fritzbox). Somit laufen erstmal ALLE DNS-Anfragen auf die Syno, kennt diese die Antwort nicht, geht es weiter zur Fritzbox, kennt diese die Antwort nicht die ISP-DNS-Server, usw.

"In den FritzBox Internet Einstellungen war ja für DNS1 und 2 die IP der NAS eingetragen." -> s. Punkt 1, daher auch der Rebind-Schutz. Wenn "aussen" etwas sagt, dass es etwas bei Dir "im" LAN ist, ist das schon nicht sauber. Macht das einfach "korrekt" mit dem DNS-Server der Syno und dann passt das auch. Da greift dann auch kein Rebindschutz, da sich alles innerhalb des LANs abspielt und die Fritzbox da sowieso nicht involviert ist (ausser als DHCP-Server und Gateway).
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Zu 1:
Seit ich auch in den Netzwerkschnittstellen Einstellungen für LAN bei DNS die IP des NAS eingetragen habe, ist die Warnung nicht mehr gekommen.

Zu 2:
Danke blurrrr, verstehe es leider nicht. Was soll ich an den Einstellungen konkret ändern?

LG iOOi
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Kein Problem, pass auf:

Erstmal das hier lesen: https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/663_DNS-Aufloesung-privater-IP-Adressen-nicht-moeglich/
Darin wird nun erklärt, was der DNS-Rebind-Schutz eigentlich bewirkt: "Die DNS-Auflösung für Domainnamen, die auf private IP-Adressen im FRITZ!Box-Heimnetz verweisen, ist über die FRITZ!Box nicht möglich."

Kurzum: irgendeine "öffentliche" Domainanfrage (z.B. mein-nas.synology.me), welche mit einer "privaten" IP (z.B. 192.168.178.x) beantwortet wird, ist nicht erlaubt und wird von der Fritzbox geblockt.

Deswegen nutzt es auch nichts, wenn man der Fritzbox den "lokalen" DNS-Server der Syno als eigenen DNS-Server gibt. Die Anfrage läuft so erstmal zur Fritzbox, die fragt die Syno, kriegt aber für die "öffentliche" Domäne die Antwort mit der "privaten" IP und blockt diese Anfrage sofort wegen dem Rebind-Schutz (s.o.). Man muss das Konstrukt also "ändern. Dazu kann man z.B. hingehen und die "Verkettung" etwas ändern.

Nicht so:
Client -> Fritzbox -> Syno -> Google

Eher so:
Client -> Syno -> Fritzbox -> Google

Somit können grundsätzlich erstmal alle Dinge vom Syno-DNS beantwortet werden, welche dieser kennt. Weiss dieser nicht weiter, wird die Fritzbox gefragt, wenn die nicht weiter weiss, wird entsprechend Google-DNS oder der DNS vom ISP gefragt. Somit gibt es die gewünschte Funktionalität, der Rebind-Schutz kann (und sollte) weiterhin aktiv bleiben und alles funktioniert wie man es möchte :)

EDIT: Es bringt leider herzlichst wenig, wenn ich Dir sage "was" Du ändern sollst, solange Du es nicht verstehst, daher lieber eine allgemeine Erklärung, denn "Du" bist für das System verantwortlich und solltest auch entsprechend das Konstrukt verstehen, sonst bist Du da immer auf fremde Hilfe angewiesen und das kann es ja schlussendlich nicht sein :)
 
Zuletzt bearbeitet:

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
viele Fragen

Zu 1:

Die Warnungen kamen doch noch immer wieder mal:
2018/07/27 01:01:53.415 security zone '**.168.192.in-addr.arpa' allows updates by IP address, which is insecure
2018/07/27 01:01:53.415 security zone '***.com' allows updates by IP address, which is insecure
2018/07/27 01:01:53.415 security zone 'myds.me' allows updates by IP address, which is insecure

Was bedeutet das? Wie vermeiden?


Zu 2:

Den Artikel hatte ich gelesen, und ich habe ihn so verstanden, dass man die Domain, die man für die eigenen Geräte verwendet, in die Ausnahme eintragen soll. So wie ich es gemacht habe. Eine andere Lösung konnte ich daraus nicht herauslesen.

Ich habe auch diesen Artikel gelesen, jedoch nicht verstanden, wie ein Angreifer dem Browser den DNS des Angreifers unterjubeln kann: https://medium.com/@brannondorsey/a...-the-internet-with-dns-rebinding-ea7098a2d325

Ich dachte die DNS gebe ich fix vor. In meinem Fall der DNS in meinem NAS und wenn der nicht weiter weiß
Google und Rootserver (in der Fritz Box ist doch kein DNS drinnen?). Wie kann das ein Angreifer ändern?


Die DNS Verkettung bzw. Einstellungen sieht/sehen bei mir so aus:

Fritz Box: Internet / Zugangsdaten / DNS-Server:
Bevorzugter = IP meines NAS
Alternativer = IP meines NAS (testweise, damit ich gleich merke, wenn der DNS im NAS nicht funktioniert)

NAS: DNS / Auflösung:
Auflösungsdienste aktivieren: Ja (damit der DNS im NAS einen anderen DNS fragt, wenn er keinen Eintrag hat?)
Quell-IP Dienste beschränken: Nein (wenn ja: Trage ich hier alle internen IP's ein, damit von außerhalb eine DNS Anfrage nicht an den Forwarder DNS weitergeleitet wird? Warum kann ich in der Quell-IP Liste nur einzelne IP's und keinen Bereich angeben? Oder geht es darum, das einzelne interne Geräte nur den DNS im NAS fragen dürfen, und keine außerhalb?)

Forwarder aktivieren: Ja (damit eine Anfrage, die nicht meine Domain betrifft an einen DNS z.B. von Google weitergeleitet wird?)
Forwarder 1: 8.8.8.8 (Google)
Forwarder 1: ........... (mein DNS meines IP's)
Richtlinie: Zuerst weiterleiten (In der Hilfe steht "Nur weiterleiten auswählen, versucht die DiskStation keine Abfrage ihrer Rootserver, um die Anfrage aufzulösen, selbst wenn die Forwarder nicht antworten." Da ich nicht ICANN oder VeriSign bin, habe ich keine eigenen Rootserver. Nicht mal einen einzigen.)


Entsprechen meine Einstellungen dem?
Client -> Syno -> Root? -> Google

So wie ich das verstehe, hat die Fritz Box keinen DNS. Man kann nur einstellen, welchen DNS sie nutzen soll. In meinen Fall fragt leitet sie alles zum NAS weiter, oder?


In der Doku https://www.synology.com/de-de/knowledgebase/SRM/help/DNSServer/dns_server_resolve_mng steht auch: "Wenn Sie nur die Synology Router zur Durchführung von autoritativen Serverfunktionen benötigen, empfehlen wir, die Auflösungsdienste deaktiviert zu lassen, um weniger Systemressourcen zu verbrauchen."
Ja, ich benötige den eigenen DNS nur, damit ich bei Aufruf vom privaten Netzwerk aus von meinnasname.myDS.me auf die private IP des NAS zugreife, und es nicht über die IP die ich vom Internetprovider bekomme läuft. Für Zugriffe außerhalb meines Netzwerkes ist vermutlich nicht mein NAS, sondern das NAS vom IP, von dem aus zugegriffen wird, zuständig.
Jedoch: Wenn ich Auflösungsdienste deaktiviere, wird innerhalb meines Netzes offenbar nur mehr mein DNS befragt, der lediglich die paar privaten Geräte kennt. Und warum werden Systemressourcen verbraucht, wenn das NAS eine Anfrage an einen anderen DNS weiter leitet?
Ich komme mit der Synology Doku nicht weiter.

LG
iOOi



PS: Ich habe testweise im NAS DNS die Auflösungsdienste deaktiviert. Wie zu erwarten konnte ich keine Webseite mehr erreichen. Nach dem Aktivieren jedoch auch nicht mehr. Warum?
Ich habe dann in die Fritz Box 8.8.8.8 als alternativen DNS eingetragen und es funktionierte immer noch nicht. Warum? Offenbar nutzt die Fritz Box nur dann den alternativen DNS, wenn der bevorzugte nicht existiert, und nicht wenn er keine Antwort weiß.
Nach einigen Minuten funktionierte dann alles wieder von alleine. Offenbar hatte die erneute Aktivierung der Auflösungsdienste im NAS nicht sofort funktioniert. Warum die große Zeitverzögerung?
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Nein, das ist falsch...

1) So erlaubst Du den Clients (oder dem DHCP-Server, k.a. wie das Konstrukt da gebaut ist), dass da "automatisch" ein Gerät mit einem bestimmten Domainnamen (FQDN) selbstständig seine IP-Adresse beim DNS aktualisieren darf (das macht man z.b. in großen Netzwerk gern mit Clients, z.B. pc-herr-mueller.domain.tld - der PC bekommt via DHCP immer wieder eine andere Adresse, ist aber unter dem FQDN immer erreichbar, da muss aber natürlich Zugriff auf das DNS-System gewährt werden, damit die IP entsprechend immer angepasste werden kann).
2) "jedoch nicht verstanden, wie ein Angreifer dem Browser den DNS des Angreifers unterjubeln kann" Es geht darum, dass ein "bestehender" DNS-Server (z.B. vom Provider) "übernommen" wird und dort die Einträge verändert werden. Beispiel: original: www.google.de -> 8.8.8.8, komprimitiert (inkl. Webseite mit Schadsoftware, ggf. ein PC innerhalb des Netzwerkes mit Schadsoftware): www.google.de -> 192.168.178.100. Alternativ wird auch gern mal ein DNS-Server komprimitiert und ein Aufruf von www.google.de schickt Dich dann ganz woanders hin (im Internet), aber das ist wieder ein anderes Thema...

Was den Rebindschutz angeht bzw. die Auflösung "innerhalb" des LANs - da ist die Fritzbox (und somit auch der Rebindschutz) völlig aussen vor, denn die haben damit garnichts mehr zu tun, weil die Pakete erst garnicht bei der Fritzbox ankommen, daher ja auch der o.g. Aufbau des ganzen: Client -> Syno -> Fritzbox -> ISP

Fragt ein Client im LAN nun nach nas.domain.tld und die Syno antwortet sofort (was ja Sinn und Zweck der Übung wäre), bekommt der Client die Antwort mit der Ziel-IP des NAS ja sofort und kann das NAS auch schon direkt ansprechen. Gemerkt? Gar keine Fritzbox involviert ;)

Also - zur grundsätzlichen Regelung bzgl. der Fritzbox:

Internet / DNS <- da müssen die DNS-Server vom PROVIDER rein - nichts internes
Heimnetzwerk/<öhm...>/IP-Adresse (v4)/...DHCP-Einstellungsdingsbumsirgendwas <- Da wird festgelegt, aus welchem Bereich die DHCP-Clients Ihre IP-Adresse kriegen UND(!) welcher DNS-Server ihnen zugewiesen wird. Da muss die SYNO rein.

Somit bekommt jeder Client, welcher im Netz "automatisch" eine IP von der Fritzbox bezieht, ganz automatisch die Syno als DNS verpasst. Das wäre dann schon mal "Client -> Syno"

Die Syno ihrerseits sollte - falls nicht in der Lage entsprechende Requests zu beantworten - weitergeben an die Fritzbox. Heisst für den Syno-DNS "Forwarder 1: 192.168.178.1" (ansonsten funktioniert nämlich auch das allseits beliebte "fritz.box" nicht mehr ;)). Damit hätten wir dann auch "Syno -> Fritzbox"

Was eben noch fehlt, ist das "Fritzbox -> ISP", heisst:

###########
Fritz Box: Internet / Zugangsdaten / DNS-Server:
Bevorzugter = IP meines NAS <- falsch, ISP-DNS1! (oder z.B. Google-DNS1 8.8.8.8)
Alternativer = IP meines NAS <- falsch, ISP-DNS2! (oder z.B. Google-DNS2 8.8.4.4)
###########

Hoffe, dass das jetzt ein bisschen verständlicher war und wünsche viel Erfolg! ;)
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Danke blurrrr, jetzt hab ich's. :)

Die Einstellung, welchen DNS sie allen Computern im privaten Netz mitteilt, ist so versteckt, da wäre ich ohne dich nie drauf gekommen danach zu suchen. Diese Seite ist nun die einzige die ich gefunden habe, die einem Laien die Einrichtugn eines DNS ermöglicht.


Ich habe immer noch eine Reihe an Fragen:
Bitte lieber blurrrr, erbarme dich wieder.

Hier ist meine erste neue Frage:
3. Beim Erstellen der Zone fragt das NAS nach der IP des "Master DNS Servers". Was soll ich da eintragen? Diesen Eintrag kann sehe ich nach der Erstellung nicht mehr, und kann ihn auch nicht mehr editieren. Was passiert, wenn ich das NAS auf eine andere IP umsiedle?

LG
iOOi
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Den Inhalt des zweiten Links hatte ich schon mehrfach gelesen.
Den ersten kannte ich noch nicht.

Ich vermute diese Antwort auf meine Frage:
Der Eintrag für die IP des "Master DNS Servers" ist für eine Master-Zone unerheblich. Da der Eintrag verworfen wird, kann man ihn nachträglich auch nie wieder sehen und es ist völlig egal, was man da einträgt.
Stimmt's?


Ich hab gleich noch eine:

Nachdem ich Einstellungen geändert hatte, fanden 2 laufende Computer die am LAN hängen keine Internetseiten mehr. Die iOS Geräte über WLAN hatten keine Probleme. Daher dachte ich anfangs es liegt am Switch. Dann hatte ich es vergeblich mit ipconfig /flushdns im cmd-Fenster probiert (ich hatte es nicht mit Admin-Rechten gestartet). Den Browser Cache hatte ich dann auch noch gelöscht. Kein Erfolg. Erst nach einem Neustart ging es mit diesem Computer wieder.

Wie kann ich einen Neustart nach Durchführung von Änderungen vermeiden?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Wie kommst Du darauf, dass die IP vom Master verworfen wird? Wenn Du mal genau schaust, sollte innerhalb der Zone ein entsprechender NS-Eintrag vorhanden sein. Keine Ahnung was Du da verzapft hast mit den Clients :eek:
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Verstehe, die IP ist für den A-Eintrag ns.usw.tld zur IP des DNS, also dem NAS.
Das ist alles so intransparent und eine Anleitung habe ich noch nicht gefunden.

Immer den ganzen Win-Computer booten ist mühsam. Schade, dass es da keine Möglichkeit gibt.


Jetzt habe ich ein seltsames Phänomen:
Mit allen Computern, auch mit einem iPhone funktioniert alles. Nur das iPad ignoriert den NAS - DNS. Ich hab das iPad, das NAS, den Router und den Switch neu gebootet und das iPad will immer noch nicht. "fritz.box" funktioniert am iPad. Ich hab den Eindruck, als hätte das iPad nicht die IP vom NAS sondern der Fritzbox erhalten.
Es hatte schon mal mit dem iPad funktioniert.

Was kann das sein?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
z.B. ein am iPad statisch eingetragener DNS, k.a. ;)
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Da war tatsächlich Manuell und die IP der Fritzbox eingestellt, obwohl ich diese Einstellung nie verändert hatte. Vor 2 Tagen war es noch auf Automatik und das iPad hatte die NAS IP. Als die PC's so gesponnen hatten, hatte ich testweise den DNS gestoppt, neu gestartet, Firewalleinstellungen verändert, Zoneneinstellungen durchprobiert usw. Ich vermute, das iPad ist dann selbstständig von Automatisch auf Manuell gegangen und hat die IP der Fritzbox eingetragen. Ich vermute, die letzten DNS Anfragen werden im Client eine Zeit lang zwischengespeichert, daher hatte es nach der Umstellung noch ein wenig funktioniert. Sehr tückisch und intransparent. Ich hab mehrere Stunden den Fehler gesucht, mehrfach alles gebootet und vermutlich verstellt dieses iPad hinter meinem Rücken einfach die IP des DNS. :-(


Meine nächste Frage:

Beim Surfen habe ich oft gelesen, dass man keinesfalls selbst ausgedachte TLD's nutzen darf.
https://serverfault.com/questions/17255/top-level-domain-domain-suffix-for-private-network: "Do not use an invented TLD. If ICANN were to delegate it, you would be in big trouble."
Wo liegt das Problem? Ich kann doch in den eigenen DNS alle beliebige Zonen und Einträge durchführen. Angeblich wurde die TLD "box" vergeben, und dann konnten viele "fritz.box" nicht mehr nutzen. Wie kann das sein? Der eigene DNS liegt in der Kette vor dem Öffentlichen, beantwortet die Anfrage und der Öffentliche kommt nicht mehr dran. Da ist es doch egal, ob box nun offiziell existert oder nicht. Und von außerhalb beantwortet der öffentliche DNS sowieso nicht auf welcher IP im privaten Netz die eigene fritz.box hängt.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
obwohl ich diese Einstellung nie verändert hatte

Schon klar, das hör ich so ziemlich täglich.... ;)

Für die eigene interne Domäne kannst Du an TLD nutzen was Du willst (ob es Sinn macht ist wieder eine andere Sache). So ist es z.B. üblich in "internen" Netzen TLDs wie ".local", ".int", etc. zu nutzen. Was die public TLD-Thematik angeht, hast Du das schon richtig erkannt, da das ganze ja auch nur für Dich intern greift. Wären es öffentliche DNS-Server, welche von jedermann genutzt werden könnten, würde das schon wieder ganz anders aussehen. So kannst Du aber machen was Du willst (auch ein kleines Auto aus Pappe bauen, das Porsche-Logo ausgedruckterweise draufkleben und behaupten es wäre ein originaler Porsche ;)).
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Ich habe zahlreiche weitere Artikel gefunden die meinen, man darf keinesfalls ausgedachte TLD's nutzen:

Wie kann das bitte passieren?
https://www.heise.de/newsticker/mel...ringt-manche-Netze-durcheinander-3491185.html

Oder:
https://www.heise.de/newsticker/mel...ANN-warnt-vor-Domain-Kollisionen-2062606.html

Oder:
https://youtu.be/jpnxGa2gAuY
https://www.icann.org/resources/pages/name-collision-2013-12-06-en


Ich hab zur Sicherheit daher eine kurze com Domain genutzt, die ich vor Jahrzehnten mal registriert hatte und bisher noch nicht verwendet hatte.

Wo das Problem ausgedachter TLD's liegt, konnte ich nirgends lesen und ich verstehe es nicht.
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Solange die Informationen nicht öffentlich abrufbar sind, kannst Du "machen was Du willst". Theoretisch könntest Du Dir auch microsoft.com anlegen... Wichtig ist dabei halt, dass die Informationen nicht nach "aussen" gelangen. Eine "public" Domain "muss" (zwingend) von 2 öffentlichen DNS-Servern bedient werden. Das machen i.d.R. die Provider für Dich, oder - wenn Du selbst registrierst (wovon ich mal nicht ausgehe) - müssen eben 2 entsprechende DNS-Server angegeben werden.

Das mit den "ausgedachten" Domains "kann" entsprechend zu Problem führen, wenn man sich überlegt, wer für was zuständig ist, aber natürlich nur, wenn eine der selbst ausgedachten Domains dann irgendwann zu einer public Domain geworden ist - als Beispiel hier mal ".box". Fragt man die Root-Server ab werden die sicherlich etwas anderes diesbezüglich von sich geben, als ein DNS-Server, welcher Zuhause eingerichtet worden ist und die Zone ebenfalls inne hat. Hängt also davon ab "wen" man fragt und "wie" es konfiguriert ist.

Mir fehlt aber die Zeit und die Geduld hier ein komplettes DNS-Kompendium zu hinterlegen, von daher - mal schön fleissig Tante Google befragen zum Thema DNS, das Thema ist ziemlich vielfältig ;)
 

iOOi

Benutzer
Mitglied seit
22. Jul 2018
Beiträge
187
Punkte für Reaktionen
0
Punkte
22
Warum fritz.box nicht mehr funktionieren soll wie im c't Artikel beschrieben verstehe ich nicht:
fritz.box funktioniert sowieso nur, wenn der Client die IP der Fritzbox als DNS hat (diese sehr versteckte Einstellung, auf die ich ohne Dich nie gekommen wäre). Dadurch, dass nun box eine offizielle TLD ist, ändert sich daran nichts. Es wird weiter zuerst der DNS der Fritz Box befragt, der mit der privaten IP antwortet.



Zum Fritzbox DNS habe ich eine Frage:

Ist die einzige Funktion des DNS in der Fritzbox "firtz.box" aufzulösen? Ist es für die Performance besser die Fritzbox aus der DNS Kette zu heraus zu nehmen, und eine "box" Zone mit dem Eintrag "fritz" im NAS einzurichten? Die Übergabe von einem DNS zum nächsten kostet doch sicher ein wenig Zeit.

Funktioniert dann immer noch der DNS-Rebind-Schutz der Fritzbox? Andere Nachteile den Fritzbox DNS zu entfernen?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Lies Dir vielleicht erstmal den Wikipedia-Artikel zum Thema DNS durch, bevor Du hier wilde Mutmaßungen triffst. Was die Performance angeht - es spielt sich alles im LAN ab und somit auch im Milisekundenbereich - aber nujut, vielleicht bist Du ja besonders zeitempfindlich.

Was die DNS-Funktionalität der Fritzbox selbst angeht, Wikipedia-Artikel lesen. Würde die Fritzbox - wie von Dir gedacht - "nur" fritz.box auflösen, könnten Deine Clients mit fritzbox als DNS überhaupt nichts auflösen, sondern - wie von Dir vermutet - "nur" "fritz.box". Sicherlich kannst Du die Fritzbox aus der Geschichte rausnehmen und dafür die beiden DNS-Server Deines ISP eintragen, oder Google-DNS-Server, oder sonstwas. Ich würde wirklich vorschlagen - wenn es Dich so brennend interessiert - Dich erstmal in aller Ruhe in das DNS-Thema einzuarbeiten, anstatt hier irgendwelche Schnellschüsse zu starten. Der oben verlinkte Wikipedia-Artikel liefert da schon ein bisschen Grundstoff ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat