T2600G and DNS-resolve of own DHCP-Adrersses
Hallo zusammen,
nachdem ich nun mein DMZ per EdgeRouter und T2600G mit der Hilfe des Forums sauber von den internen VLANs getrennt habe, kommt das nächste Problem um die Ecke:
Der T2600G stellt für seine eigenen VLANs einen DHCP-Server mit getrennten Pools zur Verfügung. Die Adressvergabe klappt reibungslos, auch mit statischen Bindungen (Server, NAS).
In den VLANs finden Windows-Clients die lokal benachbarten Services über den Explorer bzw. die entsprechenden Windows-Search-and-destroy-services. Leider klappt das nicht für beispielsweise Zugriffe durch einen Browser über die Hostnamen, da nslookup auf den Nameserver im Router zurückgreift und offensichtlich (?, jedenfalls habe ich keinen gefunden) der DHCP im jeweiligen VLAN keinen enstprechenden DNS-Service bereitstellt und der T2600G auch nicht zentral.
1) Gibt es einen Möglichkeit, Name Resolution/DNS-services im lokalen VLAN zu aktivieren (würde genügen) oder
2) kann man einen EdgeRouter X (der zentraler Nameserver für alle Clients hinter der DMZ ist) dazu überreden, die hostnames der VLANs irgendwie zu sniffen oder per geeignetem forwarding zu cachen, so dass dieser die Namensauflösung bereitstellt.
Danke und beste Grüße
Michael
- Copy Link
- Subscribe
- Bookmark
- Report Inappropriate Content
Mike63 wrote
Auf der unterliegenden Fritze ist ja auch ein dnsmasq versteckt, wenn ich das richtig verstehe. Und dort wird jedem Client nach der DHCP-Vergabe eben auch der Hostname irgendwie gespeichert, so dass er per nslookup nachschlagbar ist. Deshalb meine obigen Fragen:
- dnsmasq im ER irgendwie automatisch befüllen/sniffen oder was auch immer
- oder den DHCP incl. dnsmasq vom ER machen lassen und dann aber die Subnetz/VLAN-Zugehörigkeit über ein Relay schubsen, also den DHCP vom T2600 wegnehmen
Im letzten Fall ist mir nicht klar, wie der ER das gewünschte Subnetz/Pool erraten soll...
DNS sieht keine dynamischen Namen vor, sowas gibt's dort nicht. Eben deswegen hat man ja in dnsmasq den DHCP-Dienst implementiert, damit für kleine Heimnetze sowas trotzdem irgendwie geht. Aber schau doch mal, wie »gut« das auf der FB funktioniert (nicht):
$ nslookup macbook
Server: 192.168.178.1
Address: 192.168.178.1#53
Name: macbook.fritz.box
Address: 192.168.178.30
Name: macbook.fritz.box
Address: 192.168.178.32
Name: macbook.fritz.box
Address: 192.168.178.7
Name: macbook.fritz.box
Address: 169.254.249.54
Name: macbook.fritz.box
Address: 192.168.178.100
$
Völliger Krampf. Und versuche doch mal, die Top-Level-Domain in der FritzBOX (».box«) zu ändern. Geht nicht.
Du musst Dich schon entscheiden, was Du willst: das Heimnetz-Gebastele auf Consumer-Geräten (SOHO) oder ein professionelles Netz mit Business-Class-Geräten (SMB). Bei letzteren kannst freilich auch selbst (begrenzt) basteln, eben indem Du z.B. auf dem Router ISC-dhcpd ausschaltest, dnsmasq für DNS und DHCP einsetzt und den T2600G einfach switchen lässt. Das heisst dann aber auch, dass es pro VLAN ein Interface auf dem ER geben muss; das wiederum liegt an der Implementation von dnsmasq.
Gebastele halt.
Aber mal ehrlich: für 5-6 Namen reicht doch eine statische Lösung völlig aus. »Sniffen« nach DHCP-Namen und so Zeug's gibt's im SMB-Bereich definitiv nicht, dort hält man sich an Standards.
Könnte übrigens sein, dass ein Mod diesen Thread gelöscht hat, jedenfalls sehe ich ihn gerade nicht mehr in der Thread-Übersicht.
- Copy Link
- Report Inappropriate Content
Hallo Michael,
Du bringst da was durcheinander – DNS hat mit DHCP überhaupt nichts zu tun, das sind zwei verschiedene Paar Stiefel. Software wie dnsmasq ist ein Mischmasch aus DNS- und DHCP-Server; man kann es als zwei Dienste in einem einzigen Programm betrachten.
Die Lösung für Dein Problem mit nslookup ist ein lokaler DNS-Server, der aus denjenigen VLANs erreichbar ist, in denen ein lokaler Nameservice benötigt wird. Alternativ kann man auch auf dem ER dnsmasq statt ISC-dhcp nutzen, muss dann so konfiguriert werden.
Damit lassen sich dann zentral DNS-Records definieren für den Mini-DNS-Server in dnsmasq. DHCP-Hostnames sind dennoch keine DNS-Domainnamen, auch wenn sie in dnsmasq zur Bildung von Domainnamen genutzt werden können (aber nicht müssen).
Auf dem T2600G jedenfalls haben DNS-Dienste nichts verloren.
Wie das mit Microsoft-Diensten bei Einsatz eines DNS-Servers aussieht, weiss ich nicht; MS macht immer absichtlich alles etwas anders als der Rest der Welt; insbesondere ignorieren sie gerne etablierte Internet-Standards (RFCs) und kochen stattdessen eigene Süppchen.
- Copy Link
- Report Inappropriate Content
@R1D2 OK, auf dem T2600 also nicht.
Dass der ER seinen DHCP-Server auf dnsmasq umstellen kann, hatte ich schon wo gefunden. Allerdings scheint das nur mit einem eingeschalteten DHCP-Server auf dem ER zusammen zu hängen. Ich kann das Ding wohl nicht ohne DHCP laufen lassen.
Nun beantwortet der T2600 in seinen VLANs mit dem eingebauten DHCP die Anfragen. Daher bezweifele ich, dass der ER die entsprechenden Namesauflösungen auf Basis des hostnames automatisch mitbekommt. Und DHCP wird ja normalerweise nicht über die Grenzen des Subnetzes übertragen.
Muss ich jetzt auf dem ER (geht das überhaupt?) Pools für die aus seiner Sicht fremden VLANs anlegen und per DHCP-Relay die Anfragen weiterleiten? Am Relay bin ich schon gescheitert: L2 oder L3 erforderlich? Und woher weiss der ER dann, in welches Subnetz/Pool die Anfrage gehört?
- Copy Link
- Report Inappropriate Content
Mike63 wrote
Dass der ER seinen DHCP-Server auf dnsmasq umstellen kann, hatte ich schon wo gefunden. Allerdings scheint das nur mit einem eingeschalteten DHCP-Server auf dem ER zusammen zu hängen. Ich kann das Ding wohl nicht ohne DHCP laufen lassen.
Doch, das ist ja standardmäßig so im ER: der forwarding DNS-Server ist dnsmasq, der DHCP-Server ist ISC-dhcpd. Aber Du betreibst DHCP ja ohnehin im T2600G.
Nun beantwortet der T2600 in seinen VLANs mit dem eingebauten DHCP die Anfragen. Daher bezweifele ich, dass der ER die entsprechenden Namesauflösungen auf Basis des hostnames automatisch mitbekommt. Und DHCP wird ja normalerweise nicht über die Grenzen des Subnetzes übertragen.
Eben. Deshalb trägst Du die Hostnamen auch in der Config von dnsmasq ein, denn DNS muss netzübergreifend in Deiner gesamten Domain funktionieren. Die DHCP-Hostnames sind in diesem Fall nicht als DNS-Namen brauchbar (nur wenn dnsmasq auch den DHCP-Dienst auf dem ER übernehmen würde, könnten die DHCP-Namen automatisch eingetragen werden, vielleicht hatte ich das unklar ausgedrückt im letzten Post).
Also legst Du auf dem ER in /etc/dnsmasq.d/ eine Datei (z.B. mynet.conf) an, die Einträge der Art:
address=/host-or-domain/ip-address
enthält. Dann ein Restart von dnsmasq und schon hast Du einen Domainnamen host-or-domain für eine IP ip-address.
Jeder Domainname erfordert eine statische Adresse, d.h. für mobile Geräte erstellst Du ein statisches MAC-/IP-Mapping im DHCP-Server des T2600G und für stationäre Geräte konfigurierst Du in deren Netz-Config eine feste IP-Adresse.
- Copy Link
- Report Inappropriate Content
@R1D2 Hmpf...
...ich wollte die aber nicht manuell konfigurieren, sondern dynamisch erzeugen.
Die Clients haben ja alle einen Namen, und unter diesen möchte ich netzintern-lokal die Clients ansprechen können. Ja, es sind nur 5 oder 6. Trotzdem...
Auf der unterliegenden Fritze ist ja auch ein dnsmasq versteckt, wenn ich das richtig verstehe. Und dort wird jedem Client nach der DHCP-Vergabe eben auch der Hostname irgendwie gespeichert, so dass er per nslookup nachschlagbar ist. Deshalb meine obigen Fragen:
- dnsmasq im ER irgendwie automatisch befüllen/sniffen oder was auch immer
- oder den DHCP incl. dnsmasq vom ER machen lassen und dann aber die Subnetz/VLAN-Zugehörigkeit über ein Relay schubsen, also den DHCP vom T2600 wegnehmen
Im letzten Fall ist mir nicht klar, wie der ER das gewünschte Subnetz/Pool erraten soll...
- Copy Link
- Report Inappropriate Content
Mike63 wrote
Auf der unterliegenden Fritze ist ja auch ein dnsmasq versteckt, wenn ich das richtig verstehe. Und dort wird jedem Client nach der DHCP-Vergabe eben auch der Hostname irgendwie gespeichert, so dass er per nslookup nachschlagbar ist. Deshalb meine obigen Fragen:
- dnsmasq im ER irgendwie automatisch befüllen/sniffen oder was auch immer
- oder den DHCP incl. dnsmasq vom ER machen lassen und dann aber die Subnetz/VLAN-Zugehörigkeit über ein Relay schubsen, also den DHCP vom T2600 wegnehmen
Im letzten Fall ist mir nicht klar, wie der ER das gewünschte Subnetz/Pool erraten soll...
DNS sieht keine dynamischen Namen vor, sowas gibt's dort nicht. Eben deswegen hat man ja in dnsmasq den DHCP-Dienst implementiert, damit für kleine Heimnetze sowas trotzdem irgendwie geht. Aber schau doch mal, wie »gut« das auf der FB funktioniert (nicht):
$ nslookup macbook
Server: 192.168.178.1
Address: 192.168.178.1#53
Name: macbook.fritz.box
Address: 192.168.178.30
Name: macbook.fritz.box
Address: 192.168.178.32
Name: macbook.fritz.box
Address: 192.168.178.7
Name: macbook.fritz.box
Address: 169.254.249.54
Name: macbook.fritz.box
Address: 192.168.178.100
$
Völliger Krampf. Und versuche doch mal, die Top-Level-Domain in der FritzBOX (».box«) zu ändern. Geht nicht.
Du musst Dich schon entscheiden, was Du willst: das Heimnetz-Gebastele auf Consumer-Geräten (SOHO) oder ein professionelles Netz mit Business-Class-Geräten (SMB). Bei letzteren kannst freilich auch selbst (begrenzt) basteln, eben indem Du z.B. auf dem Router ISC-dhcpd ausschaltest, dnsmasq für DNS und DHCP einsetzt und den T2600G einfach switchen lässt. Das heisst dann aber auch, dass es pro VLAN ein Interface auf dem ER geben muss; das wiederum liegt an der Implementation von dnsmasq.
Gebastele halt.
Aber mal ehrlich: für 5-6 Namen reicht doch eine statische Lösung völlig aus. »Sniffen« nach DHCP-Namen und so Zeug's gibt's im SMB-Bereich definitiv nicht, dort hält man sich an Standards.
Könnte übrigens sein, dass ein Mod diesen Thread gelöscht hat, jedenfalls sehe ich ihn gerade nicht mehr in der Thread-Übersicht.
- Copy Link
- Report Inappropriate Content
@R1D2 OK, habs jetzt halt zu Fuss gemacht.
- Copy Link
- Report Inappropriate Content
Information
Helpful: 0
Views: 1689
Replies: 6
Voters 0
No one has voted for it yet.