Domain Überschreibungen



  • Hallo

    Schätze ich mach grad ein furchtbares durcheinander und wäre froh wen mir jemand den richtigen pfad weisen könnte. Es geht um den Bereich..

    Dienste/DNS-Auflösung/Allgemeine Einstellungen/Domain Überschreibungen

    Ich war bisher der Meinung das an der stelle der Prim und Sec Domain-Server/Domainverwalter angegeben werden, welche meine Domain(s) verwalten (zB meinedomain.de). Wobei m Bereich..

    Dienste/DNS-Auflösung/Allgemeine Einstellungen/Domain Überschreibung bearbeiten

    ..unter Domain der FQDN des jeweiligen Domainverwalters angegeben wird (zB ns1.domainhost.com)?



  • Ähm nicht ganz. Du gibst dort eine bedingte Weiterleitung an.
    Dein Suffix für dein lokales Netz ist z.b.: abc.lan, damit weiß der DNS Resolver, dass er für diesen Suffix in seiner eigenen Hosts Table nachschauen soll.
    Rufst du aber aus deinem Netz z.b.: die Adresse server.xyz.lan auf, weiß der DNS Resolver nicht damit umzugehen und würde diese Anfrage an die öffentlich hinterlegen DNS Server weiterleiten (sofern er im Forwarding Mode arbeitet). Diese öffentlichen DNS Server können die Domain aber auch nicht auflösen, da es ein interner Suffix ist.

    Jetzt kommt die Domänen Überschreibung ins Spiel. Du definierst unter Domain xyz.lan und bei der IP trägst du den DNS Server ein, der deine Anfrage bearbeiten kann. Natürlich kann man da keinen FQDN angeben als DNS Server. Solche Szenarien werden oft genutzt, wenn du mehrere Zonen in der Infrastruktur hast mit mehreren DNS Servern. Anstatt dem Client dann mehrere DNS Server mitzugeben, gibt man ihm einen mit, der alle Anfragen entweder selber beantwortet oder zielgerichtet weiterleitet.



  • @m0nji:

    (sofern er im Forwarding Mode arbeitet).

    Nein DNS-Forwarder ist deaktivieren. Zur DNS-Auflösung werden nur die IP's von ns1.domainhost.com und ns2.domainhost.com (beide extern) verwendet. > (System/Allgemeine Einstellungen)

    @m0nji:

    Jetzt kommt die Domänen Überschreibung ins Spiel. Du definierst unter Domain xyz.lan und bei der IP trägst du den DNS Server ein, der deine Anfrage bearbeiten kann. ..

    ..um es zu verdeutlichen trage ich unter Domain meinedomain.de ein, und unter IP die IP von ns1.domainhost.com? Das nur 1 mal, oder noch ein weiteres mal mit der IP von ns2.domainhost.com?



  • Nein DNS-Forwarder ist deaktivieren. Zur DNS-Auflösung werden nur die IP's von ns1.domainhost.com und ns2.domainhost.com (beide extern) verwendet. > (System/Allgemeine Einstellungen)

    Naja also arbeitet dein DNS Resolver (DNS Auflöser) also doch im Forwarding Modus. Sonst bräuchtest du unter System/Allgemein keine DNS Server setzen ;)

    ..um es zu verdeutlichen trage ich unter Domain meinedomain.de ein, und unter IP die IP von ns1.domainhost.com? Das nur 1 mal, oder noch ein weiteres mal mit der IP von ns2.domainhost.com?

    Nein wozu? "meinefomain.de" ist doch eine offizielle TLD. Dazu benötigst du keine Domänen Überschreibungen. Die werden standardmäßig vom autoritativen DNS Server aufgelöst.
    Vielleicht erklärst du mal was du genau erreichen willst. Ich blick da noch nicht durch wozu der Aufwand bzw. was das Problem aktuell ist.



  • @m0nji:

    Nein DNS-Forwarder ist deaktivieren. Zur DNS-Auflösung werden nur die IP's von ns1.domainhost.com und ns2.domainhost.com (beide extern) verwendet. > (System/Allgemeine Einstellungen)

    Naja also arbeitet dein DNS Resolver (DNS Auflöser) also doch im Forwarding Modus. Sonst bräuchtest du unter System/Allgemein keine DNS Server setzen ;)

    Hehe.. ja. Sorry ich dachte an den localhost (System > Allgemeine Einstellungen > Den DNS-Forwarder/DNS-Resolver nicht als DNS-Server für die Firewall benutzen  check).  ;D

    @m0nji:

    Vielleicht erklärst du mal was du genau erreichen willst. Ich blick da noch nicht durch wozu der Aufwand bzw. was das Problem aktuell ist.

    Aaah.. alles klar. So langsam lichtet sich das Bild. Die Domänen Überschreibungen werden benötigt um meins.localhost.local mit meins.meinedomain.de bzw mit einer TLD zu überschreiben?
    Der Plan war daß ich mit meins.meinedomain.de von extern wie von intern am selben "Ort" landen sollte (sofern ich das Tor dazu öffne).



  • Der Plan war daß ich mit meins.meinedomain.de von extern wie von intern am selben "Ort" landen sollte (sofern ich das Tor dazu öffne).

    das gewährleistest du einfach via "Host Override" nicht "Domain Override". Hierbei ist noch der DNS-Rebind Schutz zu beachten.
    Beispiel an meinem Synology NAS welches ich intern wie auch von extern über den gleichen Namen aufrufen möchte.

    Intern (DNS Resolver):
    nas.meinedomain.de -> 192.168.1.254

    Extern (United-Domains, 1&1 und wie sie nicht alle heißen):
    nas.meinedomain.de -> CNAME -> xyz.dyndns.org (wenn du eine rotierende IP hast)
    nas.meinedomain.de -> A-Record -> 123.231.213.123 (wenn du eine statische IP hast)

    Damit rufe ich innerhalb meines Netzwerkes immer auch die interne IP auf und wenn ich unterwegs bin, komme ich über die externe IP auf mein NAS. Alleine schon wegen dem SSL Zertifikat ist das unverzichtbar.
    Bzgl. DNS Rebind Schutz solltest du unter: System -> Advanced -> Admin Access -> Alternate Hostnames: "nas.meinedomain.de" mit aufnehmen

    Ist das verständlich? Entspricht es deinem Vorhaben?



  • Ja tut es, vielen dank. ;D Sorry, ich dachte es ginge auch irgendwie anders.  :-\

    Wenn wir schon beim internen DNS-Resolver sind..

    Zugangslisten? Hab ich noch nicht von gehört, wozu dienen sie?

    Harden DNSSEC Data unter Erweiterte Einstellungen: Kann es sein das durch dessen Aktivierung mehr Probleme verursacht werden als gelöst? Seit ich DNSSEC für meine TLD aktiviert hab (Intern & Extern) gibt es immer wieder Verbindungsprobleme (IP funktioniert daher wohl eher DNS Auflösungsprobleme). Als Beispiel zu nennen wäre Zattoo, Netflix und der Program Guide (EPG) vom TV. Es gibt aber intern Probleme wie z.B. bei meinem beim aufrufen vom Admin Portal einiger meiner Switches. Insbesondere aber der TV verliert gerne mal die Verbindung. Nachvollziehbar?



  • Zugangslisten? Hab ich noch nicht von gehört, wozu dienen sie?
    Diese Listen besagen nur, wer (Hosts oder Netze) den DNS Server anfragen dürfen. In der Regel hat man hier nur sein LAN Netz hinterlegt.

    Harden DNSSEC habe ich leider nicht aktiv, da kann dir vielleicht ein anderer Nutzer mehr helfen.