Spezieller DNS-Server für Host-Gruppe



  • Hallo,

    ich versuche derzeit, für eine Gruppe von Hosts (Mobilgeräte) einen bestimmten DNS-Host (Pi-Hole Server) nutzen zu lassen. Sämtliche Hosts erhalten im LAN ihre IP, Gateway- und DNS-Informationen per DHCP zugeteilt. Unter "Services -> DHCP-Server -> LAN -> Static Mapping" kann ich in den Feldern beim Punkt "DNS Servers" die IP des DNS-Servers eintragen und alles funktioniert einwandfrei für den jeweiligen Host.

    Leider ist diese Variante aber recht unflexibel. Sinnvoller wäre, unter "Firewall -> Aliases" alle Host-IPs in einer Gruppe zusammenzufassen, die IP des DNS-Servers ebenfalls mit einem Alias zu versehen und anschliessend mit einer Regel zu bestimmen, dass diese Hosts eben diesen speziellen DNS-Server nutzen sollen. Ich hatte hierzu auch bereits unter "Firewall -> NAT -> Port Forward" versucht, diese Rule anzulegen:

    Interface: LAN
    Protocol: TCP/UDP
    Source Address: CLIENTALIAS
    Source Ports: *
    Dest. Address: *
    Dest. Ports: DNS (53)
    NAT IP: SERVERALIAS
    NAT Ports: DNS (53)

    Leider klappt anschliessend die DHCP-Zuweisung an den einzelnen Hosts nicht mehr. Fehlt hier noch eine Ausnahmeregel oder gibt es eine andere Lösungsmöglichkeit?


  • LAYER 8 Moderator

    Warum nicht einfach einen zweiten DHCP Pool für Mobilgeräte machen? Damit ließe sich dann auch regeln, wer Zugriff hat und wer nicht. Hat sich bei uns so eingebürgert, dass DHCP generell (kabelgebunden) geht, bestimmte Geräte (an Hand der MAC) bekommen aus einem zweiten Pool DHCP und damit gezielt andere Einstellungen als der generelle Pool. Ist zwar kein "Alias", klappt aber durch das Interface auch so recht einfach.



  • Bei mir sieht die Struktur derzeit so aus:

    LAN-Netz: 192.168.0.0/24
    DHCP-Pool: 192.168.0.190-199 (nur für temporäre oder neue Geräte)

    Alle übrigen Geräte erhalten per Static Mapping anhand der MAC-Adresse immer eine statische IP zugewiesen. Wenn ich nun einen weiteren Pool definiere, dann müsste ich also die Static Mappings der Mobilgeräte zunächst entfernen und im Pool beim Punkt "MAC address control" die einzelnen Adressen Komma-getrennt wieder eintragen? Das hätte natürlich den Nachteil, das die Geräte keine gleichen IP-Adressen mehr erhalten und die Auflistung der MACs mit steigender Anzahl etwas unübersichtlich werden könnte.


  • LAYER 8 Moderator

    Huh? Hast du schonmal einen zweiten Pool definiert?

    Du erhältst dann eine Maske die identisch so aussieht wie der normale DHCP Dialog. Bei einem der Pools (je nachdem was für Einstellungen) definierst du "deny unknown clients", dann werden für den Pool eh nur bekannte (sprich MAC Adresse zugewiesen) Clients angenommen. Und die werden dann ganz normal wieder mit Ihrer MAC einer IP zugewiesen. Warum sollten die dann keine statische IP mehr bekommen? Du kannst für den zweiten Pool dann nur andere Einstellungen wie bspw. DNS etc. vornehmen und das ist doch das was du möchtest?

    Gruß



  • Der zweite Pool wurde mit der IP-Range 192.168.0.180-189 definiert. Dort kann ich allerdings in der Maske keine Static Map Einträge machen und wenn ich die Checkbox "Deny unknown clients" aktiviere, erscheint ebenfalls nichts an neuen Eingabemasken. Beim Versuch einem Client die .180 in der Hauptmaske statisch zuzuweisen, erhalte ich die Fehlermeldung "The IP address must not be within the range configured on a DHCP pool for this interface." (logischerweise). Es scheint, als könnte man die "DHCP Static Mappings" nur im ersten Pool festlegen?


  • LAYER 8 Moderator

    Ah, dann Vergebung schäm ich hatte übersehen, dass die zweite Maske keine MAC Adress Liste mehr bedienen kann.

    Allerdings: wenn deine Mobile Clients eh alle via DHCP fest zugewiesen sind, kannst du doch dort auch problemlos die DNSe überschreiben? Oder arbeite nur für gezielte Geräte mit Mapping. Ich hatte das auch mal angefangen, alles was bei 3 nicht aufm Baum war mit festen IPs zu bewerfen, aber bei Mobilen Geräten, eReadern, Tablets und Co hab ichs irgendwann aufgegeben, weil es sich nicht gelohnt hat. Die IP ist denen ja oft egal und man muss jetzt nicht von außen drauf zugreifen, dass man hier feste Adressen bräuchte - oder gibts den Fall bei dir?

    Deshalb hätte ich den Main Pool jetzt definiert mit "deny unknown clients" und dort alle Clients mit statischem Mapping reingepackt und einen zweiten Pool in den dann alle "sonstigen" Geräte reinpurzeln, die dann auch anderen DNS bekommen. Sprich: keine MAC hinterlegt, andere DNSe. Oder ist das für dein Szenario eher unpraktikabel?



  • Ich kann natürlich beim Static-Mapping pro Gerät in den DNS-Feldern den speziellen DNS eintragen, das funktioniert wie beschrieben auch einwandfrei. Mein Problem ist dort nur die mangelnde Flexibilität und vor allem die fehlende Übersicht - ich kann nirgends in einer Gesamtliste alle Geräte sehen, welche den speziellen DNS verwenden. Und wenn die IP des DNS sich ändern sollte, muss man alle Static Mappings dafür einzeln anfassen und ändern, daher auch meine anfängliche Idee eines Firewall-Alias mit zugehöriger Regel.

    Soweit ich das sehe, kann man nur im primären DHCP-Pool Static Mappings eintragen. Dort muss ich aber zwingend ebenfalls eine Range definieren. Setze ich dort bereits den DNS-Server, so gilt dieser wohl auch für alle Static Mappings, oder sind diese davon getrennt? Bei einem zweiten Gateway konnte man problemlos per Firewall-Rule ein Advanced-Setting vornehmen, ich dachte eigentlich, dass ein anderer DNS-Server ähnlich leicht zu konfigurieren wäre :) Da ich 2x WAN zur Verfügung habe: Würde das ganze funktionieren, wenn der spezielle DNS in einem anderen Subnet (z.B. einem bisherigen Transfernetz) stünde und ich dann eine NAT-Regel mit Port-Forwarding definiere?


Log in to reply