DNS mit Domain und Subdomain

[Frank73]

Hallo zusammen,

da dies mein erster Post ist, möchte ich mich kurz vorstellen:
Ich bin kein ausgebildeter IT-ler, und beschäftige mich mit den Themen rund um mein kleines Heimnetz im Wesentlichen nur am Wochenende. Ich nutze eine Synology (bis vor kurzem als reines "Datengrab", in letzter Zeit jedoch auch darüber hinaus). Bei mir laufen zur Zeit im Docker acme.sh, vaultwarden und ecoDMS.
Einen Zugriff von außen nutze ich derzeit nicht, steht aber irgendwann an.

Letztes Wochenende habe ich deswegen meinen Adressraum von 192.168.2.x umgestellt, sodass einer späteren Nutzung von VPN nichts im Wege steht (im Forum habe ich gelesen, dass es auf Grund der Häufigkeit dieses verwendeten Adressraumes zu Problemen mit "doppelten" IPs bei Nutzung von VPN geben kann).
Dabei ist mir aufgefallen, wo überall eine IP steht, was die Umstellung nicht ganz so einfach gemacht hat. Deshalb war meine Idee, mittels DNS Hostnamen zu verwenden und die IPs zentral nur an einer Stelle zu ändern (sollte mal wieder Bedarf sein).

Aktuell sieht es so aus:
Nutzung des Paketes "DNS" (kein Adguard oder PiHole).
Als Zonen-ID eingetragen: "domäne.tld"
Div. A-Records mit IP -Verweis auf ded DNS-Server (NAS)
Nutzung Reverse-Proxy auf die verschiedenen Hosts (Drucker, Pi, SIP-Telefone) --> Zugriff per SSL möglich, da diese Domäne zertifiziert ist.
Als Forwarder: IP der FB
Die FB gibt per DHCP den internen DNS bekannt (IPv4 und IPv6)
NAS hat statische IPs (IPv4 und IPv6 per LLA [fe80::])

Problem:
Da im DNS jeder Hostname auf die IP des DNS zeigt, kann ich diese nicht in den Skripten für das Mapping der Netzlaufwerke verwenden.

Ein User dieses Forums gab mir dann den Hinweis inkl. Vorschläge dies mit einer internen Subdomain zu lösen.
Bevor ich aber was falsch mache, wollte ich nochmals nachfragen, nicht dass ich dann was verschlimmbessere

Jetzt meine Frage:
Kann ich im DNS eine weitere Zonen-ID anlegen mit Namen "home.domäne.tld" und dann mit A-Records auf die Hostnamen direkt verweisen?

Bsp.:
IP DNS: 1.2.3.4
IP Pi: 9.8.7.6
Zonen-ID 1 "domäne.tld"
A-Record: "pi.domäne.tld" --> IP 1.2.3.4 --> Zugriff über Reverse-Proxy auf die WebGui per SSL

Zonen-ID 2 "home.domäne.tld"
A-Record: "pi.home.domäne.tls" --> IP 9.8.7.6 --> Verwendung des Namen in den Skripten

Danke für Eure Hilfe

 

[blurrrr]

Hi!

Ja, kannst Du. DNS ist auch nur ein "Zeiger", bei mehreren Forward-Zonen (FQDN zu IP) ist das kein Problem, lediglich bei den PTR-Records (IP zu FQDN) kannst Du lediglich "einen" Eintrag setzen

 

[Frank73]

War es das, was du mit Subdomains gemeint hast?

Da ich über die FB auch IPv6-Adressen intern zulasse, macht es Sinn nur IPv4 als A-Record, oder schon parallel auch IPv6 als AAAA-Record [fe80::]zu hinterlegen.
So wie ich das gelesen habe, favorisieren die Rechner teilweise IPv6.

Danke und Gruß

 

[blurrrr]

Genau, A/AAAA-Records kannst Du beliebig viele auf eine IP zeigen lassen

 

[Frank73]

Danke @blurrrr

Was mir noch aufgefallen ist:
Bei meiner NAS steht bei IPv6 als "Bevorzugter DNS Server" die NAS selbst drin, da der DNS für IPv6 auch über die FB verteilt wird.
Macht das Probleme wenn der DNS auf sich selbst zeigt?

 

[blurrrr]

Sollte eigentlich kein Problem geben, bzw. kannst auch ganz einfach testen, indem Du den v4-DNS auch auf ihn selbst zeigen lässt. Danach kannst Du ja mal das Paketzentrum aufrufen o.ä., wenn dann nichts geht, weisste Bescheid Sollte aber meines Erachtens nach alles funktionieren (auch wenn meine Syno nicht auf sich selbst zeigt).

 

[Frank73]

Habe v4-DNS auf auch sich selbst zeigen lassen und im Paktezentrum ein Paket aktualisiert --> funktioniert.

Wie hast du es fertig gebacht, dass deine Syno nicht selbst auf sich zeigt?

Sowohl unter Windows, als auch unter Linus kann man eine automatische Versorgung der IPs per DHCP administrieren und trotzdem einen manuellen DNS hinterlegen. Solch eine Möglichkeit habe ich in DSM nicht gefunden.

 

[blurrrr]

Wie hast du es fertig gebacht, dass deine Syno nicht selbst auf sich zeigt?

Indem das NAS statische IP-Informationen bekommen hat... Alles was irgendwelche "Dienste" für andere anbietet, bekommt bei mir statische Adressen

Versorgung der IPs per DHCP administrieren und trotzdem einen manuellen DNS hinterlegen. Solch eine Möglichkeit habe ich in DSM nicht gefunden.

Schau mal hier:



Falls es das ist, was Du meintest.... ?

 

[Frank73]

Indem das NAS statische IP-Informationen bekommen hat... Alles was irgendwelche "Dienste" für andere anbietet, bekommt bei mir statische Adressen

Mach ich auch so. Funktioniert bei IPv4 ohne Probleme. Bei IPv6 geht es leider nicht so einfach, da ich keine feste IPv6-Adresse vom ISP bekomme. Einstellung bei mir ist deshalb bei IPv6 automatisch und somit kann ich die DNS-Einträge manuell nicht anpassen.

Die Einstellung auf der NAS habe ich probiert, allerdings hat dies keine Auswirkung auf die DNS-Einträge unter IPv6. Dieser bleibt unverändert auf sich selbst stehen.

Ich habe mir überlegt, ob ich jetzt einfach hingehe und meinen beiden Rechner, welche jeweils aktuell noch ein IP (v4 und v6) per DHCP zugewiesen bekommen, diesen eine statische Adresse zuweise und somit bei IPv6 die Möglichkeit habe manuell individuelle DNS zu hinterlegen.

In der FB würde ich dann für IPv4 und IPv6 wieder die DNS der FB per DHCP verteilen.
Die Geräte (Handy, Tabs ...), welche nicht die DNS-Dienste im interner Netz benötigten werden weiterhin per DHCP versorgt.

 

[blurrrr]

Einstellung bei mir ist deshalb bei IPv6 automatisch und somit kann ich die DNS-Einträge manuell nicht anpassen.

Vergibt einfach eine ULA (fd...) für das NAS (und somit den internen DNS), das mach ich hier auch so.

 

[Frank73]

Auch wenn ich jetzt vermutlich wieder blöd frage.

Ich habe mal ein Scrrenshot von den IPv6-Einstellungen der NAS (auf der auch der DNS läuft) beigefügt:

Die IPv6-Adresse wird ja benötigt um darüber die Internet-Konnetivität herzustellen (GUA). Die kann ich nicht manuell vergeben, da mit jedem Trennen der Verbindung zum ISP ein Teil neu vergeben wird.

Das "Standard-Gateway" beinhaltet die IPv6-Adresse der FB (fe80::, damit LLA)

"Bevorzugter DNS-Server" beinhaltet die IPV6-Adresse der NAS (auf der der DNS läuft [fe80::]).
--> Bei IPv4 habe ich manuell eine statische Adresse angelegt und den "Bevorzugter DNS-Server" damit manuell auf die IPv4-Adresse der FB eintragen können.
--> Bei IPv6 kann ich manuell nichts ändern, da "Automatisch" ausgewählt ist.

Da ich nur ein Subnetz habe, nutze ich aktuell nur die LLA (und keine ULA), was aktuell auch funtkioniert.

Ich wollte eigentlich "nur", dass beim "Bevorzgter DNS-Server" die "fe80"-Adresse der FB steht, damit der DNS nicht auf sich selbt zeigt (auch wenns funktioniert).

Danke für weiteren Input und deine (bisherige) Geduld.

 

[blurrrr]

Schau mal hier: https://avm.de/service/wissensdaten...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/

 

[Frank73]

Genau das ist ja mein Dilemma.
In der FB verteile ich sowohl für IPv4 und IPv6 die Adressen des lokalen DNS (= NAS auf welchem der DNS läuft); so wie im Link zu AVM beschrieben.
Auf dem NAS kann ich bei IPv4 den DNS manuell abändern, in meinen Fall habe ich hier die IPv4 der FB eingetragen. Bei IPv6 kann ich dies nicht, da diese Adresse automatisch erstellt wird und somit die anderen Felder nicht änderbar sind. Dadurch zeigt die "fe80"-Adresse auf die NAS selbst (weil in der FB auf der LAN-Seite so hinterlegt.

Stelle ich auf der FB alles wieder auf Standard, werden die IPs des lokalen DNS mehr verteilt, sondern nur noch die IPs der FB.
Dadurch würden die Rechner, welche alles per DHCP von der FB zugewiesen bekommen, auch nicht mehr den lokalen DNS nutzen können.

Ich sehe langsam vor lauter Bäumen den Wald nicht mehr.

 

[blurrrr]

Und ich versteh das Problem anscheinend nicht so richtig... Gib dem NAS doch einfach eine statische IP (fd..) und jut ist? Die fe80 gibt es ja trotzdem noch für das NAS? Alternativ - wenn Dein Problem echt "nur" der DNS der Syno ist:



Das funktioniert nicht?

Dadurch zeigt die "fe80"-Adresse auf die NAS selbst (weil in der FB auf der LAN-Seite so hinterlegt.

Verstehe ehrlich gesagt nicht, wo da das Problem liegen soll, denn das NAS würde ja (so wie für alle anderen Clients auch), die Anfrage entsprechend weiterleiten (Syno: DNS-Server/Auflösung/Forwarder)

 

[Barungar]

Du müsstest halt bei IPv6 von automatisch auf "manuell" umstellen am NAS.
Dann kannst Du dort alle Wert anpassen.

Edit: Okay, ich erkenne das Problem bei der GA bei wechselndem Prefix. Ich denke da nie dran, weil ich ein fixes IPv4 und IPv6 nutze.

 

[Frank73]

So langsam wird es wieder heller an meinem Horizont.

@blurrrr
Eintragen kann ich es. Ich bin allerdings davon ausgegangen, dass dieser Wert auf den Reiter "IPV6" übernommen wird, und diese Adresse dann bei "Bevorzugter DNS-Server" angezeigt wird. --> Das ist allerdings nicht der Fall.

Verstehe ehrlich gesagt nicht, wo da das Problem liegen soll, denn das NAS würde ja (so wie für alle anderen Clients auch), die Anfrage entsprechend weiterleiten (Syno: DNS-Server/Auflösung/Forwarder)

So sehe ich das eigentlich auch. Dann würde ich noch den IPv4 Eintrag abändern wollen, sodass auch hier die DNS-IP der NAS steht und nicht mehr die FB.

@Barungar
Da ich leider keine feste IPs vom ISP bekomme, bin ich an dieser Stelle nicht ganz so flexibel.

Damit wären meine Fragen alle beantwortet. Ich danke euch für die Zeit und den Input!

 

[Frank73]

Hallo zusammen,

Bsp von oben:
IP lokaler DNS: 1.2.3.4
IP Pi: 9.8.7.6

Zonen-ID 1 "domäne.tld"
A-Record: "pi.domäne.tld" --> IP 1.2.3.4 --> Zugriff über Reverse-Proxy auf die WebGui des Pi's per SSL

Zonen-ID 2 "home.domäne.tld"
A-Record: "pi.home.domäne.tls" --> IP 9.8.7.6 --> Verwendung des Namen in den Skripten

Und hier ist dann auch schon das nächste "Problem(chen)" mit meiner eigenen Website "domäne.tld" (wird bei einem Webhoster gehostet).

Will ich meine Website "domäne.tld" aufrufen funktioniert dies nicht. Ist für mich auch logisch, da mein lokaler DNS für die Domäne authorativ ist und somit keine Weiterleitung an die FB und somit in das www erfolgt.

Wie kann ich das wieder gerade biegen, sodass ich auf meine öffentliche Website komme?
Sorry, stehe im Moment auf dem Schlauch

Danke

 

[Barungar]

Na, dann trag halt die Daten Deiner Webseite auf Deinem lokalen DNS ein.
Da es bei einem Webhoster liegt, wird sich die IP ja nicht ändern.

 

[Frank73]

Da habe ich mir wohl ein Ei gelegt indem ich meine öffentliche Domäne auch als interne Domäne verwende.
Nu isses wie es iss.

Durch den Eintrag im DNS funktioniert der Zugriff wieder.

 

[Frank73]

In den letzten Wochen habe ich mich intensiver mit den Einstellungen der Firewall beschäftigt (inkl. IPv6).
Dadurch bin ich jetzt gerade am "Feinschliff" meines internen DNS-Servers (NAS).

In meiner Zone "intern.domain.tld" gibt es einen Eintrag vom Typ "NS" der auf den Host "ns.intern.domain.tld" zeigt (wurde automatisch angelegt).
Zusäzlich gibt es einen weiteren Eintrag "ns.intern.domain.tld" vom Typ "A" welcher auf die IPv4-Adresse der NAS zeigt.

Ist es noch erforderlich einen Eintrag "ns.intern.domain.tld" vom Typ "AAAA" auf die IPv6 zu setzen?