Netzwerk | Lokale DNS Einträge

Es gibt 24 Antworten in diesem Thema, welches 7.100 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hallo zusammen.


    ich habe bei mir aktuelle drei Netzwerke.

    • Default, LAN, <name>.local
    • IoT, LAN, iot.local
    • Guests, LAN, guests.local

    Mein Rechner ist im Default (Corporate) Netzwerk. EIn ESP ist entsprechend im IoT Netzwerk. Über die IP kann ich vom PC aus den ESP erreichen. Nur über den Namen scheint es nicht zu klappen.


    Wenn ich auf der Linux Console via "host" die IP anfrage bekomme ich den passenden Namen (inkl "iot.local") aufgelöst. Aber "host <name>.iot.local" sagt, dass es keinen Eintrag gibt.


    Wo liegt der / mein Fehler?

    Hallo,


    machst keinen Fehler, der Fehler liegt in deinem Netzwerk-Geräten.

    Was verwendest du als DHCP-Server, weil der am Ende die lokalen Adressen auflösen muss.


    Bei mir funktioniert das, aber DHCP ist kein Unifi-Gerät.


    Kleiner Rat noch, das Default-Netzwerk solltest du aussschliesslich als Management-Netz für die Unifi-Komponenten nutzen und dort keine PC's etc reinpacken.

    DHCP und DNS macht bei mir die UDM-SE


    Zitat von Tuxtom007

    Kleiner Rat noch, das Default-Netzwerk solltest du aussschliesslich als Management-Netz für die Unifi-Komponenten nutzen und dort keine PC's etc reinpacken.

    Das wollte ich ursprünglich auch mal gemacht haben. :grinning_squinting_face:

    Zitat von mf1

    DHCP und DNS macht bei mir die UDM-SE

    und täglich grüßt das Murmeltier :smiling_face:


    Der Client fragt den DNS-Server, der DNS-Server leitet Anfragen für lokale Geräte an den DHCP-Server weiter, der diese beantworten muss und das funktioniert bei der UDM nicht sauber.

    Zitat von Tuxtom007

    und das funktioniert bei der UDM nicht sauber.

    Wenn ich ... nslookup <name>.iot.local <udm-se-IP> aufrufe, wird es korrekt aufgelöst. Gleiches auch mit host


    Welche Alternative könnte ich noch nehmen? Mit einen Docker Container zaubern, der primary DNS wird? Was ist dann mit den vom DHCP vergebenen dyn IP's?

    Zitat von mf1

    Welche Alternative könnte ich noch nehmen?

    Nen pi-hole installieren. Hat den hübschen Nebeneffekt, dass ein bisschen Werbung weggefiltert wird.

    Was ich nicht verstehe... Frage ich die UDM-SE direkt an, bekomme ich den Namen aufgelöst. Ohne gezielte Angabe der UDM aber nicht... Aber im DHCP wird doch die UDM als DNS hinterlegt. Das verwirrt mich ....

    Zitat von Tuxtom007

    Der Client fragt den DNS-Server, der DNS-Server leitet Anfragen für lokale Geräte an den DHCP-Server weiter, der diese beantworten muss und das funktioniert bei der UDM nicht sauber.

    Oha, man lernt nicht aus :winking_face:


    Ein DHCP-Server hat vorrangig die Aufgabe an sich bei ihm per Broadcasting meldende Hosts IP-Adressen aus dem Bereich zu verteilen, welchen ihm irgend jemand mal vorgegeben hat, wobei dies auch mehrere Bereiche sein können.


    Darüber hinaus verteilt dieser -wenn ihm vorgegeben- auch per DHCP (Dynamic Host Configuration Protocol) noch weitere Informationen, welche für die Cleints bzgl. der Netzwerkeinstellungen notwendig sind, darunter ganz wichtig, welchen DNS-Server (das können auch mehrer sein) die Hosts zur Namensauflösung verwenden sollen (übrigens - ein Windows AD-Server kann über 70 voreingestellte zusätzliche + selbstdinierte Informationen an Client mitteilen).


    Die Hosts verwenden sodann um z.B. https://ubiquiti-networks-forum.de (z.Z. 172.67.190.153) aufzulösen, den (die) DNS-Server, welche Ihnen halt per DHCP mitgeteilt wurden. Der, oder einer der DNS-Server kann, muss aber nicht die selbe Kiste sein, auf welcher auch der DHCP-Serverdienst läuft und dieser Server muss noch nicht einmal im lokalem Netz sitzen (manche Hosts haben zusätzlich auch einen eigenen DNS-Dienst, welcher dann zu allererst abgefragt wird = Resolver) .


    Erst wenn dann der erste angefragte, i.d.R. locale DNS-Server die Anfrage nicht auflösen kann, geht diese weiter, auch hier i.d.R. z.B. an den DNS-Server des Providers. Kann auch dieser nicht auflösen, gehts ab ins Inet, wobei dann aber auch andere Abfragemethoden in Frage kommen können.


    Wie sich z.B. bei mir die erfolgreich beantworteten Anfragen auf verschiedene DNS-Server verteilen, sieht man hier:



    wobei auch zwei private Server (einer lokal, einer über VPN) beteiligt sind.


    Naja, lange Rede, kurzer Sinn - aber auf keinen Fall fragt jedoch irgendein DNS-Server jemals einen DHCP-Server an, denn dieser kann mit einer solchen Anfrage auch überhaupt nichts anfangen. Das gilt auch dann, wenn DHCP- und DNS-Dienst/Server auf dem selben Blech / VM laufen. Und warum nun irgendeine Unifi-Kiste mit dem uralten DNS-System nicht klar kommen sollte, erschließt sich mir nicht so ganz - sicher ist hier nur irgend etwas verkonfiguriert.

    Zitat von bic

    und den weiteren hübschen Nebeneffekt, das ohne Whitelist nicht einmal Amazon Prime und Netflix laufen :grinning_squinting_face:

    Das würde ich so nicht bestätigen, wenn man natürlich mit Blocklisten übertreibt, kann das passieren.

    Bei mir sind es 3,7 Mio. in der Blockliste und ich habe keine Probleme.

    Gruß

    defcon

    Gefällt mir 1
    Zitat von defcon

    Bei mir sind es 3,7 Mio. in der Blockliste

    Wow, das ist ja wie bei Twitter, die halbe Welt ist geblockt :grinning_squinting_face:


    Ich dagegen verwende lediglich die "mitgelieferte" Liste von Steven Black und das sind nicht Millionen von Einträgen, sondern z.Z. ganze 108.833 Domains. Das langt vollkommen, alles wirklich entscheidende ist dabei, aber auch hier gibt es schon Probleme bei manchen Diensten. Ich setzte daher auf eine sich automatisch aktualisierende Whitelist, welche diese Probleme behebt --> Dank an die Leute, welche sich die Mühe machen, solche Listen zu pflegen.

    Zitat von bic

    Naja, lange Rede, kurzer Sinn - aber auf keinen Fall fragt jedoch irgendein DNS-Server jemals einen DHCP-Server an, denn dieser kann mit einer solchen Anfrage auch überhaupt nichts anfangen.

    Jein - er fragt den nicht direkt an, wobei der PiHole das z.b. aber macht

    Im PiHole wird die lokale Domain + DHCP-Server eingetragen und Anfragen zu lokalen Hosts werden dahin weitergeleitet, das kann man im Logfile sehr gut beobachten.


    Ich nutze Unbound, aber auch DNSmasq habe eine Funktion, sind DHCP-Leases regelmässig vom DHCP-Server zu holen und damit die Anfragen zu lokalen Hostnamne aufzulösen.

    Bei meinem Unbound ist das aktiv und er beantwortet alle lokalen Anfragen damit sofort:


    Siehe Screenshost von DNSmasq und Unbound


    Und ja, warum Unifi das nicht hinbekommt, erschliesst sich mir auch nicht, das Problem ist schon lange bekannt und immer wieder Thema in diversen Foren.


    Zitat von defcon

    Das würde ich so nicht bestätigen, wenn man natürlich mit Blocklisten übertreibt, kann das passieren.

    Bei mir sind es 3,7 Mio. in der Blockliste und ich habe keine Probleme.

    Ich habe etliche Listen wieder rausgeworfen, weil ich ständig Problem hatte, das Dienste nicht funktionieren. Beim manchen dieser Listenersteller habe ich dad Gefühl, die haben einen Wettstreit haben, wer die meisten Domains drauf packt. Wenn dann Dienste wie Spotify, Github oder AppleStore nicht mehr funktionieren, hört bei mir der Spass dann auf.

    Ich habe zudem noch eine eigene Whitelist auf einem lokalen Webserver liegen, die Adguard regelmässig einliesst.



    Zitat von mf1

    Wenn ich ... nslookup <name>.iot.local <udm-se-IP> aufrufe, wird es korrekt aufgelöst. Gleiches auch mit host


    Welche Alternative könnte ich noch nehmen? Mit einen Docker Container zaubern, der primary DNS wird? Was ist dann mit den vom DHCP vergebenen dyn IP's?

    Auf was für einem OS machst Du diese nslookup-Anfrage? Aktuelle Linux-Derivate halten sich sehr streng an den/die/das entsprechende/n RFC, was die Auflösung . .local betrifft, Microsoft ist da etwas "großzügiger". Damit .local auf Linux sauber funktioniert musst Du dem OS beibringen, dass es .local via DNS auflosen soll. Dieses Dilemma haben wir in der Firma auch - super Idee! :pouting_face:

    Ich benutze zu Hause auch 'nen pi-hole und bin sehr glücklich damit. Man kann ja mittlerweile sehr viel besser bestimmen, welcher Client wie behandelt werden soll. Das ging früher noch nicht.

    Zitat von bic

    und den weiteren hübschen Nebeneffekt, das ohne Whitelist nicht einmal Amazon Prime und Netflix laufen :grinning_squinting_face:

    Das kann ich bisher auch nciht bestätigen. Meine "Adlist" ist auch nur 123.753 Domains lang.

    Zitat von Tuxtom007

    Ich habe etliche Listen wieder rausgeworfen, weil ich ständig Problem hatte

    Bin ich tatsächlich bei dir, hatte am Anfang auch ein paar problematische Listen, aber die Listen die ich jetzt drin habe machen mir tatsächlich überhaupt keine Zicken.

    Gruß

    defcon

    Zitat von razor

    Auf was für einem OS machst Du diese nslookup-Anfrage?

    Ich mache das auf der Ubuntu Console. Interessanterweise klappt die Auflösung für Geräte in der gleichen Domain wie mein PC. Aber wenn ich Geräte aus einem anderen Netzwerk (auch von der UDM verwaltet) auflösen will, geht es nicht. Reverse Lookup klappt. Den aufgelösten Namen wieder anfragen geht aber nicht....

    Ich habe jetzt im Hauptnetzwerk nur local als Domain hinterlegt. Das Netzwerk iot.local bleibt bestehen.


    Jetzt kann ich auch aus dem Hauptnetzwerk Geräte im IOT Netzwerk auflösen.

    In der /etc/resolve.conf steht jetzt nicht mehr search <domain>.local sondern search local


    Aus dem IOT Netzwerk bin ich mir dann noch nicht so sicher... Werde ich beobachten.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von mf1 mit diesem Beitrag zusammengefügt.

    Zitat von razor

    Auf was für einem OS machst Du diese nslookup-Anfrage? Aktuelle Linux-Derivate halten sich sehr streng an den/die/das entsprechende/n RFC, was die Auflösung . .local betrifft, Microsoft ist da etwas "großzügiger". Damit .local auf Linux sauber funktioniert musst Du dem OS beibringen, dass es .local via DNS auflosen soll. Dieses Dilemma haben wir in der Firma auch - super Idee! :pouting_face:

    Ich benutze zu Hause auch 'nen pi-hole und bin sehr glücklich damit. Man kann ja mittlerweile sehr viel besser bestimmen, welcher Client wie behandelt werden soll. Das ging früher noch nicht.

    Das kann ich bisher auch nciht bestätigen. Meine "Adlist" ist auch nur 123.753 Domains lang.

    Fairerweise muss man ja jetzt aber auch sagen dass .local eigentlich nicht genutzt werden sollte zumindest im geschäftlichen Bereich.


    Bei uns im Betrieb läuft aber auch noch alles auf .local, so bald wir die kommenden größeren Projekte dieses Jahr abgearbeitet haben will ich mal schauen ob ich meinen Kollegen dazu überredet bekomme dass wir das AD neu aufsetzen und dann auf sowas wie .intern wechseln.

    Zitat von KJL

    dann auf sowas wie .intern wechseln

    Aber dann hast du doch auch wieder das Problem, wenn .intern irgendwann eine offizielle TLD wird, oder?

    Und wieso sollte man kein .local nehmen?


    Was wäre denn der beste Weg die lokalen Namen (ohne AD) zu definieren. Gerade wenn man - wie ich - mehrere Netze nutzen will.

    Zitat von mf1

    Und wieso sollte man kein .local nehmen?

    .local ist mal für lokale Netzwerke vorgesehen gewesen. Mittlerweile ist es aber egal, ich nutze zuhause z.b auch eine normale Domain ( .net ) , die auf meinen Namen registriert ist

    Und auch bei uns im Firmennetz haben die Rechner normale .com oder .de Domains.


    Man muss nur eben verhindern, das DNS-Anfragen dazu ins Internet gehen, die würden ins leere laufen.

    Zitat von Tuxtom007

    Im PiHole wird die lokale Domain + DHCP-Server eingetragen und Anfragen zu lokalen Hosts werden dahin weitergeleitet, das kann man im Logfile sehr gut beobachten....


    .... ich nutze Unbound, aber auch DNSmasq habe eine Funktion, sind DHCP-Leases regelmässig vom DHCP-Server zu holen und damit die Anfragen zu lokalen Hostnamne aufzulösen....

    Nöööö ... ich versuche es aber nicht noch einmal zu erklären. An besten, Du bemühst mal Tante Google, da findest Du Erklärungen die besser sind, als das, was ich aufschreiben könnte :confused_face:

    Ich nutze Privat .lan als Endung. Wir haben aber auch einen Kunden wo wir eine de Domain nutzen um Splitdns nutzen zu können was Unifi bis heute nicht kann.