DNS-Server nicht erreichbar

[Robocop 10]

Wenn ich einen eigenen DNS-Server betreibe, muss ich den bei meinem Router als virtuellen Server einrichten?

 

Ich habe dies mal mit folgender Konfiguration gemacht:

Pakettyp: udp

Port: 53 bis 53

Ip: des DNS-Servers

 

Wenn ich jetzt ein Tracert von aussen setze, wird die Route nur bis zu meinem Router verfolgt, den DNS-Server findet Tracert nicht.

 

Woran könnte das liegen? Firewall des Routers ist alles deaktiviert.

[edv-olaf 10]

Hallo,

 

virtuelle Server (sogenanntes DNAT, Destination Network Adress Translation) siehst du von aussen nicht. Es scheint, der Router wäre der DNS-Server.

 

Grüße

Olaf

[Robocop 10]

Mein DNS-Server läuft über eine bestimmte IP. Die ist anders als die vom Router. Kann ich dem Router irgendwie "sagen", dass er zu dem DNS-Server weiterleiten soll?

[weimer 10]

Wie das geht hängt ganz von deinem Router ab.

 

Normalerweise erstellst du in der Router-Konfig einen virtuellen DNS mit IP-Adresse deines DNS-Servers. Du musst wahrscheinlich - abhängig vom Router - noch den DNS-Port freischalten, dann sollte es gehen.

 

Tracert sollte dich bis zu dem Router bringen, der ja den virtuellen DNS-Server bereitstellt. Dieser virtuelle Server verweist nun alle Anfragen weiter an die Zieladresse, d.h. du siehst zwar von außen nur den Router, die Anfragen werden aber korrekt weitergegeben.

 

Ein offen stehender Router mit aktivem DNS-Server dahinter ist allerdings nicht zu empfehlen... -> Firewall an und Port freigeben ;)

 

Sollte ich das jetzt komplett falsch verstanden haben, dann bitte ich um Aufklärng... :wink2:

Aber so hab ich den Sinn und die Funktionsweise des virtuellen DNS-Servers auf Routern verstanden.

 

Viel Glück

 

greetings

weimer

[Robocop 10]

ich hatte meinen Router offen (ohne Firewall und Portfreigaben) und einen virtuellen Server eingerichtet.

 

Virtueller Server

 

Anfragen an Ip über Port 53 weiterleiten

 

Die Ip ist der DNS-Server.

 

bei einem Tracert wird diese Ip nicht mehr angezeigt.

 

Normal?

[weimer 10]

Wie gesagt: Von Außen sieht man nur den Router bzw. den virtuellen DNS-Server des Routers und nicht die IP des realen DNS-Servers hinter dem Router.

 

Der virtuelle DNS-Server leitet dann alle Anfragen an die angegebene IP weiter.

 

Also: Ja, das ist normal.

 

Sollte ich falsch liegen, so möge mich jemand verbessern... Irren ist menschlich. :rolleyes:

 

Wozu sollte sonst ein virtueller DNS da sein auf dem Router? ;)

 

Viel Spaß beim DNSen.

 

greetings

weimer

[edv-olaf 10]

Ich wiederhole mich gerne, auch wenn ich nicht verstehe, warum es fünf Leute erzählen müssen, bis man es glaubt

 

(siehe Posting 2)

virtuelle Server (sogenanntes DNAT, Destination Network Adress Translation) siehst du von aussen nicht. Es scheint, der Router wäre der DNS-Server.

 

Grüße

Olaf

[Robocop 10]

was bringt mir die Firewall?

 

alle Ports über 1023 müssen für externe anfragen an den dns-server offen sein .

 

wollte ausser 53 alle schliessen.

[grizzly999 11]

alle Ports über 1023 müssen für externe anfragen an den dns-server offen sein

Wieso das denn? DNS-Queries abeiten nur auf Port 53 UDP

 

 

grizzly999

[Robocop 10]

für den dns-lookup müssen doch die Ports über 1023 geöffnet sein, oder verstehe ich das falsch?

[edv-olaf 10]

Hallo,

 

gehe ich recht in der Annahme, dass deine ursprüngliche Frage nach dem Traceroute beantwortet ist und dies nun eine völlig neue Frage ist?

 

Dann eine völlig neue Antwort:

Es kommt immer drauf an, in welcher Richtung, welchen Quellport und welchen Zielport du betrachtest. Für HTTP-Requests der internen Clients müsstest du z. B. auch alle High-Ports öffnen - jedoch in ausgehender Richtung und mit dem ausschließlichen Ziel-Port 80. Damit bekommt die Firewall (genauer der Paketfilter) dann einen Sinn.

 

Grüße

Olaf

[Robocop 10]

Frage ist noch nicht ganz beantwortet, aber ich denke, so langsam in die Richtung.

 

Dass heisst also, im Paketfilter ist der Ursprungsport unbekannt, aber der gewünschte Zielport muss dann bei DNS 53 sein ?

 

Also wenn ich eintrage im Filter alle Ursprungs-IP und alle 65535 Ports die an eine bestimmte IP mit einem bestimmten Port wollen, hier 53 dürfen dass, aber an alle anderen Ports dürfen die nicht?

[edv-olaf 10]

Fast richtig:

* 65535-1024=64511 Ports (die Well-Known-Ports 1-1024 werden nicht als Quellport verwendet)

* es wird UDP verwendet (kannst du also auch einschränken)

 

Grüße

Olaf

[Robocop 10]

Habe ich mich schon wiederholt ? :-)

 

Die bösen Menschen kommen wirklich nicht an Port 12 oder so ran?

[edv-olaf 10]

Wenn es im Router so konfigurierbar ist (so sähe das Regelwerk zumindest in einer Firewall aus), dann erlaubst du in diesem Fall nur und ausschließlich ausgehende UDP-Datagramme von Highports auf Port 53.

 

Wenn der Router eine halbwegs sinnvolle Firewall-Implementation hat, dann musst du dir um die Antwortpakete keine Gedanken machen, sonst noch erlauben: von Port 53 eingehende UDPs auf Highports.

 

Grüße

Olaf