Ergebnis 1 bis 18 von 18

Thema: Möglichkeit für eigenen DNS-Server? (kein Chache oder Proxy)

  1. #1

    Möglichkeit für eigenen DNS-Server? (kein Chache oder Proxy)

    Moin,

    ich würde gerne einen "echten" DNS-Server auf meiner Box betreiben. Auf meinem Via-EPIA powerd Ubuntu-Router/Server lief ein bind, so war das gut.

    Aber nun auf der Box, vermisse ich das Feature, speziell in Zeiten wo man sich um Zensur Sorgen machen muss..

    Gibts ne Möglichkeit? Ich möchte mich ungern von "freien" externen DNS Server abhängig machen..

    Anschluss: T-Home Entertain Comfort Universal (4) VDSL 50 (Vollsync)
    Router: Fritz!Box 7390 @ 84.05.50
    NAS: RaidSonic Icy Box IB-NAS4210-B mit Seagate 7200.12 1000GB
    DECT: Siemens Gigaset S67H
    S0 intern: Siemens Gigaset 4135
    SIP intern: PhonerLite (PC), C470IP
    IPTV-Reciever: MR300 Typ A
    Powerline: Devolo dLan 200 AVplus

  2. #2
    IPPF-Zweitausend-VIP
    Registriert seit
    16.12.2006
    Beiträge
    2.736
    Um externe DNS-Server kommst du wohl nicht rum
    7270v2 54.04.88-freetz-devel (replaced kernel) im ATA-Modus

  3. #3
    IPPF-Tausend-VIP Avatar von cando
    Registriert seit
    28.11.2008
    Beiträge
    1.080
    DNS ist ein hierarchisches Gebilde. Du kannst natürlich eigene private dns Strukturen aufbauen, aber sobald Du im Internet unterwegs bist, brauchst Du die Nameserver des netzes (ausser Du kennst die IP Adressen der Maschinen, die Du erreichen willst).

    Falls Du Dir bekannte Maschinen (IP Adressen) im DNS vermisst, kannst Du diese in deiner hosts Datei pflegen und so der "Zensur" per dns umgehen.
    Oder du trägst manuell bekannte DNS Server aus einem freien, nicht "zensierenden" Land in deine Config ein.

    Ich vermute aber mal, dass die "Zensur" sich bei Dir nicht nur auf die DNS Namen beschränkt, sondern auch das routing zu den betreffenden IP Adressen verhindert (Firewalls, Routing Tabellen, Netzfilter), so dass Du der Zensur trotzdem zum Opfer fällst.

    Einzig verteilte und noch nicht sehr bekannte Proxies oder vpn Tunnel zu nicht zensierten Rechnern können Dir helfen (z.B. tor-Netz etc.) über alternative Pfade dein Ziel zu erreichen.

    Viele Grüße

    cando
    cando? ... Yes, we can!

    FritzBox 7390 FRITZ!OS 06.03 original AVM

  4. #4
    IPPF-Urgestein
    Registriert seit
    22.04.2007
    Beiträge
    12.248
    Man braucht keinen externen Nameserver, man kann genauso gut selbst einen rekursiven Nameserver betreiben. Dnsmasq bietet aber nach der Beschreibung diese Funktion anscheinend nicht selbst, Bind ist aber durchaus in der Lage, sich alle benötigten Informationen zu holen (und ist auch der Nameserver, den die meisten Provider zu diesem Zweck einsetzen). Allerdings ist Bind nicht gerade platzsparend.

  5. #5
    IPPF-Tausend-VIP Avatar von cando
    Registriert seit
    28.11.2008
    Beiträge
    1.080
    Nicht alle dns server erlauben einen kompletten domain transfer bzw. Replikation der Daten zu nicht registrierten privaten name servern, auch eigene sub-domains können nicht einfach so in das dns Gebilde integriert werden, ohne die entsprechenden Berechtigungen.

    Für privat ist ein dns cache eigentlich die bessere Variante. Ich nehme mal an, bind ist im privaten Umfeld eher ein cache für dns Anfragen und kann lokale private "domains" hosten, ohne sie ins Internet zu blasen.
    cando? ... Yes, we can!

    FritzBox 7390 FRITZ!OS 06.03 original AVM

  6. #6
    IPPF-Einsteiger Avatar von lena-marie
    Registriert seit
    12.11.2006
    Ort
    Hamburg
    Beiträge
    23
    genau die vorgenannte Konfigurationist ist wenn dann richtig.
    Der lokale DNS-Server verwaltet nur die lokalen Zonen, ohne diese nach aussen weiter zu geben.
    Des weiteren holt er sich noch die Root-Zonen vom Internich und cached an sonsten alle Anfragen.
    Nun noch die lokalen Domains bei dynDNS mit Wildcard eintragen und Du hast soweit ein recht komfortables lokales Netz und die Möglichkeit z.B. Namebased Virtual hosts auf deinem Apache anzusprechen.
    Bei mir funzt das einwandfrei mit z.Zt. zwei lokalen Domains.
    Um "echte", eigene Nameserver zu betreiben braucht es, zumindest im Geltungsbereich des DENIC mindestens zweier vollständig redundater Nameserver, die nicht im selben Subnetz oder selben C-Klasse liegen dürfen.
    HW: (Fr)Eumex 300 IP, FW: 06.04.33freetz-1.0.3 ausser Dienst gestellt
    Pakete: AVM-Firewall, Bftpd, cifsmount, Dnsmasq, Downloader, Dropbear
    Fritz!Box 7170
    Line: Alice 16MBit flat ADSL 2+ (ITU G.992.5) Annex B

  7. #7
    IPPF-Urgestein
    Registriert seit
    22.04.2007
    Beiträge
    12.248
    Man braucht keinen Domain-Transfer, um DNS-Anfragen zu beantworten. Und ich spreche auch nicht davon, DNS-Server für de-Domains einzurichten, oder überhaupt externe DNS-Anfragen zu beantworten.

    Ein Bind Server kann sowohl als Server eigene Domains zur Verfügung stellen als auch als Resolver beliebige DNS-Anfragen für (normalerweise lokale) Clients beantworten. Es gibt auch noch lwres (BIND 9 lightweight resolver), wobei da lightweight vermutlich auch relativ ist.

    Ein beliebiger Nameserver/Resolver, der rekursive Anfragen für lokale Clients beantwortet, kann eingesetzt werden, um eine DNS-Auflösung unabhängig von DNS-Servern von Providern zu erreichen.

  8. #8
    Genau darum gehts. Kein Hosten von irgendwelchen Domains/Zonen, sondern nur Resolving für die eigenen Clients, da eben der DNS des ISP "kompromitiert" ist und nicht das ausliefert, was tatsächlich kommen sollte.

    Anschluss: T-Home Entertain Comfort Universal (4) VDSL 50 (Vollsync)
    Router: Fritz!Box 7390 @ 84.05.50
    NAS: RaidSonic Icy Box IB-NAS4210-B mit Seagate 7200.12 1000GB
    DECT: Siemens Gigaset S67H
    S0 intern: Siemens Gigaset 4135
    SIP intern: PhonerLite (PC), C470IP
    IPTV-Reciever: MR300 Typ A
    Powerline: Devolo dLan 200 AVplus

  9. #9
    IPPF-Tausend-VIP Avatar von cando
    Registriert seit
    28.11.2008
    Beiträge
    1.080
    Wie soll denn diese Auflösung ohne die externen DNS Server der Provider gehen?
    Willst Du dich immer von den ofiziellen Top-Level Domain DNS Server jeweils herunterhangeln (und die non-authoritative Antworten bei der Auflösung ignorieren)?

    Und was machst Du, wenn die Zensur auf die IP Adress-Bänder deiner Zielrechner vom Provider angewendet wird (Routing Sperre / Firewall)?
    cando? ... Yes, we can!

    FritzBox 7390 FRITZ!OS 06.03 original AVM

  10. #10
    IPPF-Fünfhundert-Club
    Registriert seit
    04.02.2006
    Beiträge
    735
    Zitat Zitat von cando Beitrag anzeigen
    Willst Du dich immer von den ofiziellen Top-Level Domain DNS Server jeweils herunterhangeln (und die non-authoritative Antworten bei der Auflösung ignorieren)?
    Genau das macht eigentlich jeder normale Nameserver (solange keine Forwarder definiert sind).
    Kabel Deutschland Internet
    Asterisk (v-Server)

  11. #11
    Muss ich jetzt ernsthaft erklären wie DNS funktioniert?
    Jeder Resolver hat eine Liste aller ROOT-Server die gemeinsam die . Zone verwalten.

    Die Domain leckere.bratwurst.semmel.de. wird dann eben so aufgeköst:
    Anfrage an einen Server der Zone . (lokal hinterlegt) wer für de zuständig ist
    Anfrage an einen Server aus der Antwort wer für semmel.de zuständiig ist
    Anfrage an einen Server aus der Antwort wer für bratwurst.semmel.de zuständiig ist
    Anfrage an einen Server aus der Antwort wer für leckere.bratwurst.semmel.de ist (A, AAAA, MX usw...)

    Genau das kann ich an jeder Stelle des Internet machen - so funktioniert DNS!
    Das kann ich genauso wie der DNS-Resolver meines ISP.

    Wenn natürlich auf IP-Basis gespertt wird gute Nacht, da hilft nur noch Proxy/VPN im Ausland (bzw bei ISPs die nicht von der Sperre betroffen sind wie alle < 10.000 Kunden, Unis, Behörden usw)

    Anschluss: T-Home Entertain Comfort Universal (4) VDSL 50 (Vollsync)
    Router: Fritz!Box 7390 @ 84.05.50
    NAS: RaidSonic Icy Box IB-NAS4210-B mit Seagate 7200.12 1000GB
    DECT: Siemens Gigaset S67H
    S0 intern: Siemens Gigaset 4135
    SIP intern: PhonerLite (PC), C470IP
    IPTV-Reciever: MR300 Typ A
    Powerline: Devolo dLan 200 AVplus

  12. #12
    IPPF-Fünfhundert-Club
    Registriert seit
    04.02.2006
    Beiträge
    735
    Zitat Zitat von SirSydom Beitrag anzeigen
    Muss ich jetzt ernsthaft erklären wie DNS funktioniert?
    Mir eigentlich nicht.
    Kabel Deutschland Internet
    Asterisk (v-Server)

  13. #13
    IPPF-Aufsteiger
    Registriert seit
    30.06.2005
    Beiträge
    36

    Frage

    was ist jetzt aus der bind geschichte geworden?

    ich hab auch schon seit laengerem die frage (nicht erst seit der deutschen vonderleier diskussion) wie ich (am besten ohne freetz spezialfirmware) am einfachsten beliebige externe dns resolver anderer provider eintragen kann oder noch besser selber n bind auf der fritze laufen zu lassen die nur noch selber mit den dns-rootnameservern spricht und sich dann selber die domains entlanghangelt....

    anyone?

    ich hatte mal zwecklos mit avm kommunizieren versucht und ihnen erklaert dass ich meine dns server bitte selber in der fritze leicht in der web-oberflaeche configurieren moechte, und nicht automatisch den des jeweiligen providers per dsl-einwahl (ppp) oder dhcp (routed/kabelprovider) erhalten moechte. die haben mir dann doch tatsaechlich mehrere wochen lang floskelmails geschrieben dass sie mein problem nicht verstehen wuerden, meine lokalen rechner wuerden doch den dns server per dhcp von der fritze zugeteilt bzw bzw dass die ip der fritzbox den dns-server intern darstellt (reines dns paket forwarding nehme ich an).

    sie habens absolut null gecheckt

    irgendwelche brauchbaren vorschlaege? danke.

  14. #14
    IPPF-Zweitausend-VIP
    Registriert seit
    16.12.2006
    Beiträge
    2.736
    Deine Annahme ist falsch. Ein guter Ansatzpunkt ist die ar7.cfg und/oder resolv.conf
    7270v2 54.04.88-freetz-devel (replaced kernel) im ATA-Modus

  15. #15
    IPPF-Aufsteiger
    Registriert seit
    30.06.2005
    Beiträge
    36
    welche annahme habe ich denn genau? resolver.conf und diese geschichten sind ja recht statisch. klar kann ich da ne riesen latte an ordentlichen provider/service-dns ip adressen da reindumpen, aber auch die koennen sich mal aendern oder outage haben. ein kleiner bind der ueber die root-dns-server anfragt ist da die sicherste methode. ueberall wo ich eigene linux/unix router hardware habe mache ich das so. ist das bind paket irgendwie problematisch ums ins freetz zu bekommen?

    aber am liebsten waere es mir eben mit der standard avm firmware leicht konfigurierbar, oder notfalls eben ueber resolv.conf oder diese andere .cfg datei, aber da muss ich doch irgendwie an den firmwareimages von avm rumspielen oder die neu bauen oder sowas, oder?

    mfg.

  16. #16
    IPPF-Fünftausend-VIP
    Registriert seit
    03.08.2007
    Ort
    BI
    Beiträge
    7.451
    Wenn du Änderungen in der AVM-Firmware haben willst, dann musst du dich am allereinfachsten an AVM wenden....

    Mir reicvht hier ansonsten ein dnsmasq, der sich an einen DNS-Server meiner Wahl wendet, um seine Anfragne aufzulösen. Dann gibt es auch artig weiter den lokalen "Nameserver" (eigentlich forwarder) per DHCP, und den Rest regle ich dann auf meinem eigenen Rootserver...
    Boxen: 7240, 7170, W900V, W701V jeweils mit mehr oder minder aktuellem Freetz-Trunk und irgendwelchen Modifizierungen.

    Aus aktuellem Anlaß: Support gehört ins Forum, IRC oder Trac-System, nicht in mein Postfach oder meine Messenger-Accounts.


    ICQ und andere Kontaktinformationen ab nun nur noch per PN.

  17. #17
    IPPF-Einsteiger
    Registriert seit
    08.05.2009
    Beiträge
    10

    Beitrag Verschiedene Ansätze

    Moin moin,

    nachdem die letzten Beiträge hier schon einige Monate her sind, frage ich mich, ob in der Zwischenzeit schon jemand Erfahrungen mit einem rekursiven DNS auf der Box gemacht hat. In welche Richtungen ich bisher selbst überlegt habe, denke ich hier einfach mal laut vor.

    - Es muss ja nicht direkt der fette BIND sein. Von Funktionsumfang und Konfigurationsmöglichkeiten her bietet dnsmasq ziemlich alles, was man in einem kleinen Netzwerk braucht und ist durch den gemeinsamen Datenbestand für DHCP und DNS schön einfach zu administrieren. Nur die Rekursion fehlt eben.

    - Simpel-Lösung: Man stellt irgendwo "außerhalb" einen BIND hin, an den man die Anfragen forwardet. Da man nicht weltweit gratis DNS-Dienste anbieten möchte, wird der Zugriff eingeschränkt (z.B. per VPN-Tunnel oder Port-Knocking). Das wäre schnell gebaut, hat aber irgendwie ein unästhetisches Design - meine Box soll möglichst autark sein.

    - Vielleicht ist es möglich, dnsmasq um die Rekursion "aufzubohren". Ich bin selbst kein Programmierer und kann daher den Aufwand nicht abschätzen. Und bisher hat auch noch niemand "hier" geschrieen ...

    - Man kann zusätzlich einen minimalen rekursiven DNS auf der Box installieren und in dnsmasq als Upstream eintragen. Dieses Progrämmchen müsste noch nicht mal selbst cachen, das macht ja dnsmasq schon selbst. Aber gibt es eine geeignete Software?

    Für heute hab ich genug laut gedacht. Vielleicht denken ja jetzt andere weiter?

  18. #18
    IPPF-Urgestein
    Registriert seit
    22.04.2007
    Beiträge
    12.248
    Ich bin Programmierer, habe aber keine Lust, den Aufwand abzuschätzen um ein Problem zu lösen, daß ich nicht habe. Erst recht hätte ich keine Lust die notwendigen Erweiterungen vorzunehmen, weil das bedeuten würde, daß man die Updates von dnsmasq nicht mehr weiter nutzen kann, ohne die Erweiterung jedesmal anzupassen.

    Wenn Du einen rekursiven Nameserver willst, kannst Du einen vorhandenen suchen, der auf die Box paßt, oder selbst einen schreiben.

Ähnliche Themen

  1. Eigenen DNS im DHCP Server eintragen ?
    Von hitchhiker im Forum FRITZ!Box Fon: DSL, Internet und Netzwerk
    Antworten: 3
    Letzter Beitrag: 27.02.2007, 22:55
  2. Eigenen SIP-Server verwenden?
    Von MarcelDeLuX im Forum C450 IP
    Antworten: 1
    Letzter Beitrag: 21.10.2006, 10:57
  3. Wie eigenen STUN Server einrichten ?
    Von yost im Forum Sonstiges
    Antworten: 3
    Letzter Beitrag: 09.05.2006, 20:29
  4. Server / Client Möglichkeit für JFritz
    Von Thorsten im Forum JFritz
    Antworten: 4
    Letzter Beitrag: 25.06.2005, 11:03
  5. VoIP-Server-Software mit Gateway-Möglichkeit
    Von aeigb im Forum Andere Software
    Antworten: 6
    Letzter Beitrag: 28.10.2004, 16:29

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •