Möglichkeit für eigenen DNS-Server? (kein Chache oder Proxy)

SirSydom

Neuer User
Mitglied seit
4 Jun 2005
Beiträge
116
Punkte für Reaktionen
0
Punkte
16
Moin,

ich würde gerne einen "echten" DNS-Server auf meiner Box betreiben. Auf meinem Via-EPIA powerd Ubuntu-Router/Server lief ein bind, so war das gut.

Aber nun auf der Box, vermisse ich das Feature, speziell in Zeiten wo man sich um Zensur Sorgen machen muss..

Gibts ne Möglichkeit? Ich möchte mich ungern von "freien" externen DNS Server abhängig machen..
 
Um externe DNS-Server kommst du wohl nicht rum
 
DNS ist ein hierarchisches Gebilde. Du kannst natürlich eigene private dns Strukturen aufbauen, aber sobald Du im Internet unterwegs bist, brauchst Du die Nameserver des netzes (ausser Du kennst die IP Adressen der Maschinen, die Du erreichen willst).

Falls Du Dir bekannte Maschinen (IP Adressen) im DNS vermisst, kannst Du diese in deiner hosts Datei pflegen und so der "Zensur" per dns umgehen.
Oder du trägst manuell bekannte DNS Server aus einem freien, nicht "zensierenden" Land in deine Config ein.

Ich vermute aber mal, dass die "Zensur" sich bei Dir nicht nur auf die DNS Namen beschränkt, sondern auch das routing zu den betreffenden IP Adressen verhindert (Firewalls, Routing Tabellen, Netzfilter), so dass Du der Zensur trotzdem zum Opfer fällst.

Einzig verteilte und noch nicht sehr bekannte Proxies oder vpn Tunnel zu nicht zensierten Rechnern können Dir helfen (z.B. tor-Netz etc.) über alternative Pfade dein Ziel zu erreichen.

Viele Grüße

cando
 
Man braucht keinen externen Nameserver, man kann genauso gut selbst einen rekursiven Nameserver betreiben. Dnsmasq bietet aber nach der Beschreibung diese Funktion anscheinend nicht selbst, Bind ist aber durchaus in der Lage, sich alle benötigten Informationen zu holen (und ist auch der Nameserver, den die meisten Provider zu diesem Zweck einsetzen). Allerdings ist Bind nicht gerade platzsparend.
 
Nicht alle dns server erlauben einen kompletten domain transfer bzw. Replikation der Daten zu nicht registrierten privaten name servern, auch eigene sub-domains können nicht einfach so in das dns Gebilde integriert werden, ohne die entsprechenden Berechtigungen.

Für privat ist ein dns cache eigentlich die bessere Variante. Ich nehme mal an, bind ist im privaten Umfeld eher ein cache für dns Anfragen und kann lokale private "domains" hosten, ohne sie ins Internet zu blasen.
 
genau die vorgenannte Konfigurationist ist wenn dann richtig.
Der lokale DNS-Server verwaltet nur die lokalen Zonen, ohne diese nach aussen weiter zu geben.
Des weiteren holt er sich noch die Root-Zonen vom Internich und cached an sonsten alle Anfragen.
Nun noch die lokalen Domains bei dynDNS mit Wildcard eintragen und Du hast soweit ein recht komfortables lokales Netz und die Möglichkeit z.B. Namebased Virtual hosts auf deinem Apache anzusprechen.
Bei mir funzt das einwandfrei mit z.Zt. zwei lokalen Domains.
Um "echte", eigene Nameserver zu betreiben braucht es, zumindest im Geltungsbereich des DENIC mindestens zweier vollständig redundater Nameserver, die nicht im selben Subnetz oder selben C-Klasse liegen dürfen.
 
Man braucht keinen Domain-Transfer, um DNS-Anfragen zu beantworten. Und ich spreche auch nicht davon, DNS-Server für de-Domains einzurichten, oder überhaupt externe DNS-Anfragen zu beantworten.

Ein Bind Server kann sowohl als Server eigene Domains zur Verfügung stellen als auch als Resolver beliebige DNS-Anfragen für (normalerweise lokale) Clients beantworten. Es gibt auch noch lwres (BIND 9 lightweight resolver), wobei da lightweight vermutlich auch relativ ist.

Ein beliebiger Nameserver/Resolver, der rekursive Anfragen für lokale Clients beantwortet, kann eingesetzt werden, um eine DNS-Auflösung unabhängig von DNS-Servern von Providern zu erreichen.
 
Genau darum gehts. Kein Hosten von irgendwelchen Domains/Zonen, sondern nur Resolving für die eigenen Clients, da eben der DNS des ISP "kompromitiert" ist und nicht das ausliefert, was tatsächlich kommen sollte.
 
Wie soll denn diese Auflösung ohne die externen DNS Server der Provider gehen?
Willst Du dich immer von den ofiziellen Top-Level Domain DNS Server jeweils herunterhangeln (und die non-authoritative Antworten bei der Auflösung ignorieren)?

Und was machst Du, wenn die Zensur auf die IP Adress-Bänder deiner Zielrechner vom Provider angewendet wird (Routing Sperre / Firewall)?
 
Willst Du dich immer von den ofiziellen Top-Level Domain DNS Server jeweils herunterhangeln (und die non-authoritative Antworten bei der Auflösung ignorieren)?

Genau das macht eigentlich jeder normale Nameserver (solange keine Forwarder definiert sind).
 
Muss ich jetzt ernsthaft erklären wie DNS funktioniert?
Jeder Resolver hat eine Liste aller ROOT-Server die gemeinsam die . Zone verwalten.

Die Domain leckere.bratwurst.semmel.de. wird dann eben so aufgeköst:
Anfrage an einen Server der Zone . (lokal hinterlegt) wer für de zuständig ist
Anfrage an einen Server aus der Antwort wer für semmel.de zuständiig ist
Anfrage an einen Server aus der Antwort wer für bratwurst.semmel.de zuständiig ist
Anfrage an einen Server aus der Antwort wer für leckere.bratwurst.semmel.de ist (A, AAAA, MX usw...)

Genau das kann ich an jeder Stelle des Internet machen - so funktioniert DNS!
Das kann ich genauso wie der DNS-Resolver meines ISP.

Wenn natürlich auf IP-Basis gespertt wird gute Nacht, da hilft nur noch Proxy/VPN im Ausland (bzw bei ISPs die nicht von der Sperre betroffen sind wie alle < 10.000 Kunden, Unis, Behörden usw)
 
was ist jetzt aus der bind geschichte geworden?

ich hab auch schon seit laengerem die frage (nicht erst seit der deutschen vonderleier diskussion) wie ich (am besten ohne freetz spezialfirmware) am einfachsten beliebige externe dns resolver anderer provider eintragen kann oder noch besser selber n bind auf der fritze laufen zu lassen die nur noch selber mit den dns-rootnameservern spricht und sich dann selber die domains entlanghangelt....

anyone?

ich hatte mal zwecklos mit avm kommunizieren versucht und ihnen erklaert dass ich meine dns server bitte selber in der fritze leicht in der web-oberflaeche configurieren moechte, und nicht automatisch den des jeweiligen providers per dsl-einwahl (ppp) oder dhcp (routed/kabelprovider) erhalten moechte. die haben mir dann doch tatsaechlich mehrere wochen lang floskelmails geschrieben dass sie mein problem nicht verstehen wuerden, meine lokalen rechner wuerden doch den dns server per dhcp von der fritze zugeteilt bzw bzw dass die ip der fritzbox den dns-server intern darstellt (reines dns paket forwarding nehme ich an).

sie habens absolut null gecheckt :(

irgendwelche brauchbaren vorschlaege? danke.
 
Deine Annahme ist falsch. Ein guter Ansatzpunkt ist die ar7.cfg und/oder resolv.conf
 
welche annahme habe ich denn genau? resolver.conf und diese geschichten sind ja recht statisch. klar kann ich da ne riesen latte an ordentlichen provider/service-dns ip adressen da reindumpen, aber auch die koennen sich mal aendern oder outage haben. ein kleiner bind der ueber die root-dns-server anfragt ist da die sicherste methode. ueberall wo ich eigene linux/unix router hardware habe mache ich das so. ist das bind paket irgendwie problematisch ums ins freetz zu bekommen?

aber am liebsten waere es mir eben mit der standard avm firmware leicht konfigurierbar, oder notfalls eben ueber resolv.conf oder diese andere .cfg datei, aber da muss ich doch irgendwie an den firmwareimages von avm rumspielen oder die neu bauen oder sowas, oder?

mfg.
 
Wenn du Änderungen in der AVM-Firmware haben willst, dann musst du dich am allereinfachsten an AVM wenden....

Mir reicvht hier ansonsten ein dnsmasq, der sich an einen DNS-Server meiner Wahl wendet, um seine Anfragne aufzulösen. Dann gibt es auch artig weiter den lokalen "Nameserver" (eigentlich forwarder) per DHCP, und den Rest regle ich dann auf meinem eigenen Rootserver...
 
Verschiedene Ansätze

Moin moin,

nachdem die letzten Beiträge hier schon einige Monate her sind, frage ich mich, ob in der Zwischenzeit schon jemand Erfahrungen mit einem rekursiven DNS auf der Box gemacht hat. In welche Richtungen ich bisher selbst überlegt habe, denke ich hier einfach mal laut vor.

- Es muss ja nicht direkt der fette BIND sein. Von Funktionsumfang und Konfigurationsmöglichkeiten her bietet dnsmasq ziemlich alles, was man in einem kleinen Netzwerk braucht und ist durch den gemeinsamen Datenbestand für DHCP und DNS schön einfach zu administrieren. Nur die Rekursion fehlt eben.

- Simpel-Lösung: Man stellt irgendwo "außerhalb" einen BIND hin, an den man die Anfragen forwardet. Da man nicht weltweit gratis DNS-Dienste anbieten möchte, wird der Zugriff eingeschränkt (z.B. per VPN-Tunnel oder Port-Knocking). Das wäre schnell gebaut, hat aber irgendwie ein unästhetisches Design - meine Box soll möglichst autark sein.

- Vielleicht ist es möglich, dnsmasq um die Rekursion "aufzubohren". Ich bin selbst kein Programmierer und kann daher den Aufwand nicht abschätzen. Und bisher hat auch noch niemand "hier" geschrieen ...

- Man kann zusätzlich einen minimalen rekursiven DNS auf der Box installieren und in dnsmasq als Upstream eintragen. Dieses Progrämmchen müsste noch nicht mal selbst cachen, das macht ja dnsmasq schon selbst. Aber gibt es eine geeignete Software?

Für heute hab ich genug laut gedacht. Vielleicht denken ja jetzt andere weiter? :)
 
Ich bin Programmierer, habe aber keine Lust, den Aufwand abzuschätzen um ein Problem zu lösen, daß ich nicht habe. Erst recht hätte ich keine Lust die notwendigen Erweiterungen vorzunehmen, weil das bedeuten würde, daß man die Updates von dnsmasq nicht mehr weiter nutzen kann, ohne die Erweiterung jedesmal anzupassen.

Wenn Du einen rekursiven Nameserver willst, kannst Du einen vorhandenen suchen, der auf die Box paßt, oder selbst einen schreiben.
 

Statistik des Forums

Themen
244,640
Beiträge
2,215,724
Mitglieder
371,219
Neuestes Mitglied
csgaming
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.