1781A und OpenDNS

[pengels]

Hallo zusammen,

ich bin durch einen anderen Thread auf OpenDNS aufmerksam geworden und wollte es ausprobieren. Ich habe die Konfiguration entsprechend der KB vorgenommen und OpenDNS-Acount und Netzwerk eingerichtet. Problem: Der Router lässt sich anscheinend nicht überreden, den DNS 208.67.222.222 zu verwenden.

Schaue ich per https im Menübaum unter Status/WAN/IP-Adressen/IPv4 nach, wird dort immer noch 217.237.150.115, also der DNS der Telekom, ausgewiesen. Entsprechend geht der Test auf opendns.com dann auch schief. Die Übermittlung der dyn. IP an OpenDNS über das Aktionsscript funktioniert, nur der DNS wird anscheinend nicht übernommen.

Hat jemand einen Tipp, wie ich den LanCom überreden kann, den vorgegebenen DNS zu verwenden?

[backslash]

Hi Pengels

richte einfach unter TCP/IP bzw. IPv4 -> DNS -> Weiterleitungen eine Weiterleitung für * auf den gewünschten Server ein...

Gruß
Backslash

[pengels]

Hallo Backslash,

vielen Dank für den Tipp! Nach ersten Tests funktioniert das einwandfrei!

[Chaosphere64]

Ich habe einen etwas anderen Weg gewählt, indem ich auf Ebene der ARF-Netze die OpenDNS Server per DHCP zuweisen lasse (IPv4 und IPv6). Außerdem habe ich Firewall-Regeln erstellt, die nur DNS-Requests nach OpenDNS zulassen, so dass Nutzer nicht einfach per manueller Nutzung von Google DNS-Servern o.ä. das System unterlaufen können. Im Menübaum unter Status/WAN/IP-Adressen/IPv4 bekomme ich so zwar auch die Telekom DNS Server angezeigt, genutzt werden die aber nicht. Der OpenDNS Test zeigt dann auch an, dass OpenDNS nicht genutzt würde, aber in der Praxis funktioniert das.

Die im KB-Artikel erwähnte Konfiguration würde sich ja auch nur auf IPv4 beziehen, ich habe aber einen Dual Stack Anschluss, und auf Client Seite (OS, Browser etc.) wird ja standardmäßig IPv6 präferiert. Wie gesagt, meine Methode ist eher experimentell, offiziell unterstützt OpenDNS ja noch kein IPv6 für den Webfilter, die Zuweisung von ::ffff:208.67.222.222 und ::ffff:208.67.220.220 klappt aber.

Ein Punkt "ärgert" mich aber noch: ich habe die lokale Namensauflösung (hier die Domain .lan) eingebüßt. Ich hätte gerne wieder die automatische Namensauflösung von hostname.lan (Adressen von DHCP bzw. Netbios Hostname). Dazu ist mir noch nichts eingefallen, wie man das trotz Nutzung von OpenDNS hinbekommt.

Vielleicht hat ja dazu noch jemand eine Idee (oder auch Anregungen bzw. Kritik zu meiner o.g. Konfiguration).

[Bernie137]

Anregung: Mach es so wie backslash geschrieben hat und zusätzlich...

indem ich auf Ebene der ARF-Netze die OpenDNS Server per DHCP zuweisen lasse

Dort anstatt OpenDNS die IP des Lancom Routers.

Außerdem habe ich Firewall-Regeln erstellt, die nur DNS-Requests nach OpenDNS zulassen

Ändere es ab, dass nur der Lancom Router die Anfragen stellen darf.

vg Bernie

[Chaosphere64]

Anregung: Mach es so wie backslash geschrieben hat und zusätzlich...

indem ich auf Ebene der ARF-Netze die OpenDNS Server per DHCP zuweisen lasse

Dort anstatt OpenDNS die IP des Lancom Routers.

Außerdem habe ich Firewall-Regeln erstellt, die nur DNS-Requests nach OpenDNS zulassen

Ändere es ab, dass nur der Lancom Router die Anfragen stellen darf.

vg Bernie

Hallo Bernie,

vielen Dank für Deine Tipps! Damit ich das richtig verstehe noch ein paar Fragen: 1.) Die globale Eintragung der beiden IPv4 OpenDNS Server unter IPv4 / Adressen / Nameserver wie in der KB beschrieben würde trotzdem gemacht, in den ARF-Netzen einfach alle Eintragungen entfernt und der LANCOM als DNS-Server (wie default) zugewiesen? 2.) Unter den Weiterleitung wird dann einer von beiden (oder beide?) als Gegenstelle für die Domain * eingetragen? 3.) Was ist mit IPv6 DNS Servern bzw. entsprechenden Anfragen der Clients?

VG und besten Dank

[Chaosphere64]

Ändere es ab, dass nur der Lancom Router die Anfragen stellen darf.

Wie könnte so eine Firewall Regel aussehen?

[pengels]

Wie könnte so eine Firewall Regel aussehen?

Bei einer Deny-All Strategie: Alle Rechner aus dem lokalen Netz dürfen DNS-Anfragen (TCP/UDP Port 53) nur an den Router (IP-Adresse eintragen) stellen. Damit stellst du sicher, dass niemand auf seiner Workstation z.B. 8.8.8.8 als DNS einträgt (eintragen kann er, aber es hilft ihm dann nichts, weil die Firewall die Anfrage abfängt und dann gar nichts funktioniert).

[Chaosphere64]

Eine Deny-All-Strategie fahre ich hier nicht. Ich habe jetzt für alle lokalen Netze DNS requests über die Default Route verboten. Das funktioniert wie gewünscht: Wenn man z. B. dig @8.8.8.8 [hostname] ausführt, dann bekommt man keine Verbindung zum DNS-Server während das mit dem LANCOM wie gewünscht funktioniert.

Konkret habe ich jetzt eine DNS Weiterleitung konfiguriert wie von backslash vorgeschlagen (beide OpenDNS Server (durch Leerzeichen getrennt) für *). Die globale Eintragung der beiden IPv4 OpenDNS Server unter IPv4 / Adressen / Nameserver wie in der KB beschrieben war damit nicht notwendig. Der LANCOM ist somit standardmäßig für alle ARF-Netze DNS-Server. Bleibt die Frage nach IPv6.

[Bernie137]

Was ist mit IPv6 DNS Servern bzw. entsprechenden Anfragen der Clients?

Da OpenDNS IPv6 nicht unterstützt, verbiete es einfach über die Firewall. Somit sid alle Clients gezwungen über IPv4 zu gehen.

vg Bernie

[pengels]

Die globale Eintragung der beiden IPv4 OpenDNS Server unter IPv4 / Adressen / Nameserver wie in der KB beschrieben war damit nicht notwendig.

ich habe sie bei mir auf die ursprünglichen Telekom-DNS-Server gesetzt. Das hat den Vorteil, dass du bei einer Einwahl über VPN/ISDN/Modem die Telekom DSN-Server zugewiesen bekommst und dich dadurch als Admin ungehindert im Netz bewegen kannst, sofern die Firewall das auch erlaubt.

Dieser Artikel zum Thema OpenDNS in der KB sollte auf Grund dieses Threads einmal überarbeitet werden, was da steht ist einfach nicht richtig oder nicht mehr aktuell.

[Chaosphere64]

ich habe sie bei mir auf die ursprünglichen Telekom-DNS-Server gesetzt. Das hat den Vorteil, dass du bei einer Einwahl über VPN/ISDN/Modem die Telekom DSN-Server zugewiesen bekommst und dich dadurch als Admin ungehindert im Netz bewegen kannst, sofern die Firewall das auch erlaubt.

Das stimmt, aber das bräuchte ich bei mir nicht.

Dieser Artikel zum Thema OpenDNS in der KB sollte auf Grund dieses Threads einmal überarbeitet werden, was da steht ist einfach nicht richtig oder nicht mehr aktuell.

Da hast Du Recht, der Thread war wieder einmal sehr informativ, vielen Dank dafür an alle!