CNAME für forcesafesearch.google.com

[aag]

Ich möchte den 1781EF Router so konfigurieren, dass es sämtliche Google Searches auf forcesafesearch.google.com umleitet. Bei Google steht, dass man alle diese Domänen als CNAME für forcesafesearch.google.com gesetzt werden müssen. Kann mir eine gute Seele erklären, was ich genau in Lanconfig (oder als Script) machen muss, um dies umzusetzen? Vielen Dank im Voraus!

[backslash]

Hi aag,

der DNS-Server im LANCOM unterstützt CNAME leider nicht...

Du könntest höchstens hingehen und in der DNS-Stations-Namen-Tabelle (IPv4 -> DNS -> Stations-Namen oder im CLI: /Setup/DNS/DNS-List) je einen Eintrag für die gewünschten Domains machen und dort als IP-Adressse immer 216.239.38.120 eintragen:

Code: Alles auswählen

Host-name             Rtg-tag  IP-Address       IPV6-Address
--------------- ... -------------------------------------------
www.google.de         0        216.239.38.120   ::
www.google.com        0        216.239.38.120   ::
...

Gruß
Backslash

[aag]

Besten Dank Backslash, wie immer freundlich und hilfsbereit. Das schätze ich sehr! Ich habe allerdings noch eine dumme Frage, wenn ich schon dabei bin (und darf...):

Meine Aktion hat den Zweck, Nutzer innerhalb des LAN vor unwillkommenen Material zu schützen. Die eine Massnahme ist die Umleitung auf forcesafesearch, und ich werde Deine Lösung nun implementieren. Die andere Massnahme ist, den DNS-Server auf OpenDNS zu setzen, weil dieser dann auf eine Blacklist zugreift. Das habe ich so gemacht:

Code: Alles auswählen

cd /Setup/WAN/Action-Table 
#    Index  Active     Host-Name                                                         Peer              Lock-Time  Condition              Action                                                                                                                                                                                                                                                      Check-For                                           Owner             Routing-Tag
#    ------------------------------------------------------------------------------------------------------------------------------
add  5     {Active}  Yes       {Host-Name}  "OPENDNS"                                                        {Peer}  "INTERNET"       {Lock-Time}  0         {Condition}  Establish             {Action}  "https://aag@xy/nic/update?hostname=righthost"                                                                                                                                                                       {Check-For}  ""                                                 {Owner}  "root"           {Routing-Tag}  0

Nun habe ich festgestellt, dass diese Massnahme dazu führt, dass die DNS-Auflösung der LAN-internen Addressen lahm gelegt ist. Wie kann ich die externen DNS-Anfragen auf Opedns umstellen aber nicht die internen? Das zeigt wahrscheinlich wie wenig ich von Netzwerken verstehe...

[backslash]

Hi aag,

so ganz kann ich nicht nachvollziehen, was du mit dem Eintrag in der Aktionstabelle bewirken willst....
Wenn du aber den von deime Provider zugewiesenen DNS-Server umgehen willst, dann brauchst du nur eine passende Weiterleitung unter IPv4 -> DNS -> Weiterleitungen (bzw. im CLI: /Setup/DNS/DNS-Destinations) einzutragen:

Code: Alles auswählen

Domain-name         Rtg-tag  Destination                                                            
--------------  --------------------------------------------------
*                   0        208.67.222.222, 208.67.220.220

Gruß
Backslash

[Chaosphere64]

Dazu habe ich hier schon einmal einen Thread eröffnet. Die Lösung läuft seitdem ohne Probleme (interner DNS: LANCOM, externer DNS: OpenDNS).

[aag]

Naja, ich bin dieser Anleitung gefolgt: https://www2.lancom.de/kb.nsf/1275/FD8D ... enDocument. Das funktioniert zwar, aber die interne DNS geht dann nicht mehr.

[aag]

Dazu habe ich hier schon einmal einen Thread eröffnet. Die Lösung läuft seitdem ohne Probleme (interner DNS: LANCOM, externer DNS: OpenDNS).

Ich nehme an, dass der Trick in dieser Anweisung steckt: "Ich habe jetzt für alle lokalen Netze DNS requests über die Default Route verboten". Aber wie geht denn das?

[backslash]

Hi aag,

Ich nehme an, dass der Trick in dieser Anweisung steckt: "Ich habe jetzt für alle lokalen Netze DNS requests über die Default Route verboten". Aber wie geht denn das?

indem du folgende Firewallregel anlegst:

Code: Alles auswählen

Aktion:    Objekt: NO-INTERNET
Quelle:    alle Stationen im lokalen Netz
Ziel:      alle Stationen
Dienste:   TCP, UDP, ZielPort 53

besser sind aber zwei Regeln:

Code: Alles auswählen

Aktion:    Objekt: REJECT
Quelle:    alle Stationen
Ziel:      alle Stationen
Dienste:   TCP, UDP, ZielPort 53


Aktion:    Objekt: ACCEPT
Quelle:    alle Stationen im lokalen Netz
Ziel:      LAN-IP des LANCOMs oder einfach auch: alle Stationen im lokalen Netz
Dienste:   UDP, ZielPort 53

wobei du dir die Erste sparen kannst, wenn du schon eine DENY-ALL-Regel hast...

Gruß
Backslash

[Chaosphere64]

Dazu habe ich hier schon einmal einen Thread eröffnet. Die Lösung läuft seitdem ohne Probleme (interner DNS: LANCOM, externer DNS: OpenDNS).

Ich nehme an, dass der Trick in dieser Anweisung steckt: "Ich habe jetzt für alle lokalen Netze DNS requests über die Default Route verboten". Aber wie geht denn das?

Nein, das ist nicht der Trick, sondern die Weiterleitung der DNS requests wie backslash das schon geschrieben hat (hier und ihm verlinkten Thread). Den von Dir genannten Punkt habe ich nur zusätzlich umgesetzt, um eine Umgehung meines Setups auf der Client Ebene auszuschließen: Sprich, ein findiger Nutzer geht hin, schaltet DHCP ab, weist sich manuell die ihm vorher reservierte IP zu und nimmt einen Google DNS-Server o.ä. zur Namensauflösung. Und ja, ich weiß, dass man dafür auf dem Client Admin-Rechte braucht, die werden dort aber auch benötigt.

Die Firewall Regel ist einfach: Du verbietest aus dem/den lokalen Netze(n) DNS-Abfragen über die Default Route (INTERNET-FILTER).

[aag]

hab das mal probiert, allerdings ohne allzu grossen Erfolg (= keine DNS-Auflösung lokal)

[Bernie137]

Hi,

ich glaube in der YES Regel fehlt noch TCP. War vielleicht ein Tippfehler von Backslash.

Ich melde mich nur, weil ich eine Zwischenfrage habe:

Code: Alles auswählen

Domain-name         Rtg-tag  Destination                                                            
--------------  --------------------------------------------------
*                   0        208.67.222.222, 208.67.220.220

Ich wusste bisher nicht, dass man da einfach zwei DNS reinschreiben kann? Trennzeichen ist also Komma und das Leerzeichen nach dem Komma ist notwendig und funktioniert wie üblich als erster und zweiter DNS?

vg Bernie

[backslash]

Hi aag,

1. entferne in den Regeln das Häkchen bei "weiterer Regeln beachten" - dann wird das Allow nicht durch das Reject überstimmt
2. Gib dein lokales Netz als Netz an und nicht als Range - das verringert die Anzahl der generierten Filter deutlich (oder wähle einfach "alle Stationen im lkalen Netz")

Gruß
Backslash

[Chaosphere64]

Hi,

ich glaube in der YES Regel fehlt noch TCP. War vielleicht ein Tippfehler von Backslash.

Ich melde mich nur, weil ich eine Zwischenfrage habe:

Code: Alles auswählen

Domain-name         Rtg-tag  Destination                                                            
--------------  --------------------------------------------------
*                   0        208.67.222.222, 208.67.220.220

Ich wusste bisher nicht, dass man da einfach zwei DNS reinschreiben kann? Trennzeichen ist also Komma und das Leerzeichen nach dem Komma ist notwendig und funktioniert wie üblich als erster und zweiter DNS?

vg Bernie

Das Trennzeichen zwischen den Servern ist bei mir ein Leerzeichen. Das funktioniert wie gewünscht. Wenn ich mich recht erinnere, habe ich die Info zur Syntax aus der Hilfe von LANconfig.

[Bernie137]

Wenn ich mich recht erinnere, habe ich die Info zur Syntax aus der Hilfe von LANconfig.

Korrekt, da steht es drinnen. An dieser Stelle habe ich schon ewig nicht mehr in die Hilfe geschaut. Danke!

vg Bernie

[aag]

OK, vielen Dank allseits für die sehr engagierte Hilfe. Ich habe es allerdings geschafft, den internen DNS-Server komplett ausser Gefecht zu setzen. Ich bin gerade am Verzweifeln. Habe die Rules inaktiviert, die Aktionstabelle ebenfalls. Nun wird der DNS-Server des Providers zwar verwendet, aber ich kann meine LAN-Addressen nicht mehr ansprechen. Any ideas?