DNS-Server nach IP-Auflösung auf Router umleiten?

[van Grunz]

Moin,

aus Datenschutzgründen leite ich die jeweils beiden bekanntesten DNS-Server von Google & Cloudflare (1.0.0.1 & 1.1.1.1 sowie 8.8.4.4 & 8.8.8.8 ) via IPv4 -> Loopback-Adressen auf meinen LANCOM 1793VA um. Bei Google lautet der DNS-Name dns.google & dns.google.com, bei CloudFlare one.one.one.one

Wie kriege ich es hin, daß der LANCOM zuerst die DNS-Namen auflöst und dann die dazugehörigen IP-Adressen, die es vom DNS-Server erhält, als Loopback auf sich selbst zu definieren?

Leider fand ich weder in der Onlinesuche noch in der Dokumentation weiterreichende Informationen, beispielsweise zum Thema DNS -> Allgemein -> Loopback-Adressen. Bevor ich mit dieser Funktion experimentiere & mich (wieder) aussperre, hätte ich gerne nähere Informationen dazu.

Vielen Dank vorab!

[sixty]

Ein möglicher Ansatz wäre es, DNS over HTTPS nach RFC 8484 zu verwenden.
Dieses Protokoll wird von LANCOM unverändert durchgeleitet - auch von den von Dir genannten Anbietern.

[backslash]

Hi van Grunz

da niemand für eine DNS-Auflösung zuerst die Adresse des DNS-Servers per DNS bestimmen kann (das ist ein Henne-und-Ei-Problkem) ist es gar nicht nötig...
Es reicht vollkommen aus, sie Adressen statish als Loopback-Adrtessen einzutragen - denn auch jeder Rechner muß diese Server als IP-Adressen (und nicht als DNS-Namen) eintragen...

Beachte davbei, daß du auch die IPv6-Adressen berücksichtigs.
Bei google hast du dann:

Code: Alles auswählen

dns.google.com: type A, class IN, ttl 4 seconds, addr 8.8.4.4
dns.google.com: type A, class IN, ttl 4 seconds, addr 8.8.8.8
dns.google.com: type AAAA, class IN, ttl 6 minutes, 3 seconds, addr 2001:4860:4860::8888
dns.google.com: type AAAA, class IN, ttl 6 minutes, 3 seconds, addr 2001:4860:4860::8844

und bei Cloudflare:

Code: Alles auswählen

one.one.one.one: type A, class IN, ttl 1 minute, 39 seconds, addr 1.1.1.1
one.one.one.one: type A, class IN, ttl 1 minute, 39 seconds, addr 1.0.0.1
one.one.one.one: type AAAA, class IN, ttl 1 minute, 48 seconds, addr 2606:4700:4700::1111
one.one.one.one: type AAAA, class IN, ttl 1 minute, 48 seconds, addr 2606:4700:4700::1001

Gruß
Backslash

[sixty]

da niemand für eine DNS-Auflösung zuerst die Adresse des DNS-Servers per DNS bestimmen kann (das ist ein Henne-und-Ei-Problkem) ist es gar nicht nötig...

Das ist nur partiell richtig. DNS ist wie vieles in den Grundideen von TCP/IP und Internet auf größtmögliche Resilenz ausgelegt.

Konkret ist es so, daß ein rekursiver Resolver wie Bind oder der MS-DNS (die Implementierung im LANCOM kenne ich nicht näher) eine Zone "root.hint" mitbringt, welche die zum Kompilierzeitpunkt gültigen Adressen der Nameserver in der Rootzone (von denen aus man sich alle Nameserver der TLDs und weiterer Eben darunter erschließen kann, eben auch dns.google.com und one.one.one.one) beinhaltet.

Idee ist, daß mindestens eine davon auch viele Jahre später noch erreichbar ist. Das ist auch in der Tat so, viele dieser IPs aus den Anfangszeiten sind zwar inzwischen auf Anycast umgestellt und werden weltweit von unterschiedlichen Rechenzentren bedient, sind aber eben noch erreichbar.

Wenn mal eine der Adressen geändert wird, ist das ein langer und gut vorbereiteter Prozeß, es werden niemals alle geändert.
Somit sollte ein "Bootstrap" ohne Kenntnis einer einzelnen IP trotzdem immer möglich sein.

Die Idee hinter den oben genannten IPs ist eine andere.

Hier haben sich in der Phase der Kommerzialisierung des Internets (also etwa 30 Jahre später) große Firmen mit viel Geld durch strategische Übernahmen Adreßblöcke gesichert, aus denen sich markante Adressen (9.9.9.9 fällt auch in diese Kategorie) abbilden lassen, die man tatsächlich ohne vorherige DNS-Aufösung wissen und eintragen kann.