Hallo zusammen,
ich habe leider keine sehr tiefen Kenntnisse zum Thema Routing und DNS. Also schon mal im Voraus eine pauschale Entschuldigung für dumme Fragen.
Zu meinem Problem:
An unserem Lancom 7111 VPN (7.60.0160) hängt auf LAN-Port 1 das interne Netz und auf LAN-Port 2 eine kleines IP-Netzwerk, dass als DMZ dienen soll. Ich kann bei meinem Domain-Provider eine Sub-Domäne anlegen und zur externen IP-Adresse des Routers weiterleiten (A-Eintrag).
Wie kann ich in der Routerkonfiguration sicherstellen, dass jegliche Anfragen, die an diese Sub-Domäne gestellt werden, an einen bestimmten Server in der DMZ weitergeleitet werden?
Die einzig mir bekannte Möglichkeit wäre Port-Forwarding. Das machen wir z.B. bei FTP so. Allerdings geht das nur, wenn der Port ausschließlich für diesen Server genutzt wird. Eine generelle Weiterleitung aller Ports wäre schicker.
Gruß
Domain-Weiterleitung in DMZ
Moderator: Lancom-Systems Moderatoren
Hi jaX*
Für den Fall, daß auch Invers-Anfragen weitergeleitet werden sollen, mußt du zusätzlich eine passende Weiterleitung erstellen. Soll z.B. eine Invers-Anfrage für Adressen im 192.168.0.x-Netz erfolgen, so wäre die weiterzuleitende Domain "*.0.168.192.in-addr.arpa"
Gruß
Backdsash
in dem du in der DNS-Weiterleitungstabelle (TCP/IP -> DNS -> Weiterleitungen) einen Eintrag für die Domain erstellst ("*.domain") und dort als "Gegenstelle" die IP-Adresse des DNS-Servers einträgst.Wie kann ich in der Routerkonfiguration sicherstellen, dass jegliche Anfragen, die an diese Sub-Domäne gestellt werden, an einen bestimmten Server in der DMZ weitergeleitet werden?
Für den Fall, daß auch Invers-Anfragen weitergeleitet werden sollen, mußt du zusätzlich eine passende Weiterleitung erstellen. Soll z.B. eine Invers-Anfrage für Adressen im 192.168.0.x-Netz erfolgen, so wäre die weiterzuleitende Domain "*.0.168.192.in-addr.arpa"
Gruß
Backdsash
Hallo backslash,
danke für deine Antwort (vor 10 Monaten
). Erstmal eine generelle Frage dazu.
Um das so umzusetzen wie du sagst, muss ich ja den DNS-Server auf dem Router aktivieren. hat das irgendwelche Auswirklungen auf meine Windows-DNS Server im internen Netzwerk dahinter?
Wenn ich dazu entschließe den DNS-Server zu aktivieren, habe ja auch die Möglichkeit, die ganze Sub-Domäne für ein bestimmtes internes Netzwerk zu konfigurieren. Das wäre doch sicher die besser Lösung, oder?
Und dann noch eine Frage zur Invers-Abfrage bei deiner Lösung:
Wenn ich eine Domain-Anfrage von test.domain.de zur Gegenstelle 172.35.0.3 weitergeleitet habe, also zu einem bestimmten Server, wie muss dann der korrekte Invers-Eintrag lauten?
Domain: test.domain.de und Gegenstelle: 3.0.35.172.in-addr.arpa ?
Das funktioniert nicht, weil nur Eintrag für die Domain vorhanden sein darf.
Gruß
jaX*
danke für deine Antwort (vor 10 Monaten
). Erstmal eine generelle Frage dazu.Um das so umzusetzen wie du sagst, muss ich ja den DNS-Server auf dem Router aktivieren. hat das irgendwelche Auswirklungen auf meine Windows-DNS Server im internen Netzwerk dahinter?
Wenn ich dazu entschließe den DNS-Server zu aktivieren, habe ja auch die Möglichkeit, die ganze Sub-Domäne für ein bestimmtes internes Netzwerk zu konfigurieren. Das wäre doch sicher die besser Lösung, oder?
Und dann noch eine Frage zur Invers-Abfrage bei deiner Lösung:
Wenn ich eine Domain-Anfrage von test.domain.de zur Gegenstelle 172.35.0.3 weitergeleitet habe, also zu einem bestimmten Server, wie muss dann der korrekte Invers-Eintrag lauten?
Domain: test.domain.de und Gegenstelle: 3.0.35.172.in-addr.arpa ?
Das funktioniert nicht, weil nur Eintrag für die Domain vorhanden sein darf.
Gruß
jaX*
Hi jaX*
ich hab mir nach deiner Antwort nochmal genau die ursprüngliche Frage angeschaut - und komme nun zu dem Schluß, daß ich sie damals wohl nicht so verstanden habe, wie du es wohl dachtest. Ich hatte damals gedacht, daß du DNS-Anfragen an das LANCOM für eine Domain an einen bestimmten Server weiterleiten willst... Stattdessen willst du aber eher einen "Exposed"-Host einrichten - das geht zwar prinzipiell, indem du alle Ports (0 bis 65535) an den Server weiterleitest, aber aus Sicherheitsgründen würde ich davon abraten (und zudem zu einer aktuelleren Firmware, als der 7.60)
Gruß
Backslash
ich hab mir nach deiner Antwort nochmal genau die ursprüngliche Frage angeschaut - und komme nun zu dem Schluß, daß ich sie damals wohl nicht so verstanden habe, wie du es wohl dachtest. Ich hatte damals gedacht, daß du DNS-Anfragen an das LANCOM für eine Domain an einen bestimmten Server weiterleiten willst... Stattdessen willst du aber eher einen "Exposed"-Host einrichten - das geht zwar prinzipiell, indem du alle Ports (0 bis 65535) an den Server weiterleitest, aber aus Sicherheitsgründen würde ich davon abraten (und zudem zu einer aktuelleren Firmware, als der 7.60)
Gruß
Backslash
Hallo backslash,
nein, ich glaube du hattest es vorher richtig, verstanden, und jetzt falsch.
Ich will nicht prinzipiell alle Ports an den Server weiterleiten (exposed Host).
Was ich möchte ist folgendes:
Ich habe den Port 443 (HTTPS) per Portforwarding an einen Exchange Server weitergeleitet (für Outlook Anywhere).
Jetzt möchte ich aber, dass HTTPS-Anfragen (Port 443) an eine bestimmte Subdomäne (z.B. sub.domain.com) an einen anderen Server weitergeleitet wird, der sich in einem anderen internen Netz befindet, dass an einen anderen LAN-Port des Routers angeschlossen ist.
Verstehe ich das richtig, dass ich durch Hinzufügen eines Eintrags unter TCP/IP -> Reiter "DNS" -> Button "Sub-Domäne" erreiche, das jegliche Anfragen an die eingetragene Subdomäne, unabhängig von Port und Protokoll, an das angegebene interne Netz weitergeleitet wird?
Und: Bisher ist der DNS-Server auf dem Router nicht aktiv. Hat das Aktivieren irgendwelche Auswirklungen auf meine Windows-DNS Server im internen Netzwerk dahinter?
Gruß
jaX*
nein, ich glaube du hattest es vorher richtig, verstanden, und jetzt falsch.
Ich will nicht prinzipiell alle Ports an den Server weiterleiten (exposed Host).
Was ich möchte ist folgendes:
Ich habe den Port 443 (HTTPS) per Portforwarding an einen Exchange Server weitergeleitet (für Outlook Anywhere).
Jetzt möchte ich aber, dass HTTPS-Anfragen (Port 443) an eine bestimmte Subdomäne (z.B. sub.domain.com) an einen anderen Server weitergeleitet wird, der sich in einem anderen internen Netz befindet, dass an einen anderen LAN-Port des Routers angeschlossen ist.
Verstehe ich das richtig, dass ich durch Hinzufügen eines Eintrags unter TCP/IP -> Reiter "DNS" -> Button "Sub-Domäne" erreiche, das jegliche Anfragen an die eingetragene Subdomäne, unabhängig von Port und Protokoll, an das angegebene interne Netz weitergeleitet wird?
Und: Bisher ist der DNS-Server auf dem Router nicht aktiv. Hat das Aktivieren irgendwelche Auswirklungen auf meine Windows-DNS Server im internen Netzwerk dahinter?
Gruß
jaX*
Hi jaX*
Gruß
Backslash
das geht mit einem LANCOM überhaupt nicht, da das LANCOM beim einkommenden TCP-SYN-Paket nicht wissen kann, an welche Domain die Anfrage geschickt wurde. Dazu mußt du hinter dem LANCOM einen (transparenten!) Proxy aufstellen, an den zunächst alle Anfragen weitergeleitet werden. Dieser nimmt die Session an und schaut in den HTTP-Request (bei HTTP) bzw. in das Client-Helo (bei HTTPS) an welche Domain die Anfrage gestellt wurde und baut dann selbständig eine weitere Session zum jeweiligen Server aufIch habe den Port 443 (HTTPS) per Portforwarding an einen Exchange Server weitergeleitet (für Outlook Anywhere).
Jetzt möchte ich aber, dass HTTPS-Anfragen (Port 443) an eine bestimmte Subdomäne (z.B. sub.domain.com) an einen anderen Server weitergeleitet wird, der sich in einem anderen internen Netz befindet, dass an einen anderen LAN-Port des Routers angeschlossen ist.
nein, das sind alles Angaben für den DNS-Server des LANCOMs. Damit kann mdas LANCOM auf jedem ARF-Netz eine eigene domäne Aufspannen und zusammen mit dem DHCP-Server Hostnamen in den Domänen in ihre IP-Adressen auflösen.Verstehe ich das richtig, dass ich durch Hinzufügen eines Eintrags unter TCP/IP -> Reiter "DNS" -> Button "Sub-Domäne" erreiche, das jegliche Anfragen an die eingetragene Subdomäne, unabhängig von Port und Protokoll, an das angegebene interne Netz weitergeleitet wird?
nein, wenn der Windows-DNS-Server der primäre Server im Netz ist, der von allen PCs genutzt wird. Dann sieht das LANCOM ja keine einzige DNS-Anfrage, denn die gehen ja alle an den Windows-Server, der sie auch brav beantwortet - oder an den DNS-Server deines Providers weiterleitet...Und: Bisher ist der DNS-Server auf dem Router nicht aktiv. Hat das Aktivieren irgendwelche Auswirklungen auf meine Windows-DNS Server im internen Netzwerk dahinter?
Gruß
Backslash