Vergleich LCOS DNS-Funktionen mit ISC Bind

[roell.f]

Hallo Forum,

in wieweit kann der im aktuellen (2014-10-04) LCOS enthaltene DNS-Server den BIND DNS-Sever des Internet Software Consortiums (ISC) ersetzen?

Hintergrund:

Ich betreibe auf einem Server einen ISC-BIND zur Auflösung von Namen sowohl für das (W)LAN, mehrere VPN als auch für das Internet. Ich möchte jedoch nicht auf das Eingeschaltetsein des Servers angewiesen sein. Die DNS-Funktionen von Consumer-Routern w.z.B einer Fritzbox 7490 können bei weitem keinen BIND ersetzen. Die Fritzbox mit Hilfe von Freetz mit einem ISC-DNS nachzurüsten funktioniert zwar, ist jedoch eine zeitraubende Bastellösung. Es fehlt insbesondere an Stabilität, einer guten Integration in ein GUI sowie an Sicherheit. Zum Beispiel für den Umgang mit sensiblen Daten kommt solch eine Lösung deshalb auch nicht in Frage.

In wieweit unterstützt der Lancom-DNS-Server folgendes:

- Versorgung mit Namensdiensten von W(LAN), VPN und Web-seitig?
- Mehrere Domains (example1.org, example2.org) innerhalb einnes Routers?
- Views (alias Split-Brain-DNS)?
- Master, Slave und Forwarding-Zones?
- Zonentransfers?
- Dynamische Updates durch z.B. einen (externen) DHCP-Server?

Schon jetzt herzlichen Dank für die Anwort(en).

Frank

[Bernie137]

Hallo Frank,

- Master, Slave und Forwarding-Zones?
- Zonentransfers?

Das wird nicht unterstützt.
Der DNS im Lancom ist eher ein Forwarder mit etwas Cache, anstatt eigenständiger DNS.

vg Bernie

[roell.f]

Hallo Bernie,
hallo Forum,

damit hast Du mir die Fragen d) und e) (siehe unten) schon beantwortet - noch dazu super schnell. Danke!

Weiß jemand die Antworten auf die unten verbliebenen Fragen a, b, c sowie f und g?

Mir scheint mit einem Lancom-Router (z.B. 1781 VAW) lässt sich (selbst für SOHO's) kein DNS-Server für gleichzeitig Intranet und Internet realisieren. Das wäre schade.

Will man außerdem keine Freetz-Lösung und sucht statt dessen nach einer "professionellen" und in Eigenregie betriebenen Lösung ohne ISC-DNS unter einem dezidierten LINUX-Server, was für sichere Lösungskonzepte / Hardware-Lösungen bleiben dann noch?

Beste Grüße

Frank


Die 7 Fragen:

a) Versorgung mit Namensdiensten von W(LAN), VPN und Web-seitig?
b) Mehrere Domains (example1.org, example2.org) innerhalb einnes Routers?
c) Views (alias Split-Brain-DNS)?
d) beantwortet: Master, Slave und Forwarding-Zones?
e) beantwortet: Zonentransfers?
f) Dynamische Updates durch z.B. einen (externen) DHCP-Server?
g) Reverse Lookup? (neu)

Stichworte: ISC DNS BIND Lancom LCOS

[backslash]

Hi roell.f

a) Versorgung mit Namensdiensten von W(LAN), VPN und Web-seitig?

was meinst du damit?

b) Mehrere Domains (example1.org, example2.org) innerhalb einnes Routers?

ja, pro ARF-Kontext ist eine (Sub-)Domain möglich.

c) Views (alias Split-Brain-DNS)?

du kannst Namenauflösungen, Forwardings und Filter pro ARF-Kontext steuern. Das Routing-Tag eines ARF-Kontextes steuert zudem die Sichtbarkeit anderer Kontexte

f) Dynamische Updates durch z.B. einen (externen) DHCP-Server?

nicht durch DHCP-Server, wohl aber durch Hosts selber - Z.B. wenn in Windows in den erweiterten TCP/IP-Einstellungen einer Netzwerkkarte unter DNS das Häkchen bei "Adresse dieser Verbindung im DNS registrieren" gesetzt ist... Desweiteren befragt der DNS-Server den eingebauten DHCP-Server und nutzt auch NetBIOS-Namen (die der eingebaute NetBIOS-Proxy lernt)

g) Reverse Lookup? (neu)

ja. Anfragen für Adressen, die nicht aufgelöst werden können, werden an den DNS-Server weitergeleitet, der der Gegenstelle, über die die aufzulösende Adressen errreicht werden kann, weitergeleitet (so kein explizitess Forwarding für *.in-addr.arpa konfiguriert wurde)

Dennoch ist der DNS-Server im LANCOM kein Ersatz für einen vollwertigen DNS-Server und eher nur für kleine Netze gedacht. Er scheitert schon an recht einfachen Dingen, wie Aliase (CNAME) oder Auflösung anderer Records als A, AAAA und PTR - hier sei als wichtigster der MX-Record genannt

Gruß
Backslash

[roell.f]

Hallo Backslash,

danke für Deine detailierte Antwort.

Hi roell.f

a) Versorgung mit Namensdiensten von W(LAN), VPN und Web-seitig?

was meinst du damit?

Ich wollte wissen, ob der LCOS-DNS-Server nicht nur das W(LAN) versorgen kann, sondern auch Anfragen aus dem Internet und Anfragen von Hosts, welche via VPN angekoppelt sind, beantworten kann?

Dennoch ist der DNS-Server im LANCOM kein Ersatz für einen vollwertigen DNS-Server und eher nur für kleine Netze gedacht. Er scheitert schon an recht einfachen Dingen, wie Aliase (CNAME) oder Auflösung anderer Records als A, AAAA und PTR - hier sei als wichtigster der MX-Record genannt

Ja, auch diese Funktionen will ich nutzen können. Darüberhinaus hätte ein in LCOS integrierter, ISC-DNS-kompatibler Server den Vorzug gehabt, dass er, einmal als Slave konfiguriert, seine Records ohne weiteres Zutun von einem Master beziehen kann. Auch seine Konfiguration ließe sich besonders einfach von einem Master übertragen. Das erspart sowohl Einarbeitungs- als auch später im laufenden Betrieb Administrationsaufwand.

Die Router, die meisten Switches und Wireless Access Points arbeiten bei CISCO mit dem Betriebssystem "Internetwork Operating System (IOS)". Letzters beinhaltet auch einen DNS-Server, der, so scheint es mir nach meiner Web-Recherche, ISC-kompatibel ist. Allerdings sind das alles Geräte aus der Profiliga mit entsprechenden Preisen. Die Consumer-Geräte besitzen keinen DNS-Server und ich habe viele negative Meinungen im Web gelesen. Nach meiner Kontaktaufnahme mit CISCO denke ich, dass CISCO sich nicht für kleinere und mittlere Unternehmen (KMU, engl. SMB) interessiert, trotz gegenteiliger Selbstdarstellung.

Mein Fazit:

Wer einen Router mit einem vom Router-Hersteller integriertem ISC DNS- (Bind) und ISC DHCP-Server für ein KMU sucht, findet derzeit auf dem Markt kein passendes Angebot. Es bleibt nur die Möglichkeit, eine AVM Fritzbox 7390 mit Freetz nachzurüsten. Freetz für die 7490 scheint mir eine "Baustelle" zu sein. Die Lösung 7390 mit Freetz kostet zur Zeit ca. 200 Euro und 40 h Aufwand für die Einarbeitung. Es hilft auch nicht, 380 Euro zusätzlich auszugeben und mit dem LANCOM 1781 VAW eine Profigerät, welches leider kein schnelles WLAN 802.11ac kann, zu kaufen. Für WLAN 802.11ac sind zur Zeit weitere 620 Euro für ein LANCOM 1302 acn fällig. Will man zwei Standorte miteinander vernetzen, dann benötigt man von jedem Gerät zwei Exemplare d.h. die Kosten verdoppeln sich zu 2 * (580 + 620) = 2400 Euro.

Einen Server durchlaufen zu lassen kostet 0,1 kW * 25 ct/KWh * 24 h * 30 d = 18 Euro / Monat. Man kann den Server also für die ersparten Anschaffungskosten mehrere Jahre mit Strom versorgen.

Schade das es so ist.

Nochmals Danke an alle für die Antworten.

Beste Grüße

Frank

[maiki]

Hi Frank,

der Begriff Server ist relativ. Du kannst auch einen RasperryPi oder BananaPi besorgen und als (DNS)Server benutzen.
Stromverbrauch ca. 2-3 Watt maximal. Damit hast Du eine vollwertige Linux Büchse.

Grüße

Maik

[backslash]

Hi roell.f

Ich wollte wissen, ob der LCOS-DNS-Server nicht nur das W(LAN) versorgen kann, sondern auch Anfragen aus dem Internet und Anfragen von Hosts, welche via VPN angekoppelt sind, beantworten kann?

Der DNS-Server beantwortet alle Anfragen aus unmaskierten Netzen, d.h. aus dem Internet wird keine Anfrage beantwortet (weil maskiert) von VPN-Verbindungen ja, denn sonst wäre er recht "wertfrei"

Einen Server durchlaufen zu lassen kostet 0,1 kW * 25 ct/KWh * 24 h * 30 d = 18 Euro / Monat. Man kann den Server also für die ersparten Anschaffungskosten mehrere Jahre mit Strom versorgen.

Wenn du ein so großes Unternehmen hast, daß der einfache DNS-Server im LANCOM nicht mehr ausreicht, dann hast du auch garantiert mehr als einen Server irgendwo laufen - da fällt es auch nicht mehr auf, wenn einer davon den Firmeninternen DNS übernimmt. Damit kostet der "extra" DNS dann gar nichts mehr...

Gruß
Backlsash