Verhaltensfrage DNS externe Auflösungen

joeMJ · Beitrag von **joeMJ** » 25 Nov 2014, 14:05

Moin,
ich jage für * gegen 2 externe DNS.

Die DNS sind extern bei 2-3 DNS schon richtig aufzulösen, jedoch noch nicht hinter'm LC. Beim Webseitenumzug frage ich mich gerade, ob der LC DNS die externen hosteinträge vielleicht irgendwo zwischenspeichert und wenn ja, kann ich die Tabelle ähnlich -flushcache kurz leeren? N' Bind wollte ich eigentlich gerade nicht hochziehen (OK, vi /etc/hosts geht auch) aber ich hab' das gerade eher mal interessehalber gepostet...

Liebe Grüße
Joe

backslash · Beitrag von **backslash** » 25 Nov 2014, 15:26

Hi joeMJ,

der DNS-Server im LANCOM speichert keine Auflösungen. Die einzigen die sich Auflösungen merken sind der DNS-Client (z.B. bei VPN-Verbindungen) und der Poblic-Spot (für die freien Netze)

Gruß
Backslash

stefanbunzel · Beitrag von **stefanbunzel** » 26 Nov 2014, 08:57

Guten Morgen Backslash,

backslash hat geschrieben:der DNS-Server im LANCOM speichert keine Auflösungen.

Dann ist also der LCOS-DNS-Server im Lancom gar kein "echter" DNS-Server inkl. DNS-Cache?
Ich bin immer davon ausgegangen, dass der Lancom bei DNS-Anfragen zuerst auf seine 64 Einträge der Hit-Liste-Tabelle zugreift und nur bei unbekannten Domains den externen DNS-Server anfragt.
Demnach wäre es ja eigentlich aus Performance-Gründen besser, bei DHCP den Clients immer gleich den externen DNS-Server und nicht den DNS-Server im Lancom zuzuweisen, um doppelte DNS-Anfragen zu unterbinden.
Oder sehe ich das falsch?

Wäre es nicht effektiver und eigentlich ein Leichtes, die o.g. Hit-Liste auf beispielsweise 128 oder 256 Einträge zu erweitern und diese als schnellen DNS-Cache zu nutzen? Eine "Werte-Löschen"- / Cache-Löschen-Option ist ja bereits im Status-Baum enthalten.

Viele Grüße,
Stefan

Bernie137 · Beitrag von **Bernie137** » 26 Nov 2014, 12:15

Hallo zusammen,

Ich bin immer davon ausgegangen, dass der Lancom bei DNS-Anfragen zuerst auf seine 64 Einträge der Hit-Liste-Tabelle zugreift und nur bei unbekannten Domains den externen DNS-Server anfragt.

Davon bin ich auch immer ausgegangen und wäre ein bischen enttäuscht wenn der Lancom nicht cached.

Demnach wäre es ja eigentlich aus Performance-Gründen besser, bei DHCP den Clients immer gleich den externen DNS-Server und nicht den DNS-Server im Lancom zuzuweisen, um doppelte DNS-Anfragen zu unterbinden.

Nicht unbedingt. Einmal kann sich der DNS des Providers ändern, der per Einwahldaten meist per DHCP dem Lancom mitgeteilt wird. Aber viel wichtiger ist für mich, in einer "dummen" Filiale ohne großartige EDV-Technik (Server) kann per Lancom entschieden werden, diese DNS Anfrage ins Internet, diese DNS Anfrage zur lokalen (Windows)Domain (...per VPN weiterleiten).

vg Bernie

Jirka · Beitrag von **Jirka** » 26 Nov 2014, 13:29

Hallo zusammen,

Bernie137 hat geschrieben:Davon bin ich auch immer ausgegangen und wäre ein bischen enttäuscht wenn der Lancom nicht cached.

ich bin ehrlich gesagt ein bischen enttäuscht, dass Ihr überhaupt auf so eine Idee kommt. Ich meine einen DNS-Trace werdet Ihr ja wohl auch mal gemacht haben.

Bernie137 hat geschrieben:Nicht unbedingt. Einmal kann sich der DNS des Providers ändern, der per Einwahldaten meist per DHCP dem Lancom mitgeteilt wird. Aber viel wichtiger ist für mich, in einer "dummen" Filiale ohne großartige EDV-Technik (Server) kann per Lancom entschieden werden, diese DNS Anfrage ins Internet, diese DNS Anfrage zur lokalen (Windows)Domain (...per VPN weiterleiten).

nicht nur das. Da wären u. a. auch noch die fest (im LANCOM) eingetragenen DNS-Namen und der DNS-Filter.

Viele Grüße,
Jirka

backslash · Beitrag von **backslash** » 26 Nov 2014, 13:58

Hi stefanbunzel,

Demnach wäre es ja eigentlich aus Performance-Gründen besser, bei DHCP den Clients immer gleich den externen DNS-Server und nicht den DNS-Server im Lancom zuzuweisen, um doppelte DNS-Anfragen zu unterbinden.
Oder sehe ich das falsch?

Wozu sollte das LANCOM Auflösungen cachen, wo das doch jeder Client selbst macht... Es ist nur ein "Problem" wenn zwei Clients tatsächlich kurz hinereinander den selben Namen auflösen wollen.

Abgesehen davon ist das LANCOM, dadurch daß nicht gecachet wird, sicher vor DNS-Poisoning-Angriffen und vergiftet somit auch die Clients nicht. Von daher ist das fast schon sein Sicherheitsfeature...

Gruß
Backslash

GrandDixence · Beitrag von **GrandDixence** » 26 Nov 2014, 14:10

backslash hat geschrieben:Wozu sollte das LANCOM Auflösungen cachen, wo das doch jeder Client selbst macht...

Zahlreiche Geräte mit Netzwerkanschluss haben einen DNS-Client ohne DNS-Cache. Ich denke da an: Fernseher, Stereoanlage.

backslash hat geschrieben: Es ist nur ein "Problem" wenn zwei Clients tatsächlich kurz hinereinander den selben Namen auflösen wollen.

Aus Performancegründen sollten DNS-Abfragen vom LANCOM-Router zwischengespeichert werden. Extremfall ist der UMTS-Router bei Antwortezeiten vom externen DNS-Server > 200 Millisekunden.

Bernie137 hat geschrieben:Davon bin ich auch immer ausgegangen und wäre ein bischen enttäuscht wenn der Lancom nicht cached.

Auch nach wiederholter Anfrage bei LANCOM ist die LANCOM-Entwicklung nicht gewillt, den DNS-Cache in den DNS-Forwarder von LCOS zu implementieren. Offenbar ist der Kundenwunsch/Kundendruck zu gering.

stefanbunzel · Beitrag von **stefanbunzel** » 26 Nov 2014, 14:28

Hallo zusammen,

backslash hat geschrieben:Abgesehen davon ist das LANCOM, dadurch daß nicht gecachet wird, sicher vor DNS-Poisoning-Angriffen und vergiftet somit auch die Clients nicht. Von daher ist das fast schon sein Sicherheitsfeature...

Naja, jedes Merkmal, welches nicht unterstützt wird, kann man mit dem allumfassenden "Sicherheitsbegriff" totschlagen...

Wie ich ja bereits geschrieben hatte, hat ja das LCOS in Form der DNS-Hit-Liste bereits eine Art Cache-Funktion. Nur dass dort (so weit ich weiß) eben nur der DNS-Name und eben nicht die dazu gehörige IP steht. (Würde mich mal interessieren, wofür es dann bisher überhaupt diese Tabelle gab???) Es wäre also meiner Meinung nach absolut kein Problem, nach Hinzufügung / Zuordnung der IP's aus der Tabelle einen DNS-Cache im LCOS zu basteln. Dann noch einen On- / Off-Schalter ins LCOS (ggf. getrennt nach ARF-Netz) und einen Alterungs-Timer - und schon kann jeder Anwender überlegen, ob für sein Scenario nun ein DNS-Cache im Lancom gewünscht wird oder eben nicht.

Ja, auch meiner Meinung nach wäre ein DNS-Cache gerade bei LTE / UMTS ein Gewinn (demnach auch noch Auswahl nach Gegenstelle).

Und auch JA, es geht auch ohne DNS-Cache. Ging ja bisher auch...

Viele Grüße,
Stefan

GrandDixence · Beitrag von **GrandDixence** » 26 Nov 2014, 14:53

stefanbunzel hat geschrieben:Es wäre also meiner Meinung nach absolut kein Problem, nach Hinzufügung / Zuordnung der IP's aus der Tabelle einen DNS-Cache im LCOS zu basteln. Dann noch einen On- / Off-Schalter ins LCOS (ggf. getrennt nach ARF-Netz) und einen Alterungs-Timer - und schon kann jeder Anwender überlegen, ob für sein Scenario nun ein DNS-Cache im Lancom gewünscht wird oder eben nicht.

Würde LANCOM im Jahr 2015 entscheiden, einen DNS-Cache im LCOS zu implementieren, müsste dieser DNS-Forwarder auch DNSSEC validieren können. Eine DNSSEC-Implementierung in den LANCOM DNS-Forwarder ist nicht so einfach und wahrscheinlich ziemlich teuer. Siehe auch:
http://www.heise.de/netze/meldung/Firew ... 83215.html

LANCOM-Forum.de

Verhaltensfrage DNS externe Auflösungen

Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen

Re: Verhaltensfrage DNS externe Auflösungen