netwurm: DNS Server für Windows einrichten (dnsmasq)

0 35

DNS Server für Windows einrichten (dnsmasq)

  1. 0
    1. 0
      1. 0
        1. 0
          1. 0
            1. 0
            2. 0
              1. 0
      2. 1
        1. 0
          1. -3
          2. 0
            1. 0
              1. 0
                1. 1
                2. 0
            2. 0
              1. 0
                1. 0
                  1. 0
                    1. 0
              2. 0
                1. 0
                2. 0
                  1. 0
  2. 1
    1. 0
    2. 1
  3. 1
    1. 2
      1. 0
      2. 1
        1. 0

          fail2ban und Filter recidive

          1. 0

problematische Seite

Hi,

ich bin dabei einen "Test Webserver" auf einen Pi einzurichten.

Drahtlos-LAN-Adapter WiFi 2:

   Verbindungsspezifisches DNS-Suffix:
   IPv4-Adresse  . . . . . . . . . . : 192.168.4.2
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.4.1

Jetzt möchte ich das der Pi als Namensserver / Router agiert um das zu erreichen habe ich einen dnsmasq.service eingerichtet. Jedoch funktioniert die DNS Auflösung unter Windows 10 nur wenn ich die IP 192.168.4.1 als DNS Server eintrage. Was muss ich machen damit Windows "automatisch" den DNS Server übernimmt - also ohne manuellen Eintrag.

Danke Netwurm

  1. problematische Seite

    Tach!

    Was muss ich machen damit Windows "automatisch" den DNS Server übernimmt - also ohne manuellen Eintrag.

    Der Automatismus nicht nur zum Vergeben sondern auch zum Bekanntmachen von IP-Adressen von Diensten heißt DHCP. Dort musst du eine Option für den DNS setzen. Gegebenenfalls musst du den jetzigen DHCP-Server durch einen ersetzen, den du entsprechend konfigurieren kannst.

    dedlfix.

    1. problematische Seite

      Hi,

      vielen Dank für die Antwort.

      root@raspberrypi:~# cat  /etc/systemd/network/12-ap0.network
      [Match]
      Name=ap0
      [Network]
      Address=192.168.4.1/24
      DHCPServer=yes
      [DHCPServer]
      # If you want to connect to your own DNS server, set its ip address here
      DNS=0.0.0.0 192.168.0.1 8.8.8.8
      

      Wenn ich das richtig verstanden habe muss ich das virtuelle Interface ap0 so ändern, dass dnsmasq den DHCP übernimmt.

      1. problematische Seite

        Tach!

        Wenn ich das richtig verstanden habe muss ich das virtuelle Interface ap0 so ändern, dass dnsmasq den DHCP übernimmt.

        Ich weiß nicht, wer bisher DHCP-Server in deinem Netz war. Vielleicht musst du nur dort den DNS konfigurieren.

        dedlfix.

        1. problematische Seite

          Hi dedlfix,

          Vielleicht habe ich das nicht so richtig ausgedrückt. Ich habe auf dem PI einen virtuellen Wlan-Punkt ap0 eingerichtet. Ich möchte das dieser Punkt als Router auftritt und die Internetverbindung nach "draußen" übernimmt als auch meine "localen Domains" auflösen kann.

          Wlan0 und eth0 beziehen Ihre DHCP vom "richtigen" Router... hier sind die Regeln für ap0

           ExecStartPost=/sbin/iptables -A FORWARD -i eth0 -o ap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
          ExecStartPost=/sbin/iptables -A FORWARD -i ap0 -o eth0 -j ACCEPT
          ExecStartPost=/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
          ExecStartPost=/sbin/iptables -t nat -A PREROUTING -i ap0 -p tcp --dport 443 -j REDIRECT --to-port 8080
          ExecStartPost=/sbin/iptables -t nat -A PREROUTING -i ap0 -p tcp --dport 80 -j REDIRECT --to-port 8080
          
          ExecStopPost=-/sbin/iptables -D FORWARD -i eth0 -o ap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
          ExecStopPost=-/sbin/iptables -D FORWARD -i ap0 -o eth0 -j ACCEPT
          ExecStopPost=-/sbin/iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
          ExecStopPost=-/sbin/iptables -t nat -D PREROUTING -i ap0 -p tcp --dport 443 -j REDIRECT --to-port 8080
          ExecStopPost=-/sbin/iptables -t nat -D PREROUTING -i ap0 -p tcp --dport 80 -j REDIRECT --to-port 8080
          

          an ap0 hängt ein Mitmproxy zum Debug

          1. problematische Seite

            Tach!

            Vielleicht habe ich das nicht so richtig ausgedrückt. Ich habe auf dem PI einen virtuellen Wlan-Punkt ap0 eingerichtet. Ich möchte das dieser Punkt als Router auftritt und die Internetverbindung nach "draußen" übernimmt als auch meine "localen Domains" auflösen kann.

            Wlan0 und eth0 beziehen Ihre DHCP vom "richtigen" Router... hier sind die Regeln für ap0

            Dann musst du am "richtigen Router" das DHCP ausschalten, wenn es noch für dein Netz aktiv ist, damit du auf dem PI einen DHCP aufsetzen kannst, den du deinen Wünschen entsprechend konfigurieren kannst.

            dedlfix.

            1. problematische Seite

              Hi dedlfix,

              hm... das ist nicht das Ziel muss doch noch eine andere Möglichkeit geben. Die IPs sind unterschiedliche Bereiche

            2. problematische Seite

              Dann musst du am "richtigen Router" das DHCP ausschalten, wenn es noch für dein Netz aktiv ist, damit du auf dem PI einen DHCP aufsetzen kannst,

              Nein. Er muss den DHCP-Server nur an das Netzgerät (interface) binden an welchem er sein eigenes Netz einrichten will. Und in dem hat allerdings (jedenfalls nicht ohne weiteres) kein weiterer DCHP-Server was zu suchen.

              1. problematische Seite

                Hi,

                vielen Dank für Deine Antwort.

                ich stehe immer noch auf dem Schlauch...

                [Match]
                Name=ap0
                [Network]
                Address=192.168.4.1/24
                DHCPServer=yes
                [DHCPServer]
                

                ich werde versuchen hier eine feste IP 192.168.4.1 zu vergeben und dann mit dnsmasq den DHCPServer aufzusetzen

      2. problematische Seite

        • DNS=0.0.0.0 dürfte falsch sein.

        Du musst Deinen DNS-Server über (D)einen DHCP bekannt machen. Wie das geht hängt von Deiner uns unbekannten Vorgehensweise bzw. dem uns ebenso unbekannten DHCP-Server ab.

        Eine lesenswerte Diskussion mit Beispielen gab es hier im Forum vor einiger Zeit.

        1. problematische Seite

          Hi,

          vielen Dank für Deine Info. Ich werde mich nochmal genauer damit beschäftigen müssen. Ich glaube dnsmasq bietet in seiner Config alle Möglichkeiten das was ich vorhabe umzusetzen.... leider sehe ich diese noch nicht ... bzw. mir fehlt das Hintergrundwissen.

          1. problematische Seite

            Genau! Man muss sich einfach mal richtig mit dem Thema befassen. Tipp: Erstelle einen Netzplan! MFG

          2. problematische Seite

            Hallo,

            vielen Dank für Deine Info. Ich werde mich nochmal genauer damit beschäftigen müssen.

            ich auch. Ich habe dein Netzwerk noch nicht ganz verstanden.

            Ich glaube dnsmasq bietet in seiner Config alle Möglichkeiten das was ich vorhabe umzusetzen...

            Ja, wahrscheinlich. Immerhin ist dnsmasq ja gleichzeitig ein DNS- und ein DHCP-Server. Es ist deshalb naheliegend, das Tool auch für beide Funktionen einzusetzen. Dazu müssen die IP-Adressen auf dem Gerät, auf dem dnsmasq läuft, natürlich fest eingestellt werden. Und dnsmasq sollte der einzige DHCP-Server im Netz sein - denn bei DHCP ist es wie beim Highlander: Es kann nur einen geben.
            Dann würde dnsmasq sich selbst per DHCP auch als DNS anbieten.

            So long,
             Martin

            --
            Computer müssen weiblich sein: Eigensinnig, schwer zu durchschauen, immer für Überraschungen gut - aber man möchte sie nicht missen.
            1. problematische Seite

              Hello,

              Dazu müssen die IP-Adressen auf dem Gerät, auf dem dnsmasq läuft, natürlich fest eingestellt werden. Und dnsmasq sollte der einzige DHCP-Server im Netz sein - denn bei DHCP ist es wie beim Highlander: Es kann nur einen geben.

              DHCPd darf es innerhalb eines IP-Segmentes soviele geben, wie man will, auch wenn das meistens unpraktisch ist. Der schnellste gewinnt. DNSd darf es hingegen nur einen Master geben. Das System ist "redundant hierarchisch" organisiert.

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.
              1. problematische Seite

                Hallo Tom,

                denn bei DHCP ist es wie beim Highlander: Es kann nur einen geben.

                DHCPd darf es innerhalb eines IP-Segmentes soviele geben, wie man will, auch wenn das meistens unpraktisch ist. Der schnellste gewinnt.

                ja genau, weil DHCP per Broadcast funktioniert. Und dann gibt es ein heilloses Durcheinander, wenn nicht alle dhcpd genau mit derselben Datenbasis arbeiten. Doppel-Vergabe von IP-Adressen könnte auftreten, und das wäre fatal.
                Deswegen darf es IMO in einem Netzwerk nur einen dhcpd geben.

                DNSd darf es hingegen nur einen Master geben. Das System ist "redundant hierarchisch" organisiert.

                Welchen DNS ein Client befragt, wird ja entweder statisch konfiguriert oder per DHCP zugewiesen. DNS-Server kann es also beliebig viele geben, ohne dass das einen Konflikt verursacht.

                So long,
                 Martin

                --
                Computer müssen weiblich sein: Eigensinnig, schwer zu durchschauen, immer für Überraschungen gut - aber man möchte sie nicht missen.
                1. problematische Seite

                  Hello,

                  dass IPs mehrfach vergeben werden, wenn es innerhalb einer Broadcastdomäne mehrere DHCP-Server gibt, ist ein Mythos. Wenn die nicht kaputt sind, passiert das nicht. Nur der Verwaltungstraffic wird immer mehr, und die Datenzuweisung dauert immer länger, je mehr aktive Komponenten in einer Broadcastdomäne ihr Wissen austauschen.

                  Glück Auf
                  Tom vom Berg

                  --
                  Es gibt nichts Gutes, außer man tut es!
                  Das Leben selbst ist der Sinn.
                2. problematische Seite

                  Liebe Mitdenker, liebe Wissende, liebe Neugierige,

                  DHCPd darf es innerhalb eines IP-Segmentes soviele geben, wie man will, auch wenn das meistens unpraktisch ist. Der schnellste gewinnt.

                  ja genau, weil DHCP per Broadcast funktioniert. Und dann gibt es ein heilloses Durcheinander, wenn nicht alle dhcpd genau mit derselben Datenbasis arbeiten. Doppel-Vergabe von IP-Adressen könnte auftreten, und das wäre fatal.
                  Deswegen darf es IMO in einem Netzwerk nur einen dhcpd geben.

                  Ersetze darf gegen sollte und ich stimme Dir zu.

                  Außerdem kennen bei Linux/Unix-System die DHCP-Clients ein prefered_DHCP-Feld.

                  Neuere DHCP-Daemons haben ein test before eingebaut. Da werden alle DHCP-Daemons vorher auf "Renew IP" abgefragt, wenn sich einer meldet, nimmt der Requestor die IP aus seinem Pool heraus.

                  Spirituelle Grüße
                  Euer Robert

                  --
                  Möge der Forumsgeist ewig leben!
            2. problematische Seite

              Das Netzwerk ist einfach ...

              Der Pi hängt mit Wlan und Kabel am Router und soll über AP0 eine eigenes Netzwerk aufbauen DNS incl. DHCP

              
               root@raspberrypi:~# ip a
              1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
                  link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
                  inet 127.0.0.1/8 scope host lo
                     valid_lft forever preferred_lft forever
                  inet6 ::1/128 scope host
                     valid_lft forever preferred_lft forever
              2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
                  link/ether dc:a6:32:18:e9:69 brd ff:ff:ff:ff:ff:ff
                  inet 192.168.0.44/24 brd 192.168.0.255 scope global dynamic eth0
                     valid_lft 1911sec preferred_lft 1911sec
                  inet6 2a02:2455:ae6:4c00:dea6:32ff:fe18:e969/64 scope global dynamic mngtmpaddr noprefixroute
                     valid_lft 1119364sec preferred_lft 514564sec
                  inet6 fe80::dea6:32ff:fe18:e969/64 scope link
                     valid_lft forever preferred_lft forever
              3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
                  link/ether dc:a6:32:18:e9:6a brd ff:ff:ff:ff:ff:ff
                  inet 192.168.0.42/24 brd 192.168.0.255 scope global dynamic wlan0
                     valid_lft 1925sec preferred_lft 1925sec
                  inet6 fe80::dea6:32ff:fe18:e96a/64 scope link
                     valid_lft forever preferred_lft forever
              4: ap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
                  link/ether dc:a6:32:18:e9:6a brd ff:ff:ff:ff:ff:ff
                  inet 192.168.4.1/24 brd 192.168.4.255 scope global ap0
                     valid_lft forever preferred_lft forever
                  inet 192.168.4.10/28 scope global ap0
                     valid_lft forever preferred_lft forever
                  inet6 fe80::dea6:32ff:fe18:e96a/64 scope link
                     valid_lft forever preferred_lft forever
              
              1. problematische Seite

                Hallo,

                Das Netzwerk ist einfach ...

                das glaube ich nicht. Ich habe den Eindruck, du machst es unnötig kompliziert.

                Der Pi hängt mit Wlan und Kabel am Router

                Warum?? Zwei Netzwerkpfade zu demselben Gerät halte ich nicht für eine gute Idee, und das ist meist sehr schwer zu koordinieren.

                Warum nicht einfach den Raspberry per LAN am DSL-Router anschließen, und wer immer möchte, verbindet sich über WLAN mit dem Pi, um dessen Proxy-Funktion zu nutzen, oder sonst ganz normal per LAN direkt mit dem DSL-Router.

                Dann könnte der Pi seinerseits DHCP-Client sein und seine IP-Konfiguration vom DSL-Router bekommen (die anderen direkt verbundenen Clients auch), denjenigen Clients, die sich mit seiner WLAN-Schnittstelle verbinden, bietet er aber DHCP- und DNS-Server.
                Ein zusätzliches virtuelles Netzwerkinterface ist IMO nicht nötig.

                Ciao,
                 Martin

                --
                Computer müssen weiblich sein: Eigensinnig, schwer zu durchschauen, immer für Überraschungen gut - aber man möchte sie nicht missen.
                1. problematische Seite

                  Hi, vielleicht geht es auch einfacher ...

                  Aber ich möchte das so! .. gleiche IPs für meine Websites egal wo ich arbeite(bzw. wo ich mich mit Wlan oder Kabel verbinde) immer die gleichen Testbedingungen.

                  Grüße

                  1. problematische Seite

                    Hello,

                    Hi, vielleicht geht es auch einfacher ...

                    Aber ich möchte das so! .. gleiche IPs für meine Websites egal wo ich arbeite(bzw. wo ich mich mit Wlan oder Kabel verbinde) immer die gleichen Testbedingungen.

                    Das wird erst wirlich interessant, wenn Du den Webserver VirtHosts verwalten lässt. Dann muss nämlich der Hostname beim Request zum Webserver mitgesendet werden, und nicht nur die IP. Die kannst Du ja fest vergeben.

                    Alternativ musst Du allen Hosts-Dateien die Auflösungen manuell beibringen.

                    Man kann bei Windows auch noch mit einer zentralen LMHOST-Datei arbeiten, die sich die Windowssysteme beim Starten einlesen. Das ist aber auch Schmuddelkram.

                    Die nächste Stufe ist dann DNS. DHCP ist noch gar nicht so wichtig.

                    Glück Auf
                    Tom vom Berg

                    --
                    Es gibt nichts Gutes, außer man tut es!
                    Das Leben selbst ist der Sinn.
                    1. problematische Seite

                      hi, ich glaube das bekomme ich leichter hin als die Config von dnsmasq

                      ich schau mir erstmal die /etc/dnsmasq.conf an ich denke ich bekomme das schon gerichtet...

              2. problematische Seite

                Das Netzwerk ist einfach ...

                Und wo ist der Plan?

                Der Pi hängt mit Wlan und Kabel am Router und soll über AP0 eine eigenes Netzwerk aufbauen DNS incl. DHCP

                Wo ist der Netzplan?

                Du solltest Dir mal anschauen wie man Subnetze anlegt. Und Dich mit IP/Netzwerkdesign befassen. Wenn Du mehrere Netze haben willst, dann müssen die auch verschiedene Adressbereiche haben. Und dann wäre noch die Frage ob classful oder classless zwischen Deinen Netzen geroutet werden soll. Was wiederum Dein Netzdesign bestimmt.

                Einen Netzplan solltes Du da schon machen. Und wenn es nur auf Papier ist. MFG

                1. problematische Seite

                  Hi,

                  nochmals Danke an Alle die mir hier geholfen haben!

                  Das mit dem Netzplan werde ich im Hinterkopf behalten sobald ich bei den Virtual hosts angekommen bin. Derzeit ist 192.168.4.50 - 192.168.4.100 für Testgeräte reserviert.

                  DNS / DHCP Server funktionieren und können die Test-Domain 192.168.4.10 = ausgedacht-domain.pi auflösen. Ob es zu Konflikte zwischen systemd und dnsmasq kommt muss ich erst testen...

                  Hier meine Doku was ich eingerichtet habe

                2. problematische Seite

                  Liebe(r) Email,

                  Das Netzwerk ist einfach ...

                  Und wo ist der Plan?

                  Du hast doch bestimmt einen Link auf eine Netzwerkplansoftware für uns?

                  Spirituelle Grüße
                  Euer Robert

                  --
                  Möge der Forumsgeist ewig leben!
                  1. problematische Seite

                    Tach!

                    Das Netzwerk ist einfach ...

                    Und wo ist der Plan?

                    Du hast doch bestimmt einen Link auf eine Netzwerkplansoftware für uns?

                    Seine Antwort ist ziemlich nutzlos, weil man zum Planen Kenntnisse haben muss, was man da zusammenzuplanen gedenkt. Andererseits braucht man dazu - besonders im Heimbereich - keine Planungssoftware. Den Plan kann man sich bei der Größenordnung eigentlich auch im Kopf machen. Allerdings braucht man die entsprechenden Grundkenntnisse in Netzwerktechnik. Ein Tutorial wäre also zunächst die bessere Anlaufstelle. Eine Empfehlung für ein solches hab ich aber nicht parat.

                    dedlfix.

  2. problematische Seite

    Hello,

    schau doch schon mal unter raspberry-pi-geek.de

    Wenn ich Dich richtig verstanden habe, hat das mit Windows erstmal nichts zu tun. Das Windowssystem muss dann nur die DHCP-Offer empfamgen und annehmen.

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. problematische Seite

      Hi Tom,

      Danke für Dein Feedback. Ich glaube genau so soll es sein!

      Wie erzeuge ich über dnsmasq einen DHCP-Offer...

    2. problematische Seite

      Hello,

      schau doch schon mal unter raspberry-pi-geek.de

      Und mit dnsmasq findest Du auf www.elektronik-kompendium.de noch mehr Input.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
  3. problematische Seite

    Lieber Netwurm,

    wenn Du das auf dem RasPi hinbekommen hast, sei so lieb, und poste hier das Ergebnis. Ich will mir das dann auch einrichten und könnte durch deine Hilfe bestimmt viel Zeit sparen.

    Man muss ja nich alles selber rausfinden ;-)

    Spirituelle Grüße
    Euer Robert

    --
    Möge der Forumsgeist ewig leben!
    1. problematische Seite

      Hi,

      Hier findest Du die:

      Anleitung

      ganz unten steht das Build Datum

      Grüße

      1. problematische Seite

        Hello,

        Hier findest Du die:

        Anleitung

        ganz unten steht das Build Datum

        Danke. Hier zählt jede fachliche Rückmeldung ;-)

        Glück Auf
        Tom vom Berg

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
      2. problematische Seite

        Hello,

        Hier findest Du die:

        Anleitung

        ganz unten steht das Build Datum

        Na, das ist doch schon Fleißarbeit!
        Hast Du die Doku erfasst?
        Hängt der RasPi im öffentlichen Netz?

        Dann möchte ich noch den Vorschlag machen, dringend auch ein fail2ban einzurichten mit den diversen Filtern.

        Empfehlenswert ist dabei auch der reflexive Filter recidive. Findest Du hier im Archiv beschrieben. Der beobachtet wiederholende Wiederholungstäter und sperrt die dann ggf. dauerhaft. Wenn man die letzten beiden fail2ban.log-Dateien einbezieht (zwei wegen logrotate), erhält man eine sehr gute Langzeitüberwachung. Der Filter meldet dann Vorfälle auf Wunsch auch per Mail.

        Glück Auf
        Tom vom Berg

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
        1. problematische Seite

          Lieber Tom,

          Hier findest Du die:

          Anleitung

          Dann möchte ich noch den Vorschlag machen, dringend auch ein fail2ban einzurichten mit den diversen Filtern.

          Empfehlenswert ist dabei auch der reflexive Filter recidive. Findest Du hier im Archiv beschrieben. Der beobachtet wiederholende Wiederholungstäter und sperrt die dann ggf. dauerhaft. Wenn man die letzten beiden fail2ban.log-Dateien einbezieht (zwei wegen logrotate), erhält man eine sehr gute Langzeitüberwachung. Der Filter meldet dann Vorfälle auf Wunsch auch per Mail.

          Danke für den Tipp mit recidive

          Das wollte ich schon selber bauen, wusste aber nicht, wie.

          Spirituelle Grüße
          Euer Robert

          --
          Möge der Forumsgeist ewig leben!
          1. problematische Seite

            Hi Tom,

            @Hast Du die Doku erfasst? > Ich trage nur Informationen zusammen und probiere aus.

            @Hängt der RasPi im öffentlichen Netz? > Das Netzteil bezieht seinen Strom von dort ;o)

            @Firewall > Hm, hatte wollte eigentlich ufw nutzen. Danke für Deinen Vorschlag (fail2ban).

            Grüße Netwurm