DNS ohne Server, Welche Domainnamen, Sub-Domains notwendig?

[thogru]

Moin, moin,

Aktuell nutze ich noch localdomain als DNS-Domäne, weil das der Default-Wert von OPNsense war. Es sind keine Sub-Domänen konfiguriert. Alle Geräte im Netzwerk habe eine statische IP-Adresse über eine entsprechenden DHCP Eintrag bekommen. Aktuell plane ich nicht, einen extra DNS-Server in meinem Netzwerk aufzubauen. Das will ich alles über statische Einträge im DHCP erledigen.

Anbei findet Ihr meine Netzwerkplan.

Die aktuelle Konfiguration hat den Nachteil, dass für ein Gerät mehrere IP-Adressen zurückgeliefert werden (für jedes Interface, über den das Gerät erreichbar sein könnte). Davon betroffen sind hauptsächlich mein Notebook (das hat die verschieden Netzwerkschnittstellen LAN, WLAN an der jeweiligen Interfaces des Routers) und der Router (OPNsense). Die Rückgabe der mehreren IP-Adressen ist teilweise ein Problem:

• Verzögerungen:
  Beim Verbindungsaufbau per https oder ssh treten jeweils Verzögerungen auf, bis die Anwendung merkt, dass eine andere der zurückgegebenen IP-Adressen genutzt werden muss.
  
• Fehler:
  ping nutzt nur die erste der zurückgelieferten IP-Adressen. Wenn diese aus dem aktuellen Netzwerksegment nicht erreichbar ist (z.B. die LAN-IP-Adresse der OPNsense aus der DMZ).
  

Um diese Probleme zu umgehen, will ich jetzt jedem Interface eine eigene Sub-Domäne einrichten. Ich denke an folgende Sub-Domänen:

• lan
• dmz
• wlan
• wan

Frage 1: Reicht es, die Sub-Domänen im DHCP für jedes Interface einzutragen?


Root-Domäne:
Aktuell nutze ich noch localdomain als DNS-Domäne, weil das der Default-wert von OPNsense war. Wenn ich https://forum.opnsense.org/index.php?topic=12838.0 richtig verstanden habe, ist das keine gute Wahl. Es wäre besser gleich dort meine Sub-Domäne meiner eigenen registriertem DNS-Domäne einzutragen. Ich habe thogru.de registriert, dann könnte ich home.thogru.de als "Root"-Domäne verwenden. Wenn ich wie oben beschrieben noch Sub-Domänen an die Interfaces hänge bekommt pc09 im LAN pc09.lan.home.thogru.de (anstatt pc09.localdomain)

Frage 2: Habe ich das richtig verstanden? Spricht etwas aus Eurer Sicht gegen diese Vorgehen?


Der Hintergedanke bei diesem aufwändigen Vorgehen ist, dass ich mir später von Let's encrypt Zertifikate für die OPNsens und meine Fritz!Box einrichten will.

Frage 3: Geht das oben beschrieben Vorgehen schon in der richtige Richtung mit den Zertifikaten?


Ich kann für meine registrierte Domäne den DNS-Eintrag konfigurieren. Dort kann ich unter anderem den DNS-Server für thogru.de festlegen.

Frage 4: Erst wenn ich in diesem Eintrag zum Beispiel meine OPNsense eintrage, werden alle Namen auch im Internet aufgelöst?


Anmerkungen und Kommentare sind will kommen.

Gruß
Thomas

[micneu]

ja, du kannst jedem dhcp bereich einen eigenen sub domain zuweisen.
was ich nicht versanden habe in deinem text, wozu brauchst du für die fritzbox LE, ich sehe da nur eine fritzbox als telefonanlage oder so (ähnlich wie bei mir)
LE kann getrost die sense machen.

[thogru]

Hallo Mic,

Danke für Deine Antwort.

Was meinst Du mit Fritzbox LE? Das LE verstehe ich nicht.

Meine Fritz!Box hat folgende Aufgaben:

• Anbinden meines DECT Telefons als VoIP Gerät für meinen Provider (O2).
• Bereitstellen des WLANs für Handy, Notebook und Gäste. Deswegen ist die Fritz!Box auch in einem anderen Netz, weil sie in dieser Betriebsart, hinter einem vorhandenen Router, kein Gast Netz zu Verfügung stellen kann.
• Fax-Versand und Fax-Empfang

Gruß
Thomas

[KHE]

Hi,

Zu Frage 1: Ja
Zu Frage 2: Kann man so machen, ich würde nur die Ebene home weglassen. Es wäre mir so einfach zu lang.
Zu Frage 3: Ja. Aber die Fritz!Box selbst kann Let‘s Encrypt (LE) nur mit myfritz.net. Andere Domänen, wie z.B. fb.wlan.thogru.de gehen nur über Zertifikatsausstellung von außen (z.B. die OPNsense macht das) und hochladen über Skript.
Zu Frage 4: Warum sollte man das wollen? Private IP-Adressen werden im Internet eh nicht geroutet. Um LE Zertifikate zu bekommen ist in diesem Fall die DNS-01 Challenge des ACME-Protokolls besser geeignet. Da muss nur ein TXT-Eintrag im Nameserver erstellt werden. Das macht das LE-Plugin. Ich verwende acmedns und habe einen CNAME Eintrag der auf den acmedns Nameserver zeigt im öffentlichen DNS, sonst nichts über meine interne Domäne.

Gruß KH