Debian DNS Server im Büro

[Domi]

Hallo Leute, ich habe da mal eine kleine Frage...
Ich habe hier im Büro einen DHCP Server auf einem Debian System, dieser sagt aber den Clients noch das der alte Windows 2000 Server den DNS Spielt. Nach und nach soll der Windows Server von seinen Diensten entbunden werden.

Jetzt folgt der DNS Service den der Windows Server anbietet. Im Prinzip macht der nichts besonderes mehr, er sagt den ganzen Clients folgendes,
- intranet = 192.168.1.2
- server = 192.168.1.1

Ich vermute mal, die Domäne "domain.local" löst der DNS auch auf. Wenn ich mich nicht irre, muss ich Bind9 auf Debian als DNS-Dienst verwenden. Gibt es eine gute Beschreibung (wenn möglich deutsch), mit der ich mich da mal durch arbeiten kann..?

Noch melden sich die Clients am PDC vom Windows 2000 Server an, somit muss ich ja irgendwie vermitteln das die Domäne von dem Windows 2000 Server mit der IP 192.168.1.1 verarbeitet wird. Alle anderen Auflösungen macht der Router, dass müsste dann auch irgendwie weiter gegeben werden.

Macht man das dann mit Bind9, oder werfe ich hier gerade mehrere Dienste durcheinander die ich dafür noch benötige..?!

Gruß, Domi

 

[TerraX]

Hmm, nehmen wir mal an, dass die Stamm-Domäne firma.intern heißt und wir nutzen als lokales Netzwerk den Bereich 10.10.x.x. (Subnet-Mask 255.255.0.0)

Der DNS-/DHCP-Server (Linux) hat die IP: 10.10.0.1
Der PDC die IP: 10.10.0.2
Der Internet-Gateway (Router) die IP: 10.10.0.254

Nun auf dem DNS ein entsprechendes Zonefile für die Stammdomain firma.intern eingerichtet werden, für die er zuständig sein soll. Für alles andere wird im bind9 ein Nameserver-Forwarding auf den Gateway eingerichtet. Für den PDC wird im vorgenannten Zonefile ein A-Record mit pdc.firma.intern -> 10.10.0.2 hinterlegt.

Auf den Clients müsste dann als DC eben pdc.firma.intern für die Anmeldung angegeben werden es sei denn Du willst Dich auch noch mit NetBios herumschlagen (wofür wir dann vermutlich auch noch WINS-Dienste bräuchten).

Der DHCP reicht dann an die Clients einfach den DNS (10.10.0.1) sowie den Gateway (10.10.0.254) durch.

So konkretes Beispiel:

Installation und Vorgaben im DHCP

apt-get install dhcp

#/etc/dhcpd.conf

default-lease-time 3600;
max-lease-time 86400;

# Für die Netzwerkkarte eth1 (LAN) gelten folgende Einstellungen
subnet 10.10.0.0 netmask 255.255.0.0 {

# Domainname = mylan
option domain-name "firma.intern";

option domain-name-servers 10.10.0.1, ns2.zweiterDNS.net;

# Internet-Gateway
option routers 10.10.0.254;

# Netzmaske
option subnet-mask 255.255.0.0;

# dynamische Zuweisung bei fremden Rechnern im LAN
range 10.10.1.1 10.10.2.200;
}

So nun der bind:

apt-get install bind

;
; /etc/bind/db.firma.intern
;
$TTL 604800
@ IN SOA ns1.firma.intern. webmaster.firma.intern.local. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
NS ns.firma.intern.
;
;
ns1.firma.intern. A 10.10.0.1
pdc.firma.intern. A 10.10.0.2

Und last but not least noch in die Konfiguration einbinden (/etc/bind/named.conf.local)

// /etc/bind/named.conf.local
// Add local zone definitions here.

zone "firma.intern" {
notify no;
type master;
file "/etc/bind/db.firma.intern";
};

Last but not least in der /etc/bind/named.conf.options im Bereich Options die Forwarder setzen, also die DNS die gefragt werden sollen, für alles was unser DNS nicht weiß.

forwarders { IP-DNS1; IP-DNS2; };

Theoretisch müsste auch der Gateway reichen, weil spätestens der kennt ja die DNS des ISP.

 

[PapaBaer]

Wenn man dnsmasq nutzt, dann braucht man nicht mal mehr bind. Die DNS-Geschichte kannst du auch direkt mit dnsmasq abfeiern.

http://wiki.ubuntuusers.de/Dnsmasq#Konfiguration-als-DNS-Server

 

[Domi]

Hey hey, vielen vielen Dank an TerraX für die ausführliche Aufbau-Anleitung. Meine "/etc/dhcp/dhcpd.conf" sieht aktuell so aus

ddns-update-style none;

option domain-name "xxx.local";
option domain-name-servers 192.168.1.1, 192.168.1.254;

default-lease-time 600;
max-lease-time 7200;

authoritative;
log-facility local7;

#################
subnet 192.168.1.0 netmask 255.255.255.0 {
 range 192.168.1.200 192.168.1.230;
 option broadcast-address 192.168.1.255;
 option subnet-mask 255.255.255.0;
 option routers 192.168.1.254;
}

#################
host client10 {
 hardware ethernet xx:xx:xx:xx:xx:xx;
 fixed-address 192.168.1.10;
 option host-name "client10";
}

Wenn ich morgen in der Firma bin, werde ich das mal ausprobieren und schauen ob alles klappt

@PapaBaer, wenn das funktioniert reicht das ja schon. Als DNS Server ist mir nur Bind9 eingefallen, da ich das von einem ehemaligen vorinstallierten Confixx root-Server kenne

Gruß, Domi

 

[PapaBaer]

dnsmasq funktioniert auf jeden Fall. Es ist eine schnelle und einfache Lösung für kleine Umgebungen (klein meint da durchaus < 200 Hosts).

Du kannst halt wählen, entweder dnsmasq, oder full featured aber auch entsprechend komplex mit dhcpd + bind. Ich würde es nur nicht mischen, also dnsmasq + dhcpd oder dnsmasq + bind, weil die sich schnell mal in die Quere kommen.

 

[TerraX]

Wenn man dnsmasq nutzt, dann braucht man nicht mal mehr bind. Die DNS-Geschichte kannst du auch direkt mit dnsmasq abfeiern.

http://wiki.ubuntuusers.de/Dnsmasq#Konfiguration-als-DNS-Server

Oops - wie ist das damals in meine Anleitung gekommen? *grübel* Ist schon 2-3 Jahre her. Hmm, however - hast natürlich recht.

 

[Domi]

Also wenn ich das richtig sehe...
Wenn ich "dnsmasq" installiere, bräuchte ich auch kein "ics-dhcp-server", ist das richtig?

Dann muss ich mal gucken ob ich meine Einstellungen der dhcp.conf übernehmen kann

Nachtrag: Oder kann ich den DHCP Dienst bestehen lassen und parallel "dnsmasq" laufen lassen?!

 

[TerraX]

dnsmasq macht - wie PapaBear sagte - beides DNS und DHCP auf eine sehr direkte Art und Weise und ist daher für kleiner Netzwerke durchaus das Mittel der Wahl. Da dnsmasq prinzipiell beide Funktionalitäten abbildet, ist es nicht zu empfehlen bind und/oder dhcp zusätzlich zu installieren.

 

[Domi]

Das gefällt mir schon mal sehr gut... Werde es im laufe des Tages einmal durch probieren. Muss mir nur mal das Manual anschauen, ich hatte in der Ubuntu Anleitung einen Punkt gesehen, der mir gefällt.. aber den wollte ich weiter ausbauen

In der Anleitung stand drin, dass man Systemen anhand der MAC Adresse eine feste IP zuweisen kann. Finde ich schon mal gut, habe ich bei mir auch in der dhcp.conf drin, aber bei den Handys die hier im W-Lan sind (besonders meins) will ich etwas spezifischer arbeiten. Hier mal ein Beispiel,

host samsung-domi {
 hardware ethernet 00:xx:xx:xx:xx:f4;
 fixed-address 192.168.1.91;
 option routers 192.168.1.254;
 option domain-name-servers 192.168.1.254;
}

alle Geräte haben zwei Nameserver eingetragen, einmal den PDC und einmal den Router.. außer mein Handy, da steht als DNS nur der Route drin. Da muss ich mal gucken ob das geht

Aber sonst habe ich den Aufbau verstanden.. hoffe ich
Entweder DHCPd + Bind, oder dnsmasq alleine

Gruß, Domi

 

[TerraX]

alle Geräte haben zwei Nameserver eingetragen, einmal den PDC und einmal den Router.. außer mein Handy, da steht als DNS nur der Route drin. Da muss ich mal gucken ob das geht

Das mag zwar funktionieren, ist aber m.E. nicht effizient, weil bei Internetzugriffen erstmal erfolglos der PDC (Noch-NameServer) gefragt wird und dann erst das Gateway (DNS-Forwarding). Ergo: auf dem PDC Nameserver-Forwarding einrichten oder Nameserverfunktionalität gleich komplett auf den DHCP verlagern, wie in meinem Beispiel dargestellt.

 

[Domi]

Joa, okay.. Dann mache ich es auf den üblichen weg so wie man es sonst auch macht. Ohne die Sonderregelungen etc.

Hier in der Firma habe ich das auch nur gemacht, weil der DNS Dienst auf dem Windows 2000 Server ganz gerne den Dienst verweigert und alle Kollegen dann nicht mehr ins Internet kommen, weil der DNS nichts mehr auflöst oder weiter gibt. Das war nämlich gestern der Fall.. ping an IP lief ohne Probleme, aber auflösen von Namen war nicht mehr möglich. Server Neustart, dieser dauerte ein paar Minuten und es ging alles wieder.

Und jetzt wird ausgelagert.. Angefangen hatte es mit dem DHCP Dienst, jetzt folgt DNS Dienst, dann der Samba als PDC und dann schauen wir mal weiter

Aber, wenn ich das mit dem "dnsmasq" gut funktionsfähig bekomme könnte ich ja auch hinterher nen Squid als hidden-proxy hier einsetzen

Aber schon mal vielen dank bis hierhin.
Gruß, Domi

 

[TerraX]

... Aber, wenn ich das mit dem "dnsmasq" gut funktionsfähig bekomme könnte ich ja auch hinterher nen Squid als hidden-proxy hier einsetzen

Der Einsatz eines transparenten Proxy ist von dnsmasq völlig unabhängig. Protokollbedingt kollidiert ein transparenter HTTP-Proxy mit SSL-Verbindungen, die funktionieren dann nämlich ohne explizite Konfiguration im Client-Browser nicht. Und in diesem Falle kannst Du dann gleich die automatische Client-Proxykonfiguration komplett einrichten.

Mir fiele atm auch kein Szenario ein, wo ein transparenter Proxy in einem Unternehmen wirklich erforderlich wäre, da Maßnahmen wie Filterung, Zugangsbeschränkung und Logging sowieso aus arbeitsrechtlichen Gründen entsprechend angemessen bekannt gemacht werden müssen.

P.S.: Last but not least, auch wenn ich merke, dass Du Dich selbstständig weiter vertiefend mit dem Thema beschäftigst noch ein Hinweis: Das von mir eingangs dargestellte Beispiel entstammt dem Einsatzszenario von LAN-Parties für 200-350 Gästen. Die Konfig war daher minimalistisch ausgelegt (muss stabil für 2 Tage funktionieren). Sicherheit spielte nur an bestimmten Schlüsselpunkten eine Rolle, da wir mit Hilfe der Netz-Techniker und "dem LAN-Kabel-zum-Verursacher-folgen" evtl. Probleme umgehend "lösen" konnten. Für eine Unternehmensinfrastruktur sind sicherlich noch mehr Aspekte zu berücksichtigen.

 

[PapaBaer]

Caching. Wenn die Leitung etwas dünn ist, liebe ich den Squid! Wenn dann noch Notebooks im Spiel sind, ist ein transparenter Squid cool.

Außerdem kann man zum 1.5. viel Spaß damit haben : http://www.ex-parrot.com/pete/upside-down-ternet.html

 

[TerraX]

Caching. Wenn die Leitung etwas dünn ist, liebe ich den Squid! Wenn dann noch Notebooks im Spiel sind, ist ein transparenter Squid cool.

Außerdem kann man zum 1.5. viel Spaß damit haben : http://www.ex-parrot.com/pete/upside-down-ternet.html

Schade den Link kann ich von Arbeit leider nicht aufrufen

Den Einsatz eines Proxy im Unternehmensumfeld habe ich generell nicht in Frage gestellt. Ganz im Gegenteil, es gibt viele Gründe dort einen solchen einzusetzen. Sofern nur unternehmenseigene NBs im Spiel sind halte ich jedoch eine vollständige Browser-Konfig via AD-Policies für die bessere Variante. Fremde Geräte sollten im internen Netz gar nix zu suchen haben sondern nur bedingt über ein abgeschottetes Segment Anschluss finden, dort macht ein transparenter Proxy evtl. Sinn, yepp. Aber das hängt sicherlich vom Sicherheitsbedarf des Unternehmens ab.

<OFF-Topic>: Sorry, aber zur Erläuterung: Im Rahmen einer länger zurückliegenden Prüfung hatte ich festgestellt, dass unternehmenseigene NBs sich problemlos auch an unternehmensfremde Netzwerkanschlüsse (z.B. DSL zu Hause) anstöpseln ließen und damit direkten Zugang zum Internet hatten. Das unterlief natürlich sämtliche Sicherheits-Policies und war damit ein Sicherheitsrisiko ( = Mangel aka Finding in Prüfersprech). Es wurde dahingehend geändert, das bei Anschluss an externen Netzwerken nur der Aufbau des VPN-Tunnels zum eigenen Unternehmen möglich ist. Damit greifen dann auch wieder alle Sicherheits-Richtlinien der Firma.</OFF-Topic>

 

[Domi]

Sofern nur unternehmenseigene NBs im Spiel sind halte ich jedoch eine vollständige Browser-Konfig via AD-Policies für die bessere Variante.

Naja, AD unter Linux gab doch (meines Wissens) Probleme in der Hinsicht, das AD von Linux / Samba gar nicht unterstützt wird. Aber das ist ja nun ein ganz anderes Thema, wollte das nur mal eben angesprochen haben

Caching. Wenn die Leitung etwas dünn ist, liebe ich den Squid! Wenn dann noch Notebooks im Spiel sind, ist ein transparenter Squid cool.

Caching ist der gute Ansatz.. Wir haben hier in der Firma zwar nur 12 Personen (2 Chefs, 3 Azubis und der Rest) und das alles läuft über eine 1.500er DSL Leitung. Ein wenig Kontrolle wollte ich durch nen squid hinein bringen, so das man auf jede Seite drauf kommt (Blacklist) und ich glaube der squid kann auch protokollieren, wer wie viel Traffic macht

Chef 1 kommt gerne hier in die Abteilung mit dem Satz "wer belegt schon wieder das Netz, alles ist langsam!" und er hingegen hat x mal Facebook, Poker etc. geöffnet. So kann ich dann gleich sagen "Du!"

Aber erst einmal kümmere ich mich um den DNS.. das ist ja auch die DNS Ecke, bevor ich ganz abschweife. Für den squid (wenn es dann soweit ist) gehe ich dann in die passende Ecke, genauso wie spezifischere Dinge vom Samba

Gruß, Domi

 

[PapaBaer]

Vergiss nicht, dich rechtlich abzusichern, wenn du das in einer Firma umsetzt. Das greift alles ziemlich heftig in die Privatsphäre und das Fernmeldegeheimnis der Mitarbeiter ein. Unabgesprochen gibt sowas mächtig Ärger.

 

[Domi]

Okay, dass passt jetzt zwar nicht wirklich ins Topic...
Aber wenn ich nen spuid einrichte um Seiten zu Cachen, damit die Kollegen etwas flotter unterwegs sind, fällt das schon so unter die Datenschutz-Regelung?

Ich bin ja hier der einzige System- und Netzwerkadmin in der Firma, aber gut zu wissen. Wobei, wenn es für die Geschwindigkeit hier im Internet förderlich ist, wird Chef nur nicken und dem zustimmen.

Gruß, Domi

 

[TerraX]

Ein eindeutiges: "Es kommt darauf an."

Spaß beseite, Du zäumst das Pferd von hinten auf. Ausgangsfrage müsste eher lauten: Gibt es bei Euch eine Anweisung/Regelung für den Umgang mit PC, eMail und Internet? (Tip: falls nicht, sollte das nachgeholt werden, um rechtlich saubere Grundlagen zu schaffen).

Direkt daraus leiten sich die Optionen zur Konfiguration der betreffende IT-Systeme ab (private Nutzung erlaubt oder verboten?). Das führt uns dann zum Thema Protokollierung. Ist die private Nutzung erlaubt, agiert das Unternehmen als Provider (d.h. die Möglichkeiten der Protokollierung sind sehr eingeschränkt bzw. tendieren gegen 0). Ist ausschließlich dienstliche Nutzung erlaubt, ist eine Protokollierung der Zugriffe grundsätzlich möglich aber auf Grund der Eignung zur Leistungskontrolle von einem evtl. Betriebsrat mitbestimmungspflichtig.

In der Konsequenz bedeutet das, Du brauchst auch in jedem Falle eine Anweisung bzgl. Protokollierung: was im wesentlichen wo und wie protokolliert wird, wer unter welchen Umständen diese einsehen und auswerten darf. Auch die Kontrolle der Logs auf technische Probleme sollte definiert sein.

Für den Anwender ist dies allgemein zu formulieren, für den Admin natürlich entsprechend auf technischer Ebene als Konzept.

Die Frage ist also nicht, ob Du einen Server zur Optimierung der Performance des Internetzuganges installieren darfst - das ist die Entscheidung Deines Chefs. Der eigentlich heikle Punkt besteht darin, wie das Ding konfiguriert ist!

 

[Domi]

Jetzt macht es *klick*
Klingt verständlich.. ich kann ja nicht alles protokollieren und sagen "du bist privat im Internet unterwegs gewesen, dass darfst Du aber nicht" obwohl es keine Regelung gibt die das untersagt. Richtig verstanden?

Dann sollte ich mich mal mit den Chefs zusammensetzen, Betriebsrat gibt es hier bei uns und der Größe keinen. Aber dann weiß ich schon mal bescheid soweit.

Aber noch mal back-to-topic, der dnsmasq ist installiert und funktioniert. Für uns in der Firma sollte das ausreichen bei der Anzahl. Aber die Kombination DHCP + Bind schaue ich mir auch noch mal an, damit ich (falls nötig) auch damit zurecht komme

In der Config vom dnsmasq hab ich auch was wegen Blacklist oder Whitelist gesehen, mal schauen.

Gruß, Domi