Synology-Forum.nl
Packages => Officiële Packages => DNS server => Topic gestart door: FlipjeSR op 24 juni 2021, 11:05:10
-
Dag allemaal,
Ik ben druk bezig geweest met het opzetten van een mailplus server wat nu uiteindelijk gelukt is.
Wat ik uiteraard tegenkwam is dat sommige ook een DNS server opzetten thuis op de NAS. Ik wil mij mij nu daar ook in gaan verdiepen en ben al gestart. Ik vraag me alleen 1 ding af, er zijn twee manieren, je houd het DNS server verhaal compleet intern, dan verander je dus niets aan de router o.i.d. Of je geeft je externe adres aan in de DNS server met je eigen domeinnaam buiten en verander in de router de DNS server. Maar wat is nu juist/of nodig? Iemand daar een antwoord op? Want beide manieren kunnen. Maar wat is slim en waarom.
Wel uiteraard al de links en topics hier gelezen, en er staat ook uitvoerig hoe je het moet doen maar weet niet zo goed een keuze te maken tussen de twee opties.
Ik lees het graag weer.
-
Vroeger ging Synology er in hun handleiding vanuit dat je hem extern benaderd. Bij je domeinnaam hoster verwijs je naar je eigen DNS en vervolgen hoef je daar nooit meer bij en stel je alles in op je nas. Ik kan dat niet doen met mijn basis abonnement bij Hostnet. Maar volgens mij is deze mogelijkheid ook niet zinvol voor kleinschalig gebruik.
Als je het alleen intern gebruikt kun je apparaten intern rechtstreeks aanroepen, zonder dat alles via buiten loopt. Je netwerk blijft dan werken als de internet verbinding weg valt. Je kunt dat ook wel bereiken met de externe oplossing door met "Weergaves" te gaan werken. Dan kun je andere antwoorden laten geven naargelang het IP dat de opvraag doet. Maar dan wordt het al weer een complex gedoe. Niet iets om mee te starten.
-
Hmmm, Ik loop nal een beetje vast. Jij schrijft in één van de handleidingen dat resolutie moet zijn ingeschakeld voor names die lokaal niet te resolven zijn. Dat snap ik heel goed. Maar zijn die doorstuur adressen nu van bijvoorbeeld google dns 8.8.8.8 of is gewoon 1 voldoende naar het router adres. Of heb ik nu een compleet verkeerd beeld waar ik mee bezig ben.
-
doorstuur adressen nu van bijvoorbeeld google dns 8.8.8.8 of is gewoon 1 voldoende naar het router adres.
Het router adres zal niet gaan werken omdat je die moet aanpassen zodat hij naar de nas wijst. Het moet een externs DNS zijn. Of eigenlijk twee bij dezelfde dsn provider want twee is de voorgeschreven norm. (Ze hebben er altijd minimaal twee)
-
Oke, duidelijk. Ik dacht er namelijk aan om dus die doorstuur servers die van google te nemen 8.8.8.8 en 8.8.4.4.
Maar ik lees ook dat ieder apparaat dus eigenlijk in zijn netwerkdeel het NAS adres moet hebben als DNS server, anders werkt dat interne lookup niet natuurlijk. Dus daarom dacht ik ook om i de DHCP scaope van de router de DNS van de NAS op te nemen.
Dit lijkt me wel juist.
Maar ik heeb voor de test even het netwerkkaartje aangepast handmatig naar DNS NAS maar het oplossen duurft langer als 2 seconden van mijn aanvraag. Dus ik heb als a record printer.local verwijzend naar 192.168.178.11, maar het duurt lang vind ik. Direct op ip gaat wel sneller. Cache en alles alle geleegd maar het blijft zo. ook het pingen naar de naam duurt even. Het werkt, maar langzamer asl dat ik verwacht.
-
@Briolet,
Werkend! Wel raar. In een voorbeeld wat ik zag gebruikte ze als domein local. Ik heb dat ook om te testen even genomen. Maar dat ging dus niet zo lekker. Ik heb nu home genomen en dat werkt goed. en snel. Dus dat heb ik ingesteld met 6 devices.
Maar even een algemene vraag.
Ik vraag me af, er moet dus altijd als ik het apparaat wil bereiken via de naam in de browser dus http:// voor? En dan het complete adres dus? http://printer.home ? Dat lijkt me bijna meer werk als een IP adres intoetsen. dat zal voor een grootbedrijf dan makkelijker zijn maar ik met mijn misschien 30 vaste apparaten niet. Tis om te spelen hoor. Maar kan het niet makkelijker? In ieder geval zonder http://?
En...tweede korte vraag, Ik heb van jou iets gelezen en dat is dat jij met virtual hosts werk. En wel omdat bijna al mijn apparaten met poort benaderd moeten worden dus ip:88 of zo. Is dit te ondervangen met dat virtual host? Heb ik dan je verhaal goed begrepen? In is dat dan in het webstation verhaal? Want alleen daar vind ik virtual host.
veel vragen allemaal ik weet. De handleidingen zijn duidelijk hoor, en het is ook opgezet, ik zoek alleen de finetuning. :-)
-
De dns per apparaat aanpassen is niet nodig. Je doet dat 1x in de router. Alle apparaten halen de te gebruiken dns server op via DHCP.
In de router moet je alleen het IP van de nas opgeven. Laat het secundaire IP leeg en gebruik geen google. Sommige apparaten pakken willekeurig de primaire of secundaire dns server en gaar daar een tijdje mee verder. Dan negeer je in de helft van de gevallen de eigen dns server.
r dus http:// voor? En dan het complete adres dus? http://printer.home ? Dat lijkt me bijna meer werk als een IP adres intoetsen.
Dat kan het zijn, maar veel browsers onthouden veel gebruikte namen en beginnen die al in te vullen. Als ik b.v. alleen een 'u' intik, begint hij al "ubee.local' in te vullen. Dus met alleen de 'u' intikken zit ik al op de inlog van mijn router. Verder gebruik je voor veel gebruikte url's meestal opgeslagen namen. Dan tik je nooit iets in, maar is een naam wel beter te onthouden dan al die nummers, als je door de lijst met url's loopt.
Ik weer b.v. dat ik met 'xerox' op de inlog pagina van mijn printer kom, maar het IP onthoudt ik niet.
En het woord 'local' of 'home' hoef je ook niet in te tikken als je dit opneemt in de 'zoekdomein' van de router. Als je dan 'printer' intikt, probeert hij het in combinatie met de opgegeven zoekdomeinen.
maar het oplossen duurft langer als 2 seconden van mijn aanvraag
Dat het resolven 2 seconden duurt, vind ik vreemd. Het zou zelfs sneller moeten gaan voor interne adressen en nauwelijks meetbaar trager voor externe adressen. In de praktijk gaan ook externe adressen sneller omdat hij alle opdrachten 24 uur cached. De eerste keer kan het opvragen van een url trager gaan, maar daarna wordt het de interne snelheid.
-
@Briolet
Ik snap.
Mijn probleem is een beetje dat ik een fritz!Box heb en daar maar 1 DNS adres kan ingeven in de DHCP scope. Dus NAS.
Op zich natuurlijk geen probleem, het werkt al op die manier nu. Maar geen failover nu. Als ik lekker bezig ben en ik zou mijn NAS een keer opnieuw moeten starten verliest het netwerk gelijk zijn twee ingestelde DNS servers richting google. Wel een nadeeltje van die Fritz!Box. Dus weet nog niet zo goed wat ik daarmee ga doen. En.. je schrijft het zoekdomein van de router. Huh? Ik vind dat echt niet hoor. Ik heb een 7590. Een behoorlijk nieuwe. Maar die optie kan ik niet vinden. Ik heb het nu in de TCP instelling staan van mijn PC, tabje DNS en daar DNS achtervoegsel toegevoegd. Dus het werkt maar zoals jij schrijft door het met de router af te handelen zou idd het mooiste zijn maar de router schijnt nogal beperkt te zijn. Maar het is om te spelen en geen noodzaak natuurlijk, want de router heb ik wel goed onderhouden en ieder apparaat heeft daar al een verkorte naam gekoppeld aan IP adres. Dus dat snelle bereiken van apparaten binnen mijn netwerk was er al. Ik wil alleen mijn kennis een beetje opfrissen en uitbreiden. En hoofdzakelijk, wat dus niet in de router kan is poortnummers toevoegen. Dus nu moet ik nog steeds bijvoorbeeld printerlaser:88 doen. En ik wilde dit ergens ondervangen. vandaar ook mijjn vraag aan jouw v.w.b. dat virtual host verhaal.
-
@Briolet
Mag ik tussendoor even iets vragen? Ik heb nu verschillende opzetje geprobeerd en denk dat ik in de goede richting zit even. Ik weet domme vragen bestaan eigenlijk niet maar deze is misschien toch niet zo slim... Ik heb dus extern een domein hutsefluts.nl Deze wijst met alles naar mijn externe ipadres en dan NAS. Maarrrr ik wil overnieuw beginnen met het opzetten van de DNS server. Mag ik nu bij het aanmaken van de masterzone ook die domeinnaam hutsefluts.nl gebruiken? Of vraag ik dan om problemen
-
je schrijft het zoekdomein van de router. Huh? Ik vind dat echt niet hoor. Ik heb een 7590.
Die terk heet ook overal anders. Apple gebruikt in MacOS de term "zoekdomein". In hun airport heet het geloof ik gewoon "hostnaam". Synology noemt het "domeinnaam" bij hun dhcp server. In elk geval is het een url die je bij de dns instellingen kunt ingeven.
Je kunt je domeinnaam "hutsefluts.nl" ook als masterzone toevoegen. Dan hoeft hij dit niet steeds bij de dns van google op te vragen als je thuis zit. Ik heb zelfs voor mijn xxx.synology.me een masterzone in gebruik zodat deze naam thuis nog efficiënter werkt.
-
Nou, ik heb alles afgestruind naar wat jj noem zoekdomein of iets in die richting. In ieder geval ben ik er zeker van dat dit bij mij router niet erop/in zit. Jammer. Maar om te proberen kan ik wel gewoon in de TCP/IP instellingen van mijn PC wel even in de DNS instellingen dat interne domein even toevoegen. Morgen dan. Voor nu is het even stop.
-
Zou @Briolet misschien nog eens een beetje tijd kunnen vinden hoe ik dat voor elkaar kan krijgen binnen mijn netwerk om die poortnummer achter het adres niet meer in te hoeven voeren? Of gewoon een link naar een uitleg?
Fijne avond en heel erg bedankt. Erg leuk dit allemaal.
-
DNS heeft niets met poortnummers te maken. Via reverse proxy's en subdomeinen kun je met een standaard poortnummer doorverwijzen naar een ander poortnummer (Of zelfs een heel ander IP adres)
-
Ja dat weet ik. Daar is een DNS server zeker niet voor. Het kan eigelijk niet eens. Dubbele punt accepteert het niet.
Maar dat bedoelde ik ook niet. Ik dacht juist ergens van jou @Briolet gelezen te hebben dat je iets had gedaan met de virtual hosts van de Webserver. Ik begreep dat niet. Want ik kom daar al helemaal niet verder ermee. Maar dan zal ik het verkeerd gelezen / begrepen hebben.
DNS server heb ik opgezet. Het werkt. Maar er zit een foutje in. Zonder DNS server werkt mijn mailserver prima. Zowel binnen en buiten.
Nu met DNS en hun zones werkt ook maar zet mijn mailserver buitenspel. Ik kan hem dan niet van intern als extern niet meer bereiken. Ik heb dus als de masterzone mijn domein naam genomen. Die hutsefluts.nl. Maar wel met als IP adres het interne. In de Router het DNS van de NAS aangegeven. In de NAS de doorstuurservers naar Google DNS. Het werkt goed. Alles is bereikbaar. Internetten gaat prima, server is vanaf extern en intern te bereiken. Maar de mailserver is niet meer te bereiken. Dus iets doe ik nog verkeerd. Maar wat? Moet ik ook een MX record aanmaken in de DNS server?
-
Ik kom er niet uit dus heb eens wat geprobeerd.
ik heb die masterzone met mijn echte domeinnaam (hutsefluts.nl) nu eens uitgeschakeld en een nieuwe gemaakt met het domein home.nl
En zie daar, alles werkt net zo goed als voorheen. Maar nu zelfs ook gewoon met de mailserver.
Wat moet er nou voor zone worden aangemaakt in de masterzone hutsefluts.nl zodat mijn mailserver ook weer bereikbaar is?
-
Eigenlijk zie ik niet in waarom alleen mailserver problemen geeft. Bedenk wel dat vrijwel alls wat dns gebruikt, resultaten cached. Als je iets in de server veranderd, kan het een flinke tijd duren voordat ook apparaten dit zien.
Maar dan zou de mailserver nog steeds moeten werken, want de oude adressen zijn er nog steeds.
Een MX record is volgens mij niet nodig omdat MailServer zelf niet het adres van de eigen server hoeft op te vragen.
-
@Briolet
Ik heb in de eerste instantie echt niet de moed opgegeven en ben blijven proberen om mijn lokale DNS server dezelfde naam te geven als mijn externe domein. Maar alles wat ik geprobeerd heb, met de mailserver kon ik niet meer connecten. Externe adressen, records, handleiding na youtube filmpje. Het werd het echt niet. Ik ben ervan afgestapt. mijn interne DNS server domein heet nu gewoon hetzelfde maar dan niets na de punt. Alle records voor het thuisnetwerk aangemaakt en ookk de reverse zones voor alle te bereiken (webinterfaces) apparaten.
Dus, lang verhaal nu kort. It's working.
Ben nog wel bezig om op één of andere manier toch die poortnummers erachter te krijgen. Maar dat kan later ook nog wel. In de router staat nu ook in de DHCP scope de DNS server van de NAS vermeld dus ieder apparaat kijkt naar de NAS voor nameresolving. Werkt leuk. Kwam er wel ergens achter dat je op je netwerkkaart van de NAS ook de eigen DNS server op kan/moet geven. Zal daar wel ergens overheen gelezen hebben.
Bedankt weer allemaal, op naar het volgende projekt! Waarschijnlijk DSM 7.0
Fijn weekend
-
@Briolet,
Hoi, Ik heb iets wat ik niet opgelost krijg. Het werkt allemaal perfect binnen mijn netwerk, Dus DNS goed opgezet volgens de handleidingen ect. Ook de records van de apparaten aangemaakt, ook de reverse zones ect, alles goed. NSLOOKUP werkt goed. Op mijn TCP/IP op de netwerkkaart de DNS server ingevoerd als mede ook de verbindingsspecifiek DNS optie. Dan hoef ik namelijk niet de volledige apparaatnaam in te voeren. Ook dit uitgebreid getest met en zonder en de werking is goed. Ik ben helemaal tevreden. Ik heb als oplossing geprobeerd mijn werkstation in de zones toe tevoegen en die is daar nu ook aanwezig en is ook goed met de tools en NSLOOKUP te vinden. Maar ik zocht vanmiddag een event in het systeemlogboek van Windows en deze staat vol met onderstaande medling. Hij blijft hierover maar bleren. Wat kan dat nou zijn? Zoals ik het lees lijkt het dat het werkstation zich niet bij de DNS server kan registreren. Maar waarom niet? Ik lig nooit zo wakker van de foutmelingen in het logboek want het staat er vol mee . Vooral dingen die onverklaarbaar zijn maar deze vind ik wel een dingetje. Jij enig idee hierover? Al eerder gezien misschien? Firewall regels ect zijn goed. En we praten gewoon over LAN. Onderstaand die melding.
Het systeem kan de netwerkadapter met de volgende instellingen niet registreren:
Adapternaam: {5997FD08-82D5-4B55-A121-8EB6BCEA230F}
Hostnaam: Thermaltake
Adapterspecifiek domeinachtervoegsel: stelucjam
DNS-serverlijst:
192.168.178.2
Update verzonden naar server: <?>
IP-adres(sen):
192.168.178.200
De reden van deze DNS-registratiefout is een DNS-serverfout. Dit kan te maken hebben met een zoneoverdracht die de DNS-server heeft vergrendeld voor de zone die de computer nodig heeft om zichzelf te registreren.
(De zone die van toepassing is, komt doorgaans overeen met het bovenstaande adapterspecifieke domeinachtervoegsel). U kunt de registratie van de netwerkadapter en bijbehorende instellingen handmatig proberen uit te voeren door op de opdrachtprompt de opdracht 'ipconfig /registerdns' in te voeren. Als het probleem blijft bestaan, dient u contact op te nemen met de netwerkbeheerder om het netwerk te controleren.
Bedankt maar weer alvast.
-
Ik heb nog nooit met Windows gewerkt. Ik heb geen idee wat hier gebeurd. Misschien een andere windows gebruiker?
-
@FlipjeSR wat is de ID van de melding/gebeurtenis.
IK gebruik zelf geen DNS server op mijn NAS.
Met wat ik nu zie lijkt het erop dat de computer zich niet kan registreren bij de DNS-server.
Heb je al gekeken of de computer actief is binnen de DNS-server?
-
Nou, ik heb alles afgestruind naar wat jj noem zoekdomein of iets in die richting. In ieder geval ben ik er zeker van dat dit bij mij router niet erop/in zit.
Laat ik nu ook een 7590 in gebruik hebben, en mij niet kunnen voorstellen dat deze functie er niet is. :)
Hij is er wel en heet: DNS Rebind Protection.
Je vind hem onder Home Network --> Network --> Network Settings. Bijna helemaal onderaan.
Na invoeren van de gegevens wel je router herstarten.
-
@Rubensky,
Bedankt voor je reactie. Ik had inderdaad dat stukje over DNS rebind protection al gelezen. Maar dat is niet wat ik bedoel en daar los ik mijn bedoeling ook niet mee op. Ik bedoel dat ik een "DNS suffix" wil meegeven op het TCP/IP protocol, en wel de naam van mijn eigen DNS server. Dit doe je in de netwerkinstellingen op het TCP/IP protocol. In het Nederlands heeft dat stukje het "DNS achtervoegsel" Alsa het juist geconfigureerd is verschijnd het bij Ipconfig /all ook bovenaan de netwerkkaart. de DNS suffix dus. Er zijn routers daar kun je dus dan ook niet alleen een ander IPadres voor je eigen DNS server meegeven maar ook zo'n suffix. En dat kan bij de 7590 niet. Wat jij bedoelt is ervoor dat de Frit!zBox het eigen netwerk beschermd. Dus dat bepaalde namen of DNS achtervoegsels niet worden toegelaten. Dan kun je dus inderdaad onder deze optie de desbetreffende of geblokkerde naam toevoegen en dan word het wel toegelaten.
-
Ik heb het wel geprobeerd hoor uiteraard. Maar als ik mijn netwerkkaart standaard laat staan en ik kijk met Ipconfig /all dan staat er suffix fritz.box. Als ik in die rebind protection sectie mijn eigen naam erin zet en reboot alles dan blijft daar staat fritz.box. En dus ben ik erover gaan lezen en kwam erachter dat het daar niet voor is. Dis je moet echt op het protocol op de PC dat DNS achtervoegsel invoeren. En dat werkt ook prima. Hier het stukje wat ik erover gelezen heb onderandere:
DNS Rebind Protection
To guarantee the security of the computers in the FRITZ!Box home network, the FRITZ!Box suppresses DNS responses that refer to IP addresses in the home network. This is a security function of the FRITZ!Box to protect against what are known as "DNS rebinding attacks".
If you would like to enable DNS resolution for domain names that refer to private IP addresses in the FRITZ!Box home network, you can specify exceptions. In this case DNS queries for domain names contained in the list of exceptions will receive a response even if the DNS response refers to an IP address in the FRITZ!Box home network.
Maar wel bedankt voor het meedenken. Het had zo mooi kunnen zijn. :-)
-
@Briolet, @SpeedyG,
Duurde even, maar ben eruit. Weer een hoop gelezen hierover. SpeedyG het EventID is / was 8004.
Maar ik ben na zoeken ook eens op twee andere PC's gaan kijken. En daar komt die melding niet naar voren. Dus het lag niet aan de opstelling van wat we de laatste weken hadden opgezet. Het kwam door een klein vinkje op het TCP/IP protocol. Ik weet niet hoe het aangevinkt is gekomen, misschien door het teamen van mijn netwerkkaartjes, in ieder geval stond de optie "De adressen van deze verbinding in DNS registeren" En dat zou een optie kunnen zijn als er ook een MS DNS server o.i.d. gedraait word. De DNS server van Synology laat registreren niet toe. En dan geeft Windows deze meldingen. Vinkje uit, en probleempje ook weer opgelost. Het is natuurlijk ook helemaal niet nodig dat de client zich registreert bij de DNS server. Lijkt mij tenminste. Afijn weer wat geleerd.
-
Wel nog wat anders leuks ernaast. :-) Ik heb natuurlijk de handleidingen gevolgd en heb dan ook braaf de poort 53 voor de DNS server opgengezet, in de router dus. Ja, Huh weet ik veel. Maar kreeg een dag later een mailtje van het KPN abuse Team dat ik iets doe wat niet mag, omdat mijn pietluttig apparaatje wel eens allemaal antwoorden zou gaan kunnen geven op aanvragen, en dat was een netwerkbelsting die niet overéénkomt met wat was afgesproken. :-) Ik heb heel vriendelijk terug gemailt om tot een oplossing te komen en hoe te handelen. Nou poort 53 mag wel open, maar alleen ingaand. Hij mag dus niet naar buiten. Nadat ik het had opgelost heeft die beste meneer het nog eens getest en toen was het goed. Maar het mocht nooit meer voorkomen moets ik beloven, anders werd ik geblokkeerd. Ja jeetje, weet ik veel.
Fijne avond allemaal en bedankt maar weer.
-
Een suffix. Degelijk iets anders. Niet in te stellen in de 7590.
-
Nou poort 53 mag wel open, maar alleen ingaand. Hij mag dus niet naar buiten.
Die snap ik niet. Al het DNS verkeer van iedereen gaat via poort 53 naar buiten. (Tenzij je dns over https gebruikt) Dat KPN ingaand niet wil is misschien omdat er in het verleden wel fout geconfigureerde DNS servers bestonden die als relay versterker konden dienen voor een DDOS aanval.
Poort 53 hoeft alleen ingaand open te staan als je wilt dat je DNS server ook extern benaderbaar is. (De manier zoals Synology in hun handleiding beschrijft)
-
Ik snap het ook niet, misschien is het wel wat jij omschrijf. Ze waren er in ieder geval niet echt blij mee.
Na enig mail wissel want ze zijn in het begin nogal bot vind ik was meneer toch bereid enig uitleg te geven over wat er mis gaat. Onderstaand een knipseltje eruit:
Geachte heer, mevrouw,
Bedankt voor uw bericht. Een aantal openstaande UDP poorten/diensten kunnen worden misbruikt voor het uitvoeren van Amplification aanvallen. Er vindt bij UDP namelijk geen 2-weg communicatie plaats tussen verzender en ontvanger. Hierdoor is het voor derden mogelijk vanaf een vervalst IP adres requests te doen waarvan de output de verbinding van de eigenaar van het vervalste IP adres, buiten werking kan stellen.
Meer informatie kunt u vinden op de volgende link:
https://nl.wikipedia.org/wiki/Distributed_denial-of-service
U hoeft dus enkel te zorgen dat de poort van buitenaf niet voor iedereen toegankelijk is. Trusted users kunt u access verlenen. U kunt dit via poort 53 toetsaan, maar ook via een niet kwetsbare poort. Doorgaans levert het gebruik van een hoge poort geen issues op. Dan loopt u niet tegen dit probleem aan.
U dient er zorg voor te dragen dat de volgende kwetsbare UDP poorten voor buitenaf gesloten heeft, derden zullen dan niet via amplification attacks misbruik van uw verbinding kunnen maken:
17 (QOTD)
19 (Chargen)
53 (Open Resolver)
69 (TFTP diensten)
111 (Portmapper)
123 (NTP)
137 (Netbios)
161/162 (SNMP)
389 (LDAP)
5351 (NAT-PMP)
5353 (MDNS)
1900 (SSDP)
10001 (Ubiquiti Discovery service)
11211 (MemCache)
U kunt zelf controleren of poort 53/UDP (of andere UDP poorten) voor buitenaf open staat met een NMAP scan of met online tools zoals bijvoorbeeld de volgende link:
https://www.ipvoid.com/udp-port-scan/