DNS setup advies gevraagd... ik twijfel wat is beste manier

[B3rt]

Ik heb dus een synology NAS en router(s).

Beide apparaten hebben een eigen domeinnaam en ook een eigen publiek internet IP adres, echter in lokaal netwerk zijn ze dus ook met elkaar verbonden.

Dus in de praktijk:
INTERNET --> ziggo router met een eigen /29
www.router.nl --> ip 1.2.3.4 (WAN poort router)
www.nas.nl --> ip 1.2.3.5 (LAN4 diskstation)
LAN netwerk: 192.168.1.0/255.255.255.0
LAN2 router ---> LAN1 NAS (192.168.1.2)

Alles werkt en is te benaderen vanaf internet op domeinnaam.
Echter ik wil dit ook vanaf mijn eigen LAN, dus als ik www.router.nl in geef (dit is een fictieve naam, als voorbeeld, maar dan mijn eigen domein) dan ik dan op 192.168.1.1 uitkom en niet naar 1.2.3.4 wordt gestuurd
Zo ook voor www.nas.nl, die moet als je op je LAN zit naar 192.168.1.2 en niet naar 1.2.3.5
Waarom?
Nou omdat ik ook SSL certificaten gebruik die werken dus op domeinnaam, de resolving moet ook kloppen.

Wat ik dacht is:
Ik installeer op de router en nas de DNS server, geef daar alleen de beide domeinen in (router.nl en nas.nl) als zone en maak dan records aan die verwijzen naar lokale IP adressen. Zet beide DNS servers in master/slave zodat als er 1 uitvalt de andere altijd blijft werken.

In theorie zou dit moeten werken, echter nu komt mijn vraag.

Hoe stel ik in op de router (die immers geheel dhcp verzorgt voor gehele netwerk) dat al mijn apparaten deze DNS servers moetren gebruiken en als deze de domeinen niet kunnen vinden ze dan pas moeten zoeken op de root servers?

Er zijn zoveel DNS instellingen in de router dat ik beetje twijfel wat ik waar exact moet aanpassen zonder dat alles traag wordt.

Zo zijn er DNS instelling in de menus:
 network center -> internet
 network center -> local network
 dns server -> resolution
 dns server -> views

Iemand een idee hoe ik dit werkend krijg zodat ik dus beide domeinnamen lokaal kan hosten zodat alle apparaten eerst de lokale DNS raadplegen en die gebruiken en als domein daar niet aanwezig is dat er dan pas de externe DNS gebruik gaat worden?
Welke instellingen moet ik op wat zetten?!

Thx

[Briolet]

Ik gok dat je bij "network center -> local network" moet zijn. Ik heb dan wel geen router maar ik verwacht dat die instelling gebruikt wordt.

Het is inderdaad vreemd dat je bij de DHCP server geen instelling hebt voor DNS. Daar zou ik het verwachten.

NB "dns server -> views" is er alleen voor om specifieke apparaten een custommised DNS aan te bieden. Normaal gesproken gebruik je dat niet. (Ik gebruik het om sommige apparaten wel en andere geen gebruik te laten maken van de adblokker via dns)

Maar je kunt het ook gebruiken om sommige apparaten standaard via Google DNS te laten lopen en andere apparaten via Quad9 of nog een andere server.

[Babylonia]

Waarom?
Nou omdat ik ook SSL certificaten gebruik die werken dus op domeinnaam, de resolving moet ook kloppen.

Er zijn zoveel DNS instellingen in de router dat ik beetje twijfel wat ik waar exact moet aanpassen zonder dat alles traag wordt.

Juist om het allemaal niet te moeilijk te maken gebruik ikzelf een andere aanpak.

Een SSL certificaat geldt slechts voor een domeinnaam (gekoppeld aan een WAN IP-adres),
met alles wat er aan directory's achter zit, en "www" ervoor.

Of een veel duurder "wildcard" SSL certificaat, wat ook geldt voor allerlei "wildcard" toevoegingen vóór een domeinnaam.

Zelf gebruik ik het eerste type SSL-certificaat.

Op mijn web-server heb ik simpel "redirects" ingesteld.
http://[ domein-naam ]/router    verwijst naar  https://[ domein-naam ]:8001/webman/index.cgi
http://[ domein-naam ]/nas         verwijst naar  https://[ domein-naam ]:5001/webman/index.cgi

[B3rt]

Heb het inmiddels werkend.

Echter als je meerdere uplinks hebt werkt dat niet wat jij omschrijft, je kunt immers je domein maar aan 1 IP linken, met meerdere uplinks heb je dus meerdere publieke IP adressen.
Dan heb je dus ook meerdere SSL certificaten nodig.

Ik heb gewoon 3 commodo wildcard certificaten voor al mijn 3 domeinen, dit werkt een stuk prettiger, tjsa wel duurder dat wel.

[Babylonia]

Echter als je meerdere uplinks hebt werkt dat niet wat jij omschrijft,

Ik gebruik slechts één NL-domein, één SSL certificaat en kan verder elke gewenste insteek maken via re-directs wat maar wenselijk is.
Dat leg ik je nu net in mijn vorige reactie uit.

[B3rt]

Dat kan, echter zoals ik al uitlegde ik heb 2 publieke uplinks die ik beide wens te gebruiken en al mijn apparaten op domeinnaam wenst te benaderen via de zelfde link zoals intern als extern van mijn netwerk.
Dus van buitenshuis exact dezelfde link als binnenshuis, dat kan dus alleen met een eigen DNS draaien voor binnen je netwerk.

Want als je in je DNS bv
www.nas.nl in geeft en verwijst naar je publieke IP adres 1.2.3.5 en je benaderd dan www.nas.nl binnen je netwerk wordt je dus naar 1.2.3.5 gestuurd, dit is foutief want die had lokaal ip 192168.1.2 moeten zijn en niet 192.168.1.1 wat gelijk is aan 1.2.3.5

Dus je moet in je netwerk een DNS opzetten zodat je lokale apparaten weten welk IP ze exact moeten hebben.
Buiten je netwerk gaat naar 1 van mijn 2 IP's, dan gaat port forwarding werken en stuurt het door naar het juiste interne apparaat, maar binnen mijn netwerk werkt dit dus niet.

Er draaien nu 2 DNS servers (master/slave) binnen mijn netwerk met mijn gewenste domeinen, als ik nu een url ingeef wordt ik netjes direct naar het juiste apparaat geleid binnen mijn netwerk, ook SSL werkt gewoon, een geldig certificaat.
Kom ik van buiten mijn netwerk werkt het ook, dan worden de publieke DNS servers gebruikt zoals voorheen ook, ook hier geldig SSL en naar juist IP, port forwarding (of proxy) handelt de rest af.

Maar goed, het probleem is inmiddels opgelost en het werkt zoals ik hoopte, wat mij betreft mag topic worden afgesloten

[Babylonia]

Dus van buitenshuis exact dezelfde link als binnenshuis

Ook dat werkt gewoon door de "loopback" functie van de router. Geen problemen mee.
Dus zowel extern, als intern werken die voorbeelden van die redirects.
En dat zonder allerlei extra geïnstalleerde DNS-servers e.d.

En omdat die links vaker gebruikt worden, komen ze al direct automatisch naar voren vanuit de cache van een browser,
en is het gewoon aanklikken in de keus aan hyperlinks die als keus naar voren komen.

[B3rt]

Nou dat betwijfel ik.

Stel je hebt je router op:
192.168.1.1 en publiek op 1.2.3.4 met domein www.router.nl
je nas op
192.168.1.2 en publiek op 1.2.3.5 met domein www.nas.nl

Op je NAS heb je phpmyadmin staan geconfigureerd als phpmyadmin.nas.nl (met geldig certificaat), of bv spotweb.nas.nl

In de publieke DNS heb je staan
nas.nl en *.nas.nl naar 1.2.3.5
ZOlang domein bekend is op de nas werkt dit feilloos.

Echter ga jij nu IN je netwerk naar phpmyadmin.nas.nl of spotweb.nas.nl dan krijg je page not found
Dit komt omdat je modem het niet toestaat eerst uitgaand en direct weer ingaand te komen, tenminste ZIGGO modem (geen router) ondersteund dit dus niet.

Je lokale apparaten doen een lookup als je spotweb.nas.nl ingeeft, deze krijgt je EXTERNE ip 1.2.3.5 en dan ga je via je router uit je netwerk naar je modem, je modem moet dit signaal echter direct weer terug sturen naar je NAS (je 2de publieke IP dus) en dat doet ie niet, deze kan geen loopback.

Door interne DNS te gebruiken ga je echter nu niet naar je externe IP 1.2.3.5 maar direct naar het ip van de NAS 192.168.1.2, dit is en blijft lokaal verkeer en het werkt, gezien je ook nog eens een geldig SSL hebt en je komt om domeinnaam binnen is je verbinding ook nog beveiligd zonder foutmelding (niet dat dit iets uitmaakt, maar moderne browsers kunnen gaan zeuren als de beveiliging niet correct is)
Ook apps op je tel/tablet werken op deze manier feilloos zonder foutmelding van ongeldig certificaat etc.

Heb al vanalles geprobeerd, zonder interne DNS is dit niet mogelijk met synology apparatuur, met dus 2 of meerdere publieke IP adressen, want daar gaat het juist om.
Heb je maar 1 publiek IP dan is de hele setup inderdaad anders, maar dat was niet de probleem hier, hier ging het juist om om het werkend te krijgen met 2 publieke IP adressen, dus NAS en ROUTER beide een eigen uplink en onderling via lokaal netwerk verbonden.

Thx nog voor alle gegeven tips/adviezen.

[Babylonia]

Nou dat betwijfel ik.

Dat moet jezelf weten.  Het werkt gewoon binnen mijn situatie. Geen reden om erover te liegen.
Verder heb ik niets met een  "phpmyadmin.nas.nl"  benaming te maken.
Ik gebruik alleen toevoegingen achter een domeinnaam zoals de voorbeelden eerder gegeven.

NL-domein + SSL certificaat zijn geïmporteerd in zowel router als NAS.

....omdat je modem het niet toestaat eerst uitgaand en direct weer ingaand te komen,
tenminste ZIGGO modem (geen router) ondersteund dit dus niet.

Zelf zit ik niet bij Ziggo. Maar mijn ex, die wel bij Ziggo zit, en waar ik het netwerk heb ingericht,
gebruikt de Synology DDNS service als domein (zonder certificaat) op haar laptop, ook intern. En dat werkt gewoon.

Heb het net ook nog even geprobeerd om via OpenVPN een verbinding bij haar op te zetten (dan zit ik in feite in "haar" thuisnetwerk).
en toen het DDNS domein gebruikt om in de NAS in te loggen. Dat gaat dan via haar WAN IP-adres eerst naar buiten,
om dan terug te komen. Ook dat werkt gewoon.  Is nog wel een oude Ziggo Ubee modem/router.

Zie schermafdrukken:
Connectie "vanuit Ziggo" ---> inlog NAS = DDNS ---> VPN-verbinding verbroken: mijn eigen IP-adres ---> Mijn NAS = nl-domein + SSL

                           

Als jezelf alleen een modem gebruikt, zou de loopback functie naar ik denk helemaal moeten werken,
omdat je eigen router dan het eerste aanspreekpunt is met je internetconnectie waar functies aan worden gerelateerd.
(Met je externe WAN IP-adres meteen in de router).

[Briolet]

…Ook dat werkt gewoon door de "loopback" functie van de router. Geen problemen mee.
Dus zowel extern, als intern werken die voorbeelden van die redirects.
En dat zonder allerlei extra geïnstalleerde DNS-servers e.d.…

Een eigen DNS server heeft wel een klein voordeel boven een loopback. Als het internet er uit ligt, werkt ook je interne netwerk niet meer met een url omdat hij de externe dns server niet kan benaderen. Het is mij ook gebeurd dat interne mail niet werkte omdat de verbinding extern eruit lag. Voor mij was dit een van de drijfveren een eigen DNS server te gebruiken. Ik vond het van de zotte dat als Ziggo een storing had, ook mijn interne netwerk plat lag.
Verder belast je het interne netwerk iets minder als niet al het verkeer via de router loopt i.p.v. rechtstreeks naar de nas.

…Dit komt omdat je modem het niet toestaat eerst uitgaand en direct weer ingaand te komen, tenminste ZIGGO modem (geen router) ondersteund dit dus niet.

Dat is onzin. Als het Ziggo apparaat alleen een modem is dan heeft hij geen eigen WAN IP en heeft de eigen router erachter het WAN IP. Die moet nat-loopback ondersteunen.

[Babylonia]

Een eigen DNS server heeft wel een klein voordeel boven een loopback. Als het internet er uit ligt.....

Oh, dat beaam ik best. Doorgaans gebruik ik zelf hier thuis overigens gewoon mijn interne IP-addressen.
En het is nu niet zo'n lange lijst dat ik de IP-nummers niet uit mijn hoofd ken.
Zou ik een meer lange lijst moeten uitvoeren, maak ik wel een mooie "interne" HTML-pagina
met benamingen en mooie icoontjes / afbeeldingen van de apparaten, waar ik dan op kan klikken om ze te bereiken. 
Er zijn nogal wat wegen naar Rome.

[Briolet]

Je kunt alleen voor bepaalde dingen even tijdelijk een intern adres invoeren. Hoe doe je het b.v. met mobiele apparaten? Ga je daar elke keer als je thuis komt het publieke adres van je adresboek, agenda, drive etc aanpassen naar intern IP?

Ik denk het niet. Daar wil je gewoon één URL gebruiken die zowel intern als extern werkt. En omdat hij ook extern gebruikt wordt wil je daar https gebruiken. Of wel interne IP adressen en zorgen dat je altijd een VPN aan hebt staan. (Jij noemde de wegen naar Rome al.  )

[Babylonia]

Hoe doe je het b.v. met mobiele apparaten?
Ga je daar elke keer als je thuis komt het publieke adres van je adresboek, agenda, drive etc aanpassen naar intern IP?

Ik hoef niet zo nodig een connectie vanuit een desktop rechtstreeks naar een mobiel apparaat, om data uit te wisselen.
Hooguit haal ik bestanden op "handmatig" van een van de aangekoppelde drives op mijn router, of op mijn NAS.
Van een smartphone heb ik WiFi en data-connectie doorgaans volledig "uit" staan.
Die gebruik ik echt alleen om mobiel te bellen, te sms-sen, of onderweg even te kijken welke trein, tram of bus ik zou moeten nemen,
waarvoor ik de data-connectie tijdelijk even inschakel en daarna weer uit.

Voor mijn laptop, maak ik extern een VPN-verbinding met thuis en heb ik de beschikking over zowel mijn "lokale" data thuis,
(op de drives gekoppeld aan router en op de NAS), alsook de data die eventueel wordt gedeeld op lokatie.
Te benaderen via "de Windows verkenner" mappenstructuur, beide als lokaal adres.

Via mijn laptop maak ik verder nogal eens gebruik om via WiFi met een "3CX soft phone" applicatie te bellen.
Die verbindt ook op lokatie naar mijn VOIP-providers (CheapConnect en VoipBuster),
en kan op lokatie daar eventueel ook op teruggebeld worden (op het account bij CheapConnect).
"Handsfree" over microfoon en speaker, of als het meer besloten moet zijn met een headset op, nog steeds "handsfree"