4
"Bedingte" DNS Antwort
Hallo zusammen,
folgendes "Problem":
Habe hier eine Active Directory Domäne und mehrere IP-Subnetze. Einige von diesen Subnetzen dürfen nicht mit anderen "sprechen". Die Kommunikation zwischen diesen beiden Netzen ist dementsprechend in der Firewall blockiert. Die Server, die von beiden Subnetzen erreichbar sein müssen, haben in beiden Subnetzen eine Netzwerkkarte und IP-Adressen.
Problematisch wird es zwischendurch immer mal wieder bei DNS Abfragen...
z.B: Server A hat drei IP Adressen:
192.168.1.20
192.168.2.20
192.168.3.20
Kommunikation zwischen .1 und .2 ist gesperrt. Der Client im Netz .1 bekommt aber vom DNS-Server durchaus "manchmal" die Server-IP des Netzes .2 mitgeteilt, womit die Verbindung dann natürlich fehlschlägt. Da hilft nur ein flushdns auf dem Client.
Ähnliches Problem, wenn der Client aus .1 die Server-IP aus dem Netz .3 mitgeteilt bekommen. Die Verbindung klappt dann, da es in der FW erlaubt ist, jedoch fließt der Traffic dann natürlich über den Router, der zwischen .1 und .3 hängt, was auch äußerst suboptimal ist.
DNS-Server ist "normales" AD-integriertes DNS auf dem DC.
Meine Frage wäre jetzt, ob es eine Möglichkeit gibt, den DNS-Server so einzustellen, dass die Clients nur die Server-IP aus ihrem eigenen IP-Subnetz bekommen.
Vielen Dank schonmal für jeden Tip
folgendes "Problem":
Habe hier eine Active Directory Domäne und mehrere IP-Subnetze. Einige von diesen Subnetzen dürfen nicht mit anderen "sprechen". Die Kommunikation zwischen diesen beiden Netzen ist dementsprechend in der Firewall blockiert. Die Server, die von beiden Subnetzen erreichbar sein müssen, haben in beiden Subnetzen eine Netzwerkkarte und IP-Adressen.
Problematisch wird es zwischendurch immer mal wieder bei DNS Abfragen...
z.B: Server A hat drei IP Adressen:
192.168.1.20
192.168.2.20
192.168.3.20
Kommunikation zwischen .1 und .2 ist gesperrt. Der Client im Netz .1 bekommt aber vom DNS-Server durchaus "manchmal" die Server-IP des Netzes .2 mitgeteilt, womit die Verbindung dann natürlich fehlschlägt. Da hilft nur ein flushdns auf dem Client.
Ähnliches Problem, wenn der Client aus .1 die Server-IP aus dem Netz .3 mitgeteilt bekommen. Die Verbindung klappt dann, da es in der FW erlaubt ist, jedoch fließt der Traffic dann natürlich über den Router, der zwischen .1 und .3 hängt, was auch äußerst suboptimal ist.
DNS-Server ist "normales" AD-integriertes DNS auf dem DC.
Meine Frage wäre jetzt, ob es eine Möglichkeit gibt, den DNS-Server so einzustellen, dass die Clients nur die Server-IP aus ihrem eigenen IP-Subnetz bekommen.
Vielen Dank schonmal für jeden Tip
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 278171
Url: https://administrator.de/contentid/278171
Printed on: April 16, 2024 at 17:04 o'clock
4 Comments
Latest comment
Glaube habe es gerade gefunden... Netmask Ordering...? Probiere ich morgen mal aus!
Moin,
Gruß,
Dani
Die Kommunikation zwischen diesen beiden Netzen ist dementsprechend in der Firewall blockiert. Die Server, die von beiden Subnetzen erreichbar sein müssen, haben in beiden Subnetzen eine Netzwerkkarte und IP-Adressen.
Was ist dabei der Sinn? Da kannste die Firewall auch weglassen... *kopfschüttel*Die Verbindung klappt dann, da es in der FW erlaubt ist, jedoch fließt der Traffic dann natürlich über den Router, der zwischen .1 und .3 hängt, was auch äußerst suboptimal ist.
Genauso muss es aber laufen. Was ist daran suboptimal?Gruß,
Dani
Der "Sinn"... Die Netze hängen am gleichen EdgeRouter(Ubiquiti), der macht auch Firewall. Dadurch wären sie halt ohne deny Regel verbunden, daher " in der firewall gesperrt ". Client aus Netz A soll nicht mit Client aus Netz B sprechen, ich weiß nicht was daran unsinnig sein sollte.
Das eine Verbindung von einem Netz zum anderen über einen Router läuft ist mir schon klar, suboptimal ist es in dem Moment wo es auch einen direkten Weg im selben Subnetz gibt.
Naja wie dem auch sei... Zurück zum Thema:
Subnet Ordering ist per default aktiviert, genau wie Round Robin. Dachte eigentlich es würde schon reichen Round Robin zu deaktivieren, ändert aber nichts. Habe dann über Dnscmd LocalNetPriorityNetMask auf 0x0000FC gesetzt (habe /22 Netze), auch keine Veränderung... Irgendwelche geheimen Tricks anyone?
Das eine Verbindung von einem Netz zum anderen über einen Router läuft ist mir schon klar, suboptimal ist es in dem Moment wo es auch einen direkten Weg im selben Subnetz gibt.
Naja wie dem auch sei... Zurück zum Thema:
Subnet Ordering ist per default aktiviert, genau wie Round Robin. Dachte eigentlich es würde schon reichen Round Robin zu deaktivieren, ändert aber nichts. Habe dann über Dnscmd LocalNetPriorityNetMask auf 0x0000FC gesetzt (habe /22 Netze), auch keine Veränderung... Irgendwelche geheimen Tricks anyone?
Guten Abend,
Gruß,
Dani
Der "Sinn"... Die Netze hängen am gleichen EdgeRouter(Ubiquiti), der macht auch Firewall. Dadurch wären sie halt ohne deny Regel verbunden, daher " in der firewall gesperrt ". Client aus Netz A soll nicht mit Client aus Netz B sprechen, ich weiß nicht was daran unsinnig sein sollte
Ich bezog meine Aussage darauf:Die Server, die von beiden Subnetzen erreichbar sein müssen, haben in beiden Subnetzen eine Netzwerkkarte und IP-Adressen.
Du trennst die Netze mit einer Firewall, stellst aber bestimmte Server mit Hilfe von weiteren Netzwerkkarten in beide Netze. Somit ist die Schwachstelle die Server und bei falscher Konfiguration ein weiteres Gateway in beiden Netzen.Gruß,
Dani