Házi routerben DNS szerver?

Hálózati eszközök

Szeretnék itthoni hálózatba egy routert, lehetőleg fizikailag minél kisebbet, viszonylag kevés igényem van. Tűzfal, DHCP, VPN-en kívül fontos a POE kimenet (802.3at) és egy helyi DNS zóna kezelése. Ha pl. a Microserverem hostneve az, hogy hp, akkor menjen a ping hp parancs, és nem ártana egy helyi domainnév is, lehet foobar.lan jellegű vagy akár igazi regisztrált is, és akkor a ping hp.domainnev is menjen. Az IP-ket DHCP-ből akarom osztani, az már mindegy, hogy a DHCP szerverben statikus MAC-IP megfeleltetések vannak, vagy dinamikusak, és a kiosztott IP bekerül a DNS szerverbe. És még jobb lenne, ha ez nem csak IPv4-en menne, hanem IPv6-on is (ahol az IP kiosztásban van pár varázslat). Annak idején dnsmasq-ot használtam és abban ez valahogy simán ment. Ha közös helyen lehetne a hostnév-MAC-IP (meg esetleg wifi PSK) táblázat (Radius?), nem szétszórtan, az már csak hab lenne a tortán. A DNS részét leszámítva tökéletes versenyző lenne a Mikrotik hEX PoE, de ebben a DNS nagyon reszelősnek tűnik. Lehet, hogy az én igényeimmel van a gond? Hogy szokás ezt szépen csinálni? Saját hardvert építeni nem akarok, OpenWRT is kevésbé jön be, a Microserverre éppenséggel felmehet valami segítő megoldás, de nem akarom nagyon szétszórni a konfigurációt.

  • 706 megtekintés

( uid_6201 v | 2022. 01. 30., v – 16:02 )

Pedig simán bejegyzel 10..20 eszközt a Mikrotikbe. Céges környezetben is elviszi a LAN-os DNS igényeket.
De versenyzőként OpenWRT alapú cuccok is szóba jöhetnek. Szintén kezesbárányok.

Én azt láttam, hogy a DHCP->DNS megoldáshoz ocsmány scripteket kell írni, amiből tucatnyi különböző verzió kering a neten. Statikus bejegyzések esetén meg elvárt a fix IP, ami mondjuk belefér, de én valahogy nem érzem szépnek. De lehet, hogy én látom rosszul.

Pedig így szoktuk és frankón működik. DHCP szerverben rányomunk a "make static"-ra, fixálva az eszköz számára a jövőben is kiosztandó IP címet és a nevét is ennek megfelelően erre az IP címre oldjuk fel.
IPv6 esetén mivel SLAC esetén állandó prefixet is küldünk neki (akár fd00::/8-ból) a publikus mellé és MAC alapján lesz az IP cím utótagra generálva. Ezt be kell jegyezni a DNS-be és ennyi.

Scriptek? Hol? Linux alatt a bind vezérlése valóban igényel némi konfigot, de scripteket nem. Kell egy updater key, stb. Bár én végül letiltottam, mert nem tetszett hogy a bind konfigba írt bele, de ettől működik.

A legtöbb mezei routerben viszont simán szokott menni a dinamikus DNS, minden konfiguráció nélkül.

( zsolt | 2022. 01. 30., v – 19:33 )

Én egy rendes publikus DNS-szerverbe írom a lokális címeket is. Értelmetlen bonyolítani.

Van egy sima valami.com domainem godaddy-nél és oda veszek fel ilyeneket, hogy

laptopom.valami.com -> 192.168.1.200

desktopom.valami.com -> 192.168.1.201

nyomtatom.valami.com -> 192.168.1.202

A router DHCP-jével meg ezeket az IP-címeket osztom.

De mivel különböző webes alkalmazásokat is fejlesztek, egy rakás ilyen virtuális hostom is van CNAME rekordokkal ugyanarra az IP-re.

Persze lehet oka, hogy ezt bonyolultabban csinálja valaki, például, ha nem mindig online a helyi hálózata.

Hááát oké, de én még abban a világban élek ahol a belső hálózatot védeni szokás....és nem kevés a ráfordítás sem arra a védelemre.

Pláne ha nem kevés különböző webes alkalmazást fejlesztesz, akkor meg pláne megérdemelnéd a saját otthoni faék bonyolultságú DNS szervered...ami legyen az /etc/host például.

Azzal hol védem a hálózatot, hogy nem egy publikus névszervert használok? Hol lehet itt biztonsági rés? Amúgy is kérdezek le DNS-eket. Vagy te nem szoktál?

Miért egyszerűbb az összes fizikai és virtuális gépen (Linux, Windows, telefon) karbantartani egy-egy hosts fájlt, mint egy publikus DNS-től lekérdezni a dolgokat?

Mitől jobb 2 DNS-t karbantartani, mint 1-et?

Mitől jobb az, ha elmegyek a laptoppal és a telefonommal valahova, akkor már nem tudom használni, mert otthon maradt a DNS szerver?

Vagy nyissam meg a lokális hálót ilyen esetekre? Hogy védi a hálózatot az, hogy megnyitom?

Javaslom a DNSt komolyabban tanulmányozni, a publikus DNS nem távoli hozzáférésre való....

MX rekord közelébe meg aztán végképp ne menj, és azzal sincs gond hogy szennyezed a DNSt. a disclosure is csak a te bajod, ez is igaz.

Jah, és ha elmész otthonról a laptopoddal, és viszed magaddal a publikus DNSed...veled megy a lokál hálózatod is?

 

"Azért mert a lakótelepen is megy 180at a verda, attól még autópályán is illetlenség...."

Őszintén szólva 20 éve még én is ilyen idealista voltam és képes voltam saját DNS-szervereket üzemeltetni, de akkor is utáltam.

Manapság viszont tényleg semmi értelme. GoDaddy vagy akármilyen más cég jobban ért hozzá és extra pénzbe sem kerül, viszont az idő, amit elszúrnék vele, megmarad értelmesebb dologra.

A laptopon pedig pont azt viszem magammal működőképesen, ami rajta van és működőképes marad az is, ami otthon marad. Nekem ez jobb így, mint bütykölni mindent összevissza folyton.

Jó, megadom magam, én is úgy cseszem szét meg rakom össze a sajátom ahogy nekem tetszik. Ebben igazad van, ez előtt fejet hajtok.

De azért egy tetszőleges megkotlott wifi/sima routerre feltolsz egy OpenWrt-t azt azonnal van VPNed, de mégjobb -> Wireguard, meg DNSed, és az veled is tud menni bárhova.

S azt azért tényleg nem macera üzemeltetni -> 12Volt, meg némi milliamper, a sarokba felejtve. Nálam csak 7 éve van így...Az openvpnt meg 2 éve cseréltem wireguardra.

( SCOPE | 2022. 01. 30., v – 20:52 )

Szerkesztve: 2022. 01. 30., v – 21:00

Meg lehet oldani, az ISC dhcp-servere, és (a szintén ISC) Bind9 névszerver tudja.

Sokat kell vele mókolni, (script config írásra gondolok),  de van ilyen, de ehhez vagy egy rendes linux, vagy egy OpenWRT kell.

Viszont nekem ott állt meg a móka, amikor a különböző Windows-os eszközök, és hálózati nyomtatók, (a helyesen beállított állomásnév/gépnév ellenére) mindenféle krix-kraxokkal jelentkeztek fel a DHCP-re, akkor rájöttem, hogy csak magamat szopatom konfiguráció életben tartásával, és sokkal egyszerűbb ezt kézzel beírogatni a bind9 zónába, azokhoz az IP címekhez, ahol ez egyáltalán érdekes.

( gabrielakos v | 2022. 01. 30., v – 22:04 )

Láttam Ruckus-t vettél. Ha Unifi-t vettél volna :) akkor ott van az USG, abban pont dnsmasq van.
De amúgy egy adguard vagy egy pihole adja ezt neked, berakod egy konténerbe a microserverbe és kész.

Vagy akár a microserver linuxára feldobsz egy dnsmasq-t.

zászló, zászló, szív

( joco01 v | 2022. 01. 30., v – 22:31 )

Offtopic: úgy néz ki, hogy ez a hEX PoE bukó. 802.3at-hoz 48V-os táp kell hozzá, de csak 24V-ost adnak hozzá gyárilag. Ha megveszem hozzá külön, akkor is csak 450mA jön ki belőle, ami 21.6W. A Ruckus R710-nek viszont 25W a peakje, de a speckója nem írja, mennyi V/A kell neki. A Ruckus gyári injektor 48V/0.5A. A Mikrotik elvileg 57V-tal is elmegy, ami már 25.65W lenne. Szóval nem tűnik teljesen kompatibilisnek. De mindegy is, mert kifutó terméknek tűnik, a kedvenc boltjaimban nem árulják. Jó nagy katyvasz ez a POE.

( Skuzzy | 2022. 01. 31., h – 08:57 )

Szerkesztve: 2022. 01. 31., h – 08:58

.