DNS-Server ändern am Rechner und Router

[FatManStanding]

tach,

ich wollte den dns-server auf 1.1.1.1 ändern. das habe ich in der fritzbox (7490) unter internet / zugangsdaten / dns-server für ip4 udn ip6 gemacht. es gibt dann noch unter heimnetzwerk /netzwerk /netzwerkeinstellungen / ipv4-eisntellungen einstellungen für "lokalen dns-server". hier steht aktuell noch die ip der fritzbox drin. ich vermute das zweite ist lediglich für den datenverkehr zwischen geräten im heimnetzwerk?

am rechner (ubuntu 22.04 mit network-manager als oberfläche für die netzwerkeinstellungen) habe ich erst einmal alles so gelassen, bei den ip4-einstellungen steht die fritzbox als dns-server (welche der beiden o.g. einstellungen greifen jetzt?) eingestellt. bei ip6 steht "automatisch".

ist das alles für ip4 so i.O.? muss ich noch die ip6-einstellungen am rechner ändern?

grüße
FMS

 

[riversource]

Du musst unterscheiden zwischen WAN und LAN. In der Heimnetz-Einstellung erzählst du deinen Geräten im LAN, welchen DNS Server sie fragen sollen. Wenn da die Fritzbox steht, fragen sie die Fritzbox. Da kann man auch andere Server eintragen. In den Zugangsdaten stellst du ein, welchen DNS Server im WAN dann die Fritzbox fragt, wenn sie eine Frage aus dem LAN bekommen hat.

Ob da alles in Ordnung ist? Sagen wir mal so: Es wird so funktionieren, wie du es im Moment eingestellt hast. Ob es deinen Vorstellungen entspricht, kann ich nicht beurteilen.

Für IPv6 funktioniert das genau so: Es gibt Server im LAN, und welche, die die Fritzbox fragt. Die müssen natürlich ebenfalls deinen Vorstellungen entsprechend angepasst werden.

 

[Findus]

1.1.1.1 ändern. das habe ich in der fritzbox (7490) unter internet / zugangsdaten / dns-server für ip4 udn ip6 gemacht

bei IPv6 sollte logischer Weise auch eine IPv6 DNS Adresse stehen

1. Replace those addresses with the 1.1.1.1 DNS addresses:
   • For IPv4: 1.1.1.1 and 1.0.0.1
   • For IPv6: 2606:4700:4700::1111 and 2606:4700:4700::1001

Wenn du ein Paket an Computerbase mit Keksen schickst schreibst du ja auch nicht den Domainname auf den Adressaufkleber

 

[Drewkev]

ich vermute das zweite ist lediglich für den datenverkehr zwischen geräten im heimnetzwerk?

Richtig, du wirst wahrscheinlich die Fritzbox im LAN und 1.1.1.1 im WAN haben wollen. Also die Geräte in deinem Heimnetzwerk fragen die Fritbox und die wiederum 1.1.1.1.

 

[mojitomay]

Die Erste Einstellung ist die IP des Servers, der von der Fritzbox angefragt wird.

Das Zweite ist die IP des DNS-Servers der mit DHCP übertragen wird.
Wenn du da bspw. die IP eines Pihole-Servers einträgst, fragen die Geräte direkt an diesem Server und nicht erst die Fritzbox, die praktisch als Proxy fungiert.

In der 2. Einstellung macht ein externer Server (1.1.1.1 oder 9.9.9.9) wenig Sinn, weil sonst jedes Gerät da anfragt. Steht da die Fritzbox (oder z.B. ein Pihole), werden die abfragen gecached.

 

[Shririnovski]

der lokale DNS-Server ist normalerweise die Fritzbox, das passt also. Dort musst Du nur etwas ändern, wenn Du einen eigenen DNS-Server zu Hause betreibst, z.B. PiHole.

IPv6 sollte logischer Weise genauso eingestellt werden.

 

[Raijin]

es gibt dann noch unter heimnetzwerk /netzwerk /netzwerkeinstellungen / ipv4-eisntellungen einstellungen für "lokalen dns-server". hier steht aktuell noch die ip der fritzbox drin. ich vermute das zweite ist lediglich für den datenverkehr zwischen geräten im heimnetzwerk?

Jein. DNS ist wie die Telefonauskunft 11880, o.ä. Statt Telefonnummern zu Namen bekommt man bei DNS eben IP-Adressen zu Domains.

Wenn du computerbase.de im Browser aufrufst, fragt dein PC den bei ihm eingestellten DNS-Server - zB der Router - und wenn dieser keinen gültigen Eintrag für computerbase.de hat, fragt er seinen übergeordneten DNS (zB 1.1.1.1 aus den WAN-/Internet-Einstellungen). Hat dieser eine Antwort, schickt er sie an den Router und der antwortet nun dem PC.

Bei lokalen Namen (zB "FatMansLaptop") funktioniert das genauso, aber in diesem Fall hat der Router bereits einen gültigen Eintrag und kann dem PC direkt antworten, ohne 1.1.1.1 zu befragen, der sowieso keine Ahnung davon hätte wie die Geräte in deinem privaten Netzwerk heißen und welche IP sie haben.

Daraus folgt im übrigen, dass eine DNS-Einstellung direkt am PC mit 1.1.1.1 zu Problemen führen kann, wenn du lokale Namen auflösen willst, weil die DNS-Anfrage dabei direkt an 1.1.1.1 geht und der Router, der als einziger die Antwort hätte, gar nicht gefragt wird.


Mit dem "Datenverkehr zwischen Geräten im Heimnetzwerk" hat DNS aber nichts zu tun. Wie gesagt, DNS ist wie die Auskunft. Du fragst die Auskunft nach einer Telefonnummer, legst auf und wählst dann eben diese Nummer. Die Auskunft wird niemals erfahren ob du dort überhaupt angerufen hast, geschweige denn worüber gesprochen wurde. Lädst du im Heimnetzwerk also Daten von deinem NAS runter und verbindest es über dessen Namen "MeinNAS", weiß der DNS im Router nur, dass du dich für die IP des NAS interessiert hast, aber nicht was wie wo an Datenverkehr zwischen PC und NAS stattgefunden hat.


Die übliche DNS-Einstellung im Router sieht daher so aus:

WAN-/Internet-DNS = Provider-DNS (Standard), 1.1.1.1, 8.8.8.8, o.ä.
Lokaler-/DHCP-DNS = Router-IP

Man sollte davon nur abweichen, wenn man sich sicher ist was man da tut.

 

[whats4]

vor allem: es ist auch viel übersichtlicher, wenn die das heimnetzwerk betreffenden einstellungen gesammelt in der naheliegenden instanz, dem router, liegen.

auch wenn ein bestimmter client aus irgendeinem grund stets dieselbe lan-adresse haben soll, so reserviere man auf die mac des betreffenden clients eben die entsprechende IP im dhcp des routers.
auf die art existiert auf clients nur dhcp, und man muß ned drüber nachdenken, was wo eventuell wie konfiguriert wird.

weil in zeiten, wo allesmögliche eventuell ins netz will (IoT), wird die anzahl/liste der clients potentiell schnell unübersichtlich, und noch schlimmer: potentiell mit einer unzahl betriebssysteme bzw varianten derer, die alle ihre einstellungen verschieden strukturiert haben.

da ist der dhcp doch um magnituden übersichtlicher. und damit benutzbarer.

 

[FatManStanding]

ich nutze kein dhcp, alle clienten im heimnetzwerk haben feste ip-adressen. auch nutze ich für die kommunikation im heimnetzwerk nie irgendwelche namen, nur die ip-adressen. angenommen ich würde namen nutzen, würde mir der in den heimnetzwerk-einstellungen eingestellte dns-server sagen, dass "fatmans-laptop" die interne ip 192.168.178.22 hat?

und natürlich habe ich bei den ip6-einstellungen für das internet die ip6 nicht die ip4 eingetragen. wenn ich nun sicher gehen will, dass ALLE dns-anfragen an 1.1.1.1 gehen, mache ich:
1.) 1.1.1.1 (und die ip6-adresse) in den internet-einstellungen auf der fritzbox (was ich schon hab)
2.) auf dem clienten stelle ich die ip der fritzbox ein; so wird die dns-anfrage für computerbase.de an die fritzbox geschickt, da dort 1.1.1.1 eingestellt ist, wird sie dorthin weitergeleitet; anfragen für das interne netzwerk würden auch an die fritzbox gehen, hier aber logischerweise nicht weitergeleitet

oben hatte ich geschrieben, dass am clienten bei ip6 "automatisch" steht, das war am laptop so. am desktop-rechner ist ip6 deaktiviert. scheint kein problem zu sein. in welchem fällen würde denn bei einem internetseiten-aufruf ip6 genutzt werden?

 

[riversource]

angenommen ich würde namen nutzen, würde mir der in den heimnetzwerk-einstellungen eingestellte dns-server sagen, dass "fatmans-laptop" die interne ip 192.168.178.22 hat?

Wenn du DHCP nutzt, macht eine Fritzbox das von allein. Ansonsten musst du die Listen von Hand pflegen. Aber generell: ja, das geht. Auch mit anderen lokalen DNS Servern, wie z.B. Pi-Holes.

wenn ich nun sicher gehen will, dass ALLE dns-anfragen an 1.1.1.1 gehen, mache ich:

Das kannst du nicht so ohne weiteres sicherstellen. Es gibt durchaus Anwendungen wie z.B. Chrome auf mobilen Endgeräten oder auch andere Apps, die benutzen ihren eigenen intern eingestellten DNS Server, häufig auch per DoT oder DoH, damit die üblichen Portsperren nicht wirken.

Wenn es darum geht, die klassischen DNS Anfragen auf Port 53 über die Fritzbox auf 1.1.1.1 zu lenken, dann ist das Vorgehen richtig.

in welchem fällen würde denn bei einem internetseiten-aufruf ip6 genutzt werden?

Die meisten Geräte bevorzugen inzwischen IPv6. Heißt: Wenn es IPv6 gibt und auch der Server IPv6 kann, wird es genutzt.

 

[Raijin]

angenommen ich würde namen nutzen, würde mir der in den heimnetzwerk-einstellungen eingestellte dns-server sagen, dass "fatmans-laptop" die interne ip 192.168.178.22 hat?

In der Theorie ja, in der Praxis sind daran ein paar Bedingungen geknüpft.

Der Normalzustand in Heimnetzwerken ist wie beschrieben, der Router fungiert als DHCP-Server und als DNS. Das heißt, dass der Router über sämtliche Namen und die dazugehörigen IP-Adressen der lokalen Geräte verfügt, die sich von ihm via DHCP eine IP geholt haben. Während sich Geräte mit automatischer IP (=DHCP) also beim Router gewissermaßen anmelden, tun Geräte mit statischer IP das nicht und folglich kennt der Router und damit der DNS im Router auch nicht so ohne weiteres den Zusammenhang aus Name und IP-Adresse.

Aber: Es gibt noch andere Techniken zur Namensauflösung, die der fragende PC selbst anwenden kann. Dazu zählt beispielsweise netbios, aber auch mDNS. Letzteres ist gewissermaßen ein serverloses DNS-System.

ich nutze kein dhcp, alle clienten im heimnetzwerk haben feste ip-adressen.

Und warum? Die IP-Adressen von Client-Systemen, die keinerlei Serverdienste anbieten, sind vollkommen unerheblich. Ob das Smartphone nu die .48 hat, die .60 oder die .234, spielt keine Rolle, beim Laptop auch nicht. Es gibt zwar Szenarien, in denen ein Client auch Server spielt - zB Dateifreigaben - aber durch die Kombination aus DHCP und DNS greift man dann eben über den Namen zu und heute steckt dahinter eben die .23, morgen die .90 und nächste Woche die .157 - und keinen interessiert es, weil man die IP nie braucht

Es wird daher empfohlen, nur jene Geräte mit einer statischen IP auszustatten, die explizit vom DHCP-Server unabhängig sein sollen und stets unter derselben IP erreicht werden müssen. Dazu zählen beispielsweise Netzwerkdrucker, weil der Druckertreiber in der Regel fest mit der IP verbandelt ist. Aber auch dazu gäbe es eine Lösung, weil man im DHCP-Server eine statische Reservierung vornehmen kann, der Drucker bekäme immer dieselbe IP.

Indem du nun bewusst DHCP meidest, nimmst du dir selbst den Komfort von Namen und musst ständig die richtigen IP-Adressen im Kopf haben - und sie unnötigerweise bei allen Geräten einstellen, sehr gut dokumentieren (Stichwort: IP-Konflikt) und so weiter. DHCP nimmt einem da schon eine Menge ab, was in Heimnetzwerken einfach nur unnötig ist.

wenn ich nun sicher gehen will, dass ALLE dns-anfragen an 1.1.1.1 gehen

Das kann man heutzutage nicht mehr. Den DNS des lokalen Geräts zu ändern ist noch die leichteste Übung, der man theoretisch mit einem DNAT im Router begegnen könnte und sämtlichen ausgehenden DNS-Traffic hart auf 1.1.1.1 umlenkt. Dazu muss der Router diese Möglichkeit aber überhaupt erstmal bieten.
Seit jedoch alternative DNS-Techniken immer weiter Verbreitung finden - zB DNS-over-HTTPS (aka DoH) - geht auch das nicht mehr. Einige Browser bieten beispielsweise eingebaute "privacy" Einstellungen, bei denen explizit DoH verwendet wird, um etwaige DNS-Sperren im lokalen Netzwerk zu umgehen bzw. keine DNS-Spuren zu hinterlassen (weil https-verschlüsselt).


Es kommt also schon darauf an was genau du vorhast und warum du es vorhast. Dreht es sich beispielsweise um Geräte, denen du nicht vertraust, sind Maßnahmen via DNS wenig wirksam. Sowas löst man dann eher mit Gast- oder DMZ-Netzwerk.

 

[Drewkev]

ich nutze kein dhcp, alle clienten im heimnetzwerk haben feste ip-adressen.

Also statisch? Wieso nicht (beim DHCP) reserviert?

 

[FatManStanding]

Die meisten Geräte bevorzugen inzwischen IPv6. Heißt: Wenn es IPv6 gibt und auch der Server IPv6 kann, wird es genutzt.

ich verstehe des satz nicht. was heißt denn "die meisten geräte"? wenn ich eine seite mit dem firefox öffne, ist der firefox kein "gerät".

Wenn es darum geht, die klassischen DNS Anfragen auf Port 53 über die Fritzbox auf 1.1.1.1 zu lenken, dann ist das Vorgehen richtig.

wo spielt hier jetzt ip6 rein? am desktop-rechner habe ich wie gesagt im network-manager ip6 abgeschalten. wenn ein programm (kein gerät ) über ip6 eine dns-anfrage stellen will: würde es scheitern, weil es im network-manager überhaupt keine ip6-einstellungen gibt? müsste ich hier vielleicht auch in den ip6-einstellungen auf die fritzbox verweisen? hat die fritzbox überhaupt eine interne ip6-adresse?

zum thema dhcp und statische ip: das hab ich vor mehr als 10 jahren mal eingerichtet weil ein paar geräte probleme hatten. mein netzwerk-drucker kann bis heute nur mit statischer ip. seither ist das so und bleibt so. das ist nicht mehr arbeit. es wäre mehr arbeit den ganzen kram wieder rückgängig zu machen. dhcp ist auch nicht komplett aus, sondern wird nur ab glaube x.x.x.70 vergeben. besuch nutzt daher dhcp.

 

[Drewkev]

wenn ich eine seite mit dem firefox öffne, ist der firefox kein "gerät".

Der Firefox spielt da überhaupt keine Rolle, hier geht's um die Hardware.

mein netzwerk-drucker kann bis heute nur mit statischer ip.

Welchen hast du?

 

[FatManStanding]

Der Firefox spielt da überhaupt keine Rolle, hier geht's um die Hardware.

Das heißt mein mainboard entscheidet das nicht das OS oder die Software die installiert ist?

Ein brother j430w und noch ein anderer desser Modell ich grad nicht weiß.

 

[Raijin]

Das Betriebssystem macht die DNS-Anfrage. Wenn eine Anwendung - zB Firefox - eine Domain auflösen möchte, ruft sie über die API des Betriebssystems die entsprechende Funktion auf und bekommt eine IP zurück. Die Hardware hat darauf keinen Einfluss.

Es steht einer Anwendung aber natürlich frei, selbst einen DNS-Query zu formulieren und ohne die DNS-Funktionen des Betriebssystems und stattdessen über die herkömmlichen Netzwerkfunktionen des OS an einen beliebigen DNS zu schicken. Beispiel: Das Tool nslookup, mit dem explizit DNS-Queries an einen DNS deiner Wahl geschickt werden können. nslookup ist zwar ein Diagnosetool, aber das können andere Anwendungen genauso, wenn sie so programmiert wurden.

 

[riversource]

am desktop-rechner habe ich wie gesagt im network-manager ip6 abgeschalten.

Ganz dumme Idee. Das sollte man auf keinen Fall machen. Zieh die Konfiguration gerade und sorge dafür, dass es auch mit IPv6 richtig funktioniert. Ist kein Hexenwerk und spart zukünftig viel Ärger.