Subdomain bei kostenlosen DynDNS -> 4th Level Domain?

[webtaz]

Hallo zusammen,

ich bin gerade dabei mir einen DNS Server für interne Auflösung der Hostnamen einzurichten, und habe mich deshalb ein wenig mit DNS / Domain / Zone befasst. Kein leichtes Thema.

In fast allen Artikeln wird aber nur auf Adressen bis zum 3. Level eingegangen.
Also alpha.DDNS-company.tld
Wobei hier alpha 3rd Level Domain wäre. Firmen können mit ihrere 2nd Level Domain sich auch Zonen einrichten für bestimmte Anwendungen (mail. ftp. www. usw.)

Manchmal sieht man aber auch URLs /URIs? mit mehr "Punkten" / Verzweigungen:
z.B: vm01.ftp.data-company.org

Diese verweisen dann ja meist auf unterschiedliche (virtuelle) Maschinen zur Lastverteilung z.B.

Zur Frage:

Wenn ich jetzt bei einem free DynDNS-Dienst eine Subdomain erhalten habe (meine.DDNS-company.org) welche auf meine öffentliche IP deutet (sitze im LAN hinter Router), wie richte ich mir dann die div. Subdomains ein? Der DynDienst wird alle an meine WAN IP schicken.

Also z.B. www.meine.DDNS-company.org und nas.meine.DDNS-company.org und upnp.meine.ddns-company.org vpn.meine.ddns-company.org - dahinter sollen unterschiedliche, LAN-IPs und evtl. Ports stehen?

Wie funktioniert die Auflösung der Subdomain?
Würde der nameserver der für ddns-company.org zuständig ist an meine IP verweisen? Und kann mein Router diese Anfrage dann an einen internen NS leiten? (Was wäre einzurichten?)


Wie richte ich den internen NS/DNS dafür ein?
Wie müsste ich Zonen einrichten? Wie leite ich unterschiedliche Subdomains auf unterschiedliche hosts ? Kann ich unterschiedliche Subdomains auf einen hostnamen (intern) leiten?
Also z.B. vpn und www auf "raspberry", nas und upnp auf nas (könnte das der selbe sein?)

In vielen Tutorials wird eine Zone /? Domain intern z.B. heimnetz.local genannt, woanders habe ich gelesen .local ist zu vermeiden. Und was genau wäre heimnetz hier und was wäre local?

Viele viele Fragen, aber irgendwie kann ich einiges in meinem Kopf aus "Internet Struktur" nicht auf mein LAN übertragen.
Ich bin auch für ausführliche Beschreibungen dankbar (nicht wiki/DNS oder so)

 

[AlexPlayed]

Guten Abend,
es kann sein, dass ich deine Fragen falsch verstehe, da es für mich leicht verwirrend war diese zu lesen.

Also Grundsätzlich möchtest du intern eine Namensauflösung für gewisse Dienste und extern einen DynDNS ANbieter, damit du dir nicht immer deine IP pushen musst oder Ähnliches.
Erstmal zu deiner einen Frage:
Ich glaube nicht, dass es möglich ist, WAN Anfragen wie z.B: www.blabla.foobar-dyndns.com, welche an deinen Router gehen zu einem Internen Nameserver zu schicken. Und selbst wenn würde das ja überhaupt keinen Sinn machen, da der interne DNS Server dann auf eine private IP wie z.B. 192.168.0.101 auflöst. Wenn jetzt ein Rechner aus dem WAN einen DNS Aufruf an www.blabla.foobar-dyndns.com schickt und angenommen dein Router forwardet das auf einen internen DNS Server, dann bekommt der WAN Client die Antwort das www.blabla.foobar-dyndns.com -> 192.168.0.101 ist und sucht demnach in seinem eigenen Internen Netz nach diesem Host. Funktioniert also nicht.

Was aber z.B. geht ist nur einen DNS Eintrag zu verwenden und Port-Forwardings zu konfigurieren. Das heißt, wenn blabla.foobar.dyndns.com auf deinen Router zeigt, dann kann dieser immernoch am Port im TCP/IP Header sehen, was angesprochen werden sollte. Das heißt also, wenn du im Browser deinen DynDNS Namen aufrufst und in deinem Router eine Weiterleitung für Port 80 und Port 443 konfiguriert hast, so wird die Anfrage auch an einen Internen Host geleitet, der diese dann beantworten kann. So kann man das mit allen Diensten machen. UPnP, HTTP, HTTPS, NFS, SAMBA/CIFS usw. DAS EMPFEHLE ICH JEDOCH NICHT!
Anstattdessen solltest du dir lieber im Internen Netz einen bspw. Raspberry hinstellen und OpenVPN konfigurieren. Dieser kann auch automatisch einen Nameserver setzen. Im aller besten Idealfall kannst du dann so etwas machen:

Es gibt in Betriebssystemen eine Hosts Datei, die DNS Einträge bestimmen kann ohne das sie auf einem Nameserver im lokalen Netz oder Internet konfiguriert sein müssen. In Linux ist das beispielsweise /etc/hosts.
Wenn dein Router nun so etwas kann, dann kannst du dort einträge machen, die ich gleich beschreibe. Ansonsten könntest du versuchen auf deinem Router Open-WRT, DD-WRT oder ähnliches zu installieren. Dort ist das definitiv möglich. (Mit diesen Betriebssystemen kann man auch einen OpenVPN-Server konfigurieren.)
In deiner OpenVPN konfiguration trägst du dann deinen DynDNS Dienst ein. Das heißt, wenn du dich aus dem WAN verbinden willst, wirst du immer auf deinen Router kommen und eine VPN Verbindung aufbauen können. Dann setzt OpenVPN deinen Nameserver (DNS-Server) auf die Interne Gateway IP in deinem VPN-Netzwerk. Beispielsweise 10.8.0.1. Wenn du dann in der Hosts Datei sowas wie: www.blabla.foobar-dyndns.com 10.8.0.102 hast und am Router noch ein Webserver hängt, der die IP 10.8.0.102 hat, so wird der 4th Level Domainname auf die IP auflösen und du wirst den Dienst abrufen und erreichen können. Das gleiche kannst du dann auch mit UPnP, CIFS usw. machen. Port-Forwarding brauchst du dann nicht. (Es ist auch um einiges sicherer mit VPN Zugang.)

Ich hoffe ich konnte es halb kompliziert erklären und habe dir weiter geholfen.

 

[webtaz]

Hey, danke für die Antwort!

Du hast mich generell schon verstanden! Ich habe leider beim schreiben mehrfach erleuchtet worden, deshalb ist das so verwirrend geworden ^^

-> Wenn mein interner NS auf eine interne IP auflöst, dann würde der Router ja in der Antwort per NAT wieder die externe IP rauslassen, oder?
Löst aber nicht das Problem.

Wie läuft das bei großen Firmen (Google)? Da hat doch auch nicht jeder Server/Rechner ne eigene öffentliche IP, auf die jede Subdomain deutet?


Das Portforwarding auf versch. Ports auf versch. Ips ist mir bekannt (und so laufen "unkritische" Dienste im Moment auch)
Aber meine.dyn-ip.org:6454 für z.B. ftp auf dem NAS (nein das nutze ich nicht, keine Sorge) ist weniger schön als ftp.meine.dyn.ip.org

Dein Vorschlag finde grad sehr lustig. Denn genau das mache ich auch gerade. Also nen Raspi als OpenVPN Server konfigurieren (außerdem als DHCP und DNS, für interne Auflösungen, so bin ich auch auf die externen Auflösungen gekommen)

Die einzelnen Hosts editieren finde ich übrigens nicht elegant:
1. funktioniert das von außerhalb wieder nicht direkt, nur über VPN
2. Funktioniert es nur für bearbeitete Geräte, und bei Android wirds ohne root schwierig/umständlich

Edit:
Wieder bissl mehr gelernt. Per NS Eintrag bei meinem DynAnbieter auf meine IP wird gesagt dass dort ein DNS Server sitzt der die Subdomains genauer auflöst.
Aber wir sind natürlich noch bei dem von dir angesprochenen Problem int IP -> ext. Anfrage

Bei ipv6 sollte das kein Problem sein, oder?

 

[AlexPlayed]

Meist vergibt ein ISP ein /64 Subnetz an IPv6 Adressen. Die bekommst du nicht annähernd voll, da zuvor alle deine Sicherungen raus fliegen.
Problem ist nur, wie willst du die alle aktuell halten? Wenn sich dein Subnetz alle 24H ändert, dann brauchst du für jeden Host quasi einen DynDNS Request der die IP für den jeweiligen Host anpasst. Und bei reinen IPv4 Anschlüssen kannst du dann natürlich nicht darauf zugreifen. (Mobilfunk z.B.)
Ansonsten bleiben dir nicht viele Möglichkeiten außer einen nProvider zu suchen, der dir mehrere statische öffentliche IPv4 und v6-Adressen gibt, was definitiv die sauberste Lösung wäre. Dazu noch eine Firewall und gut ist.

 

[blablub1212]

Prinzipiell brauchst du für dein Vorhaben gar keinen eigenen DNS-Server du kannst sowas mit Proxies erreichen z.B. mit Apache und mod_proxy.

Dann kannst du vhosts für deine Services einrichten und Anfragen auf die entsprechenden Services einfach umleiten.

 

[webtaz]

@blablub1212 Da hast du sicherlich recht!
Interessant wäre es trotzdem zu wissen, wie es anders ginge

Hatte mit Proxy/ Vhosts bisher nichts zu tun. (Außer Proxy im Browser benutzen). Es geht um namensbasiertes virtual hosting, oder?



@AlexPlayed Das würde ja dann mein DNS Server machen. Also er bekommt ja selbst das neue Subnetz zugeteilt, und verteilt das weiter an die ganzen Maschinen im Subnetz (DHCP = DNS). Den Hostnamen und damit auch eine Subdomain kann ich ja über das MAC-Äquivalent festlegen (identifier soundso hieß das? UID? ), die IPs verteile ich sowieso, kenne ich also auch.

(Zurück zu Ipv4) Bitte berichtigt mich, wenn ich irgendwo nen Denkfehler habe
Was ich nicht wirklich verstehe ist, wie das mit dem delegieren des DNS ist. Der DynDNS Provider setzt einen NS Eintrag auf meine IP, ich leite Port 53 auf den DNS Server weiter. Fragt jetzt also jemand nach sub.meine.dyndns.org dann wird das an meinen DNS Server weitergeleitet. Dieser hat zum host sub oder zur FQDN sub.meine.dyndns.org einen Eintrag (z.B. in der dnsmasq.conf ) mit MAC. Und irgendwann hat der DHCP ja der Maschine ne IP zugeteilt, die kennt er auch.
Problem: interne IP. Das wäre jetzt bei IPv6 nicht wild, da gibts ja die ULA und GULA, muss halt die GULA raus.
Bei Ip4: muss eben mit NAT gearbeitet werden.
Normal: Anfrage an XYZ geht raus <-> Router ersetzt internen absender mit externer IP *notiz* <-> Antwort kommt zurück von XYZ an ext. Ip *notizzettel* aha <-> gehört zu dem Client
Hier müsste es so laufen: DNS-Auflösung geht raus (notiz lesen + neue Notiz anlegen für Datenanfrage) Datenanfrage geht <-> 2. Notiz sagt uns zu welcher Maschine usw.

Könnte das so funktionieren? Oder wie funktioniert es da draußen?


Der DNSmasq arbeitet aber nicht mit A Einträgen usw. Ich muss doch mit dem NS eigentlich die gesamte Zone/reverse Zone "abdecken", dachte ich.