SynologyNAS IPv6 als DNS eintragen im FritzBox

[oicfar]

Wenn ich zwei DNS Server an die Clients schicken könnte, dann könnte ich in das 2. Feld die FB oder einen öffentlichen Server eintragen. Die FB hätte dann ein Fallback.

Es ist immer die Frage was ist mein Ziel und wie komplex ich mein Netzwerk einrichten möchte. Und wenn es ein Problem gibt und ich nicht da bin um es wieder zum Laufen zu bringen, schauen dann die anderen aus dem Haushalt in die Röhre? Das ist die Frage, die ich mir stelle und es so umsetze, das es nicht soweit kommt.

Ich habe 2x Pi-Hole (läuft auf getrennter Hardware) und die FB ist bei mir der DNS-Sever für die Clients. Die Client-Statistiken oder spezielle Einstellungen brauche ich nicht. D.h. Porno-Seiten sind für alle Clients im Netzwerk gesperrt.

Und diese

Option hatte ich ganz vergessen. D.h. fallen meine beiden Pi-Hole's aus, dann geht das Internet trotzdem.

Ergänzung (25. Mai 2024)

Und ich habe die bei CB mal diese

https://www.computerbase.de/forum/t...dem-setup-wenn-man-nicht-mehr-da-ist.2180332/

Frage mal gestellt. Schon interessant zu sehen, wie die Mehrheit tickt.

 

[riversource]

Wenn ich zwei DNS Server an die Clients schicken könnte, dann könnte ich in das 2. Feld die FB oder einen öffentlichen Server eintragen. Die FB hätte dann ein Fallback.

Das klappt üblicherweise nicht. Viele Systeme nutzen die beiden Nameserver gleichberechtigt, und nicht als Fallback. Wenn man das macht, braucht man 2 Adguards.

 

[XamBonX]

Eine solche Einstellung gibt es auch für IPv6.

Joa, ist auch an:

Hab das auf die Link-Lokale gewechselt. Kenn die UAL von der Synology nicht. Vorher war da die globale von der Synology. Mit den 3 0en bin ich mir nur nicht sicher.

Ob ich https://[fe80:0:0:0:211:32ff:fec6:6635] oder https://[fe80::211:32ff:fec6:6635]/ eingebe und ansurfe, bei beiden komme ich auf dei SynologyNAS drauf, somit gehe mal von aus, dass es so richtig ist.

Was mir allerdings auffällt ist dies:
Wenn ich ping fe80::211:32ff:fec6:6635 mache, gibt's keine Antwort. Wenn ich dann https://[fe80::211:32ff:fec6:6635]/ ansurfe und dann wieder ping fe80::211:32ff:fec6:6635 mache, gibt's ne Antwort.

 

[norKoeri]

Doppelpunkt bedeutet, dass alles dazwischen Null ist …

Wenn Du eine Link-Local-Unicast-Adresse testen willst, musst Du normal auch die Zone-ID über % anhängen, also z. B. ping fe80::211:32ff:fec6:6635%eth0. Die genaue ID bzw. welches Schnittstelle welche Zone ist, siehst Du in Apps wie Wireshark (Rechtsklick: Als Administrator ausführen).

 

[Raijin]

Ich bin etwas irritiert und habe das Gefühl, dass hier munter aneinander vorbei geredet wird, weil von unterschiedlichen Situationen ausgegangen wird.

Im Bild in #1 wird gezeigt, dass die Clients die NAS-IP als DNS verwenden. In #13 findet man passend dazu den Screenshot vom DHCP-Server in der Fritzbox, der eben die NAS-IP als DNS verteilt. Darüber hinaus verwendet die Fritzbox selbst ebenfalls die NAS-IP als Internet-DNS.

So scheint aktuell die Konfiguration zu sein:

Fritzbox-Internet-DNS = Adguard-IP
Fritzbox-DHCP-DNS = Adguard-IP
Adguard-Upstream-DNS = public DNS (zB 8.8.8.8) (stünde hier die Fritzbox, gäbe es nen Loop)

DNS-Aufrufkette: Client --> Adguard --> public DNS


Das Problem bei der "Fallback"-Lösung der Fritzbox ist dabei jedoch, dass die Fritzbox in diesem Szenario niemals und von niemandem überhaupt nach DNS gefragt wird! Die Clients schicken ihre DNS-Queries alle direkt an das NAS und die Fritzbox hat damit überhaupt nichts zu tun. Dadurch kann sie auch keinerlei Fallback machen, weil sie nicht in die DNS-Auflösung der Clients involviert ist.


Bei Adguard/pihole gibt es zwei generelle Konfigurationsvarianten:

1)
Fritzbox-Internet-DNS = public DNS (zB Provider oder 8.8.8.8)
Fritzbox-DHCP-DNS = Adguard-IP
Adguard-Upstream-DNS = Fritzbox-IP

DNS-Aufrufkette: Client --> Adguard --> Fritzbox--> public DNS
Vorteil: Adguard sieht alle Clients einzeln und kann ggfs Statistiken erstellen, o.ä.
Nachteil: Adguard filtert nur das Hauptnetzwerk der Fritzbox, aber das Gastnetz bleibt ungefiltert.

2)
Fritzbox-Internet-DNS = Adguard-IP
Fritzbox-DHCP-DNS = Fritzbox-IP
Adguard-Upstream-DNS = public DNS (zB 8.8.8.8)

DNS-Aufrufkette: Client --> Fritzbox--> Adguard --> public DNS
Vorteil: Sowohl Haupt- als auch Gastnetzwerk werden gefiltert, da Adguard hinter der Fritzbox filtert.
Nachteil: Adguard sieht nur die Fritzbox als einzigen Client.



In beiden Szenarien muss die Fritzbox als DHCP-Server irgendwo in der DNS-Kette auftauchen, da es sonst Probleme mit der lokalen Namensauflösung geben kann (zB "MeinNAS" geht dann nicht mehr). Auch kann die Fritzbox natürlich nur dann irgendwelche Fallback-Mechanismen nutzen, wenn sie eben so wie in 1+2 dargestellt im DNS-Prozess eingebunden ist. Das ganze gilt natürlich für IPv4 und für IPv6 gleichermaßen.

 

[XamBonX]

So scheint aktuell die Konfiguration zu sein:

Fritzbox-Internet-DNS = Adguard-IP
Fritzbox-DHCP-DNS = Adguard-IP
Adguard-Upstream-DNS = public DNS (zB 8.8.8.8) (stünde hier die Fritzbox, gäbe es nen Loop)

Genau, und den Client --> Adguard --> public DNS weil ich im Adguard-Upstream-DNS nicht wie in der FritzBox nur 1 Upstream sondern mehrere nutzen kann, was ich tue-

Hab den Fehler mittlerweile auch verstanden so ungefähr, brauch ich ja den Fritz gar nicht zu konfiguieren, wenn eh alle Clients die NAS als DNS nutzen, dann allerdings stellt sich meine Frage...

Wenn nur PC1 und PC2 als, 78k und 50k, eigentlich Clients sein sollten. Was macht die Fritzi da in der Statistik?

Irgendwie bin ich doch noch zu dumm. Gut, die Statistik ist von letzten 30 Tagen, seit Samstag ist im Query Log von AdGuard nur noch

wohl Zeitserver sync, davor waren es alle möglich Anfragen.

Edit: Hab mal alle Statistiken gelöscht und guck mir das in ner Woche nochmal an. Dann dürfte von der Fritzi außer Zeit-Sync nix mehr im Query Log sein.

 

[Raijin]

Genau, und den Client --> Adguard --> public DNS weil ich im Adguard-Upstream-DNS nicht wie in der FritzBox nur 1 Upstream sondern mehrere nutzen kann, was ich tue-

Das ist aber eher unpraktisch, weil du dann Probleme mit der lokalen Namensauflösung bekommst. Diese kann ohne sauber konfiguriertes DNS nur noch mittels veraltetem NETBIOS (sofern überhaupt noch aktiviert und von allen Teilnehmern unterstützt) oder mDNS stattfinden. Letzteres ist vereinfacht gesagt ein serverloses DNS, aber das unterstützen nicht alle Geräte.

Der Router - oder genauer - das Gerät mit dem aktiven DHCP-Server sollte immer in der DNS-Kette auftauchen, weil nur dieses Gerät alle Hostnamen der lokalen Teilnehmer kennt - zumindest von jenen, die sich per DHCP eine IP-Adresse abholen. Es gibt auch keinen wirklichen Grund warum man den Router außen vor halten sollte.

Hab den Fehler mittlerweile auch verstanden so ungefähr, brauch ich ja den Fritz gar nicht zu konfiguieren, wenn eh alle Clients die NAS als DNS nutzen, dann allerdings stellt sich meine Frage...
[..]
Was macht die Fritzi da in der Statistik?

Die Fritzbox ist ja nicht nur DNS-Forwarder, sondern auch selbst ein DNS-Client. Beispielsweise dann, wenn sie nach Updates bei AVM sucht oder wie du ja selbst festgestellt hast für ntp. Ggfs tauchen auch myfritz oder andere AVM-Domains auf.

 

[XamBonX]

Ich habe bisher in der Laufzeit von AdGuard (~5 Jahre) genau 0 Fälle gehabt wo eine lokale Auflösung notwendig war. Habe aber verstanden, dass die Methode so unpraktisch ist, und würde eher:

2)
Fritzbox-Internet-DNS = Adguard-IP
Fritzbox-DHCP-DNS = Fritzbox-IP
Adguard-Upstream-DNS = public DNS (zB 8.8.8.8)

DNS-Aufrufkette: Client --> Fritzbox--> Adguard --> public DNS
Vorteil: Sowohl Haupt- als auch Gastnetzwerk werden gefiltert, da Adguard hinter der Fritzbox filtert.
Nachteil: Adguard sieht nur die Fritzbox als einzigen Client.

anwenden, irgendwann. Momentan bleibt es erstmal so.

Hab die Statistik auch mal gelöscht und da taucht der Fritzi nur auf, weil er selber nach Update sucht und Zeit-Sync macht. Die hohe Zahl vorher war wohl, weil es irgendwann eben wie im Zitat eingerichtet war, da könnte nur in der Statistik der Fritzi auftauchen, sonst nix. Irgendwann habe ich das dann auf meine jetzige Konstellation umgestellt.

 

[Raijin]

Ich habe bisher in der Laufzeit von AdGuard (~5 Jahre) genau 0 Fälle gehabt wo eine lokale Auflösung notwendig war.

Was heißt notwendig? Das ist eine Frage der persönlichen Nutzung. Auch wenn ich mir berufsbedingt die IPs meiner Server merken kann, rufe ich sie stets per Name auf. Im Browser "unifi" oder "omv" oder "paperless" einzugeben, ist einfach so viel bequemer und weniger fehleranfällig als 172.27.1.17 172.27.1.32 und 172.27.1.248.

 

[XamBonX]

Ich muss mir gar nix merken außer die IP der FLAME Startseite, alles andere ist dort.

 

[Raijin]

Aha. Links in einem Dashboard haben aber ein Problem: Sie funktionieren nur innerhalb des Dashboards. In anderen Applikationen, in denen man beispielsweise einen Netzwerkpfad zu einer Freigabe eingibt, spielt das Dashboard keine Rolle.

Aber ich hab's schon verstanden, du willst es scheinbar nicht ändern und ich habe keine Lust über eine Änderung zu diskutieren, die keine 30 Sekunden dauert. Mach es wie du willst und wie es für dich funktioniert. In diesem Sinne..