DNS Anfrage einer bestimmten IP im internen Netz umleiten

[buddy67]

Moin,

ich habe mehrere Clients, die alle mit fester IP konfiguriert sind. Alle DNS-Abfragen werden über einen internen DNS-Server abgewickelt, auf dem läuft auch Pi-hole. Im internen Netz gibt es zwei DNS-Server, der 2. wird von keinem Client benutzt. Jetzt möchte ich, dass die DNS-Abfragen einer (oder auch mehrerer) bestimmter IP's nicht vom DNS-Server1 beantwortet werden, sondern automatisch an den DNS-Server2 weitergeleitet werden. Es gibt zwei Fritzboxen im Netz, die jeweils einen eigenen Internetzugang haben. Fritzbox1(192.168.17.10) ist so eingerichtete, dass alle DNS-Anfragen an den internen DNS-Server (192.168.17.88 Raspberry mit Pi-hole) gehen. Jetzt sollen z.B. die DNS-Anfragen vom Client 192.168.17.33 umgeleitet werden an den 2.DNS-Server (Fritzbox2/192.168.17.20).

Im Moment sieht das so aus (Client:192.168.17.33):

Code: Alles auswählen

$ dig web.de

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> web.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62798
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;web.de.				IN	A

;; ANSWER SECTION:
web.de.			60	IN	A	82.165.229.83
web.de.			60	IN	A	82.165.229.138

;; Query time: 31 msec
;; SERVER: 192.168.17.88#53(192.168.17.88) (UDP)
;; WHEN: Sat Jan 04 02:20:35 CET 2025
;; MSG SIZE  rcvd: 67

Code: Alles auswählen

dig @192.168.17.20 web.de

; <<>> DiG 9.18.28-1~deb12u2-Debian <<>> @192.168.17.20 web.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14464
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: a6d68333a46ff544010000006778854651d203bbea0a4da1 (good)
;; QUESTION SECTION:
;web.de.				IN	A

;; ANSWER SECTION:
web.de.			43	IN	A	82.165.229.83
web.de.			43	IN	A	82.165.229.138

;; Query time: 175 msec
;; SERVER: 192.168.17.20#53(192.168.17.20) (UDP)
;; WHEN: Sat Jan 04 01:48:06 CET 2025
;; MSG SIZE  rcvd: 95

Kann man das relativ einfach realisieren? Im Internet habe ich nur gefunden, wie ich DNS-Anfragen zu einer bestimmte Webadresse umleiten kann. Das ist aber nicht das, was ich möchte..

Gruß
Buddy

[cosinus]

Ich verstehe nicht so wirklich den Sinn. DNS ist eine Art öffentliches Telefonbuch. Du kannst höchstens administrativ was in die /etc/hosts eintragen.
Absicherung per DNS wird aber nicht funktionieren falls du das vorhast.

[buddy67]

Ich verstehe nicht so wirklich den Sinn. DNS ist eine Art öffentliches Telefonbuch. Du kannst höchstens administrativ was in die /etc/hosts eintragen.
Absicherung per DNS wird aber nicht funktionieren falls du das vorhast.

Der Sinn ist folgender: Die DNS-Abfrage an 192.168.17.88 (Pi-hole) blockt viele Domains. Es soll aber Clients geben, bei denen nichts geblockt wird. Ich weiß, das kann ich auch im Pi-hole einrichten. Mir wäre es aber lieber, wenn ich DNS-Anfragen einer bestimmten internen IP Adresse direkt an den 2. DNS Server weiterleiten kann, auf dem nichts geblockt wird.

[cosinus]

Ok. Du hast den Sinn in keinster Weise verstanden. Und auch nicht was lokale IP-Adressen sind.

[buddy67]

...dann klär mich bitte auf. Danke!

[cosinus]

...dann klär mich bitte auf. Danke!

Gerne. DNS ist ein Telefonbuch. Der Name zu einer Nummer.

[buddy67]

...dann klär mich bitte auf. Danke!

Gerne. DNS ist ein Telefonbuch. Der Name zu einer Nummer.

Gut. Nun möchte ich, dass die lokale IP1 das Telefonbuch DNS1 benutzt und die lokale IP2 das Telefonbuch DNS2.

[cosinus]

Gut. Nun möchte ich, dass die lokale IP1 das Telefonbuch DNS1 benutzt und die lokale IP2 das Telefonbuch DNS2.

Nein. edit: jedenfalls nicht ohne Gateway oder irgendeinem Regelwerk davor...warum also nicht direkt ne andere Adresse als nameserver eintragen?

[mat6937]

Nein.

Warum nein?
Z. B.:

Code: Alles auswählen

iptables -t nat -I OUTPUT 1 -o eth0 -p udp -s 192.168.178.4 --dport 53 -j DNAT --to-destination 192.168.44.1:53
iptables -t nat -I OUTPUT 2 -o eth0 -p tcp -s 192.168.178.4 --dport 53 -j DNAT --to-destination 192.168.44.1:53

Code: Alles auswählen

:~$ host -t a berlin.de 192.168.178.1
Using domain server:
Name: 192.168.178.1
Address: 192.168.178.1#53
Aliases: 

berlin.de has address 109.68.230.145

Code: Alles auswählen

:~# tcpdump -c 40 -vvveni wg2 dst port 53
tcpdump: listening on wg2, link-type RAW (Raw IP), snapshot length 262144 bytes
08:32:50.026405 ip: (tos 0x0, ttl 64, id 45730, offset 0, flags [none], proto UDP (17), length 55)
    192.168.44.14.46647 > 192.168.44.1.53: [bad udp cksum 0xd994 -> 0x9799!] 10907+ A? berlin.de. (27)

(oder mit nftables oder mit gleichwertig). Evtl. geht es auch mit systemd-resolved.service.

[reox]

Wenn du sowieso statisch adressierst, reicht es den betreffenden clients einfach einen anderen DNS einzustellen. Ansonsten musst du deinen DHCP anweisen bei den Host reservations andere IPs für DNS zu übermitteln.

Ein weiterleiten im Sinne von "wenn src ip xyz nach einer Domain fragt bin ich nicht zuständig sondern wer anderer" geht auch, aber das müsstest du auf dem jeweiligen DNS Server einrichten (oder wie gezeigt bei iptables). Ob das mit einer pihole direkt geht weiß ich aber nicht. Verwendet der nicht intern unbound?

[gatnnos]

Mir wäre es aber lieber, wenn ich DNS-Anfragen einer bestimmten internen IP Adresse direkt an den 2. DNS Server weiterleiten kann, auf dem nichts geblockt wird.

Dann trag doch einfach auf den bestimmten Clients als DNS den 2. DNS Server ein. Warum einfach wenns auch umständlich geht.

[michaa7]

Ich glaube nicht dass er es in die Hände der Clients legen will ...

[cosinus]

Ich glaube nicht dass er es in die Hände der Clients legen will ...

Dann müssen aber die DNS-Server hinter einem Gateway gesetzt werden, und das Gateway verteilt die Anfragen auf unterschiedliche DNS-Server, je nachdem welche IP kommt. Er schrieb:

Mir wäre es aber lieber, wenn ich DNS-Anfragen einer bestimmten internen IP Adresse direkt an den 2. DNS Server weiterleiten kann, auf dem nichts geblockt wird.

Am einfachsten ist aber in der Tat in diesem Rechner direkt einen andere IP-Adresse als Nameserver einzutragen...

[buddy67]

wie so oft hat cosinus nix verstanden.

[cosinus]

wie so oft hat cosinus nix verstanden.

Und für den tollen Spruch hast du jetzt drei Wochen herumgegrübelt? Bravo. Eine echte Meisterleistung.

[schorsch_76]

Es hängt vom eingesetzten DNS Server ab. Man kann bei dnsmasq oder kea die anfragende IP mit einem Tag versehen (in der Config des dnsservers) und entsprechend anders behandeln.

Beispielsweise könntest du mit dem tag (Markierung) bestimmen welcher DNS Server bei der dhcp Anfrage geliefert wird.

[1] https://dnsmasq.org/docs/dnsmasq-man.html
[2] https://stackoverflow.com/questions/224 ... dns-server
[3] https://kea.readthedocs.io/en/kea-2.0.1 ... ng-classes