Der Sinn für dnsmasq?

[debiator]

Hallo!

dnsmasq ist ja ein lokaler Cache-DNS-Server.
Ich habe schon dies und das gelesen und frage mich dennoch:
Was kann der Sinn eines solchen Servers sein?

Unerwünschte Seits blocken halte ich damit für krass aufwändig und unnötig.
Nachvollziehen zu können, wo ich überall gesurft bin, das halte ich für ein Datenschutzproblem, denn bringen tuts nur den Schnüfflern.
DHCP brauch ich schon 3 mal nicht.

Für was benutzt ihr dnsmasq?

[mat6937]

Für was benutzt ihr dnsmasq?

Als dns-resolver, weil er als dns-resolver besser ist als z. B. mein Router (FritzBox).

EDIT:

:~$ dnsmasq --version
Dnsmasq version 2.75 Copyright (c) 2000-2015 Simon Kelley
Compile time options: no-IPv6 GNU-getopt no-DBus no-i18n IDN no-DHCP no-TFTP conntrack ipset auth DNSSEC loop-detect no-inotify

[debiator]

Ok. Aber wenn ich jetzt dnscrypt benutze, dann ist die Nutzung des dnsmasq überflüssig, richtig?
Denn da nutze ich ja den Resolver von einem öffentlichen crypt-Abieter.
Oder kann ich den mit dnsmaq ersetzen?
Wenn ja, wie übersetzt er dann Adressen? Also an wen "wendet" er sich da?

[MSfree]

Dnsmasq ist ein Programm, das einen DHCP-Server mit einem DNS-Server kombiniert.

Der Sinn ist dabei, daß Rechner, die sich per DHCP eine IP-Adresse besorgen, auch gleich im DNS eingetragen werden. Damit funktioniert im lokalen Netz die Namensauflösung und man braucht nicht mit IP-Adressen rumzustümpern.

Ganz "nebenbei" kann dnsmasq natürlich auch Rechner in der großen weiten Welt auflösen.

Die Konfiguration von dnsmaq ist im Vergleich zu separaten DHCP-Servern und DNS-Servern, bei denen der DHCP den DNS benachrichtigt, geradezu lächerlich simpel. Der Nachteil ist aber, daß ein Neustart des dnsmasq Servers auch die zugeteilten IP-Adressen neu auswürfelt, während der separate DHCP sich die einmal vergebenen IP-Adressen anhand der MAC-Adressen der anfragenden Netzwerkkarten merkt und immer wieder die gleichen IP-Adressen vergibt.

[mat6937]

Der Sinn ist dabei, daß Rechner, die sich per DHCP eine IP-Adresse besorgen, auch gleich im DNS eingetragen werden. Damit funktioniert im lokalen Netz die Namensauflösung und man braucht nicht mit IP-Adressen rumzustümpern.

BTW: Die Namensauflösung im lokalen Netz funktioniert auch dann, wenn der dnsmasq dort nicht als DHCP-Server fungiert. Man kann z. B. im dns des dnsmasq den Router (oder gleichwertig) der das DHCP im lokalen Netz macht (falls statisch dann aus dessen Subnetz die lokalen IP-Adressen ja kommen), für die lokale Namensauflösung konfigurieren (d. h. zuständig machen).

[mat6937]

Ok. Aber wenn ich jetzt dnscrypt benutze, dann ist die Nutzung des dnsmasq überflüssig, richtig?

Das muss nicht so sein. Ohne es testen zu können, behaupte ich jetzt mal, dass man dnsmasq (als dns-resolver) auch mit dnscrypt nutzen könnte.

[debiator]

Danke!
Also wenn man kein DHCP-Server betreiben will, dann ist dnsmasq kein großartiger Gewinn.
Es sei denn als DNS-Server. Welchen Name-Server benutzt er dann, in meinem Fall den dns-crypt (wenn konfiguriert)?
Hat es Vorteile? Bei dnscrypt ist ja der Server wie auch der Resolver nicht lokale?
Bei dnsmasq+dnscrypt wäre Server lokal, Resolver nicht.

[rendegast]

Außerdem das Starten von boot-Images.
Eingeschlossen ist dabei der tftp-Server für die Images/Kernel.
Bei mir grml + gparted.

[MSfree]

BTW: Die Namensauflösung im lokalen Netz funktioniert auch dann, wenn der dnsmasq dort nicht als DHCP-Server fungiert.

Ja, das kann man machen, ist aber eher überflüssig. Warum sollte man zusätzlich zum DNS im Router noch einen weiteren DNS einklinken? Das erhöht nur die Latenz der Namensauflösung.

OK, wenn der Router nichts taugt, kann man dnsmasq als Ersatz verwende. In dem Fall würde ich aber auch DHCP über dnsmasq fahren.

Es gibt auch keinen Grund, ein Netz ohne DHCP zu betreiben. Selbst Rechner, denen man eine statische IP-Adresse zuweisen möchte, kann man per DHCP mit immer wieder der gleichen IP-Adresse versorgen, indem man im DHCP-Server eine Zuordnung von MAC-Adresse zu IP-Adresse fest einträgt.

[debiator]

Das Betreiben des LANs ohne DHCP-Server hat den Sinn die Kompromittierung des lokalen DNS-Servers zu vermeiden und dem Spoofing etwas vorzubeugen.
Ich verstehe eher den Sinn eines DHCP-Servers nicht. Weils halt bequemer ist.

[MSfree]

Das Betreiben des LANs ohne DHCP-Server hat den Sinn die Kompromittierung des lokalen DNS-Servers zu vermeiden und dem Spoofing etwas vorzubeugen.

Ich denke, das ist paranoid. Spoofing spielt im Heimnetz überhautp keine Rolle und großen Netze werden mit UUIDs gegen MAC-spoofing geschützt.

Ich verstehe eher den Sinn eines DHCP-Servers nicht. Weils halt bequemer ist.

Weil es den administrativen Aufwand drastisch reduziert, vor allem in riesigen Netzen.

[uname]

Also jetzt verstehe ich gar nichts mehr. Stelle wir uns mal folgende Netzstruktur vor.

Internet <-> WLAN-Router <-> interner Debian-Router <-> LAN

interner Debian-Router:

Code: Alles auswählen

eth0: 192.168.178.x (Client im WLAN/LAN-Netzwerk z.B. von einer FritzBox)
eth1: 192.168.1.1 (LAN-Schnittstelle)

Dass man IP-Forwarding und IP-Masquerading/NAT benötigt erscheint mir sicher.

Nun will ich beliebige Geräte im LAN verwalten. Der DHCP-Server auf dem Debian-Router ist somit wohl auch gesetzt.
Was kann ich nun machen:
a.) dnsmasq und DNS-Server der Clients im LAN ist "automatisch" das Gateway 192.168.1.1
b.) kein dnsmasq und manuelles bzw. automatisches (per DHCP?) Setzen des DNS-Servers auf IP des WLAN-Routers, Internet, ...

Wo liegen in diesem Bespiel die Vorteile von a.) bzw. b.) oder gibt es eine weitere Lösung c.)

[mat6937]

Welchen Name-Server benutzt er dann, in meinem Fall den dns-crypt (wenn konfiguriert)?

dnsmasq sollte dns-crypt nutzen können.

[mat6937]

Es gibt auch keinen Grund, ein Netz ohne DHCP zu betreiben. Selbst Rechner, denen man eine statische IP-Adresse zuweisen möchte, kann man per DHCP mit immer wieder der gleichen IP-Adresse versorgen, indem man im DHCP-Server eine Zuordnung von MAC-Adresse zu IP-Adresse fest einträgt.

Das ist alles richtig und trotzdem soll es jeder so machen, wie er es haben will bzw. gemäß seinen Vorstellungen und Präferenzen. Z. B. auf den PCs/Laptops in meinem kleinen (W)LAN gibt es keine dhcp-Clients und keine NetworkManager (oder gleichwertig). Die Netzwerkkonfiguration/-überwachung erfolgt mit Hilfe der interfaces-, der wpa_supplicant.conf-Datei, der /etc/crontab und einem Texteditor.
Der DHCP-Server der FritzBox wird hier nur für das Gast-WLAN genutzt.

[seeker]

Ok. Aber wenn ich jetzt dnscrypt benutze, dann ist die Nutzung des dnsmasq überflüssig, richtig?

Nein, weil:

The DNSCrypt client proxy is not a DNS cache. This means that incoming queries will not be cached and every single query will require a round-trip to the upstream resolver.

For optimal performance, the recommended way of running DNSCrypt is to run it as a forwarder for a local DNS cache, such as unbound or powerdns-recursor.

...oder eben dnsmasq. So habe ich es unter Arch Linux gemacht. Da ich erst kürzlich zu Jessie gewechselt bin, bin ich dazu noch nicht gekommen, werde mich aber kurzfristig daran machen und meine Lösung im dnscrypt-proxy-Thread posten.

[seeker]

Ich kriege leider nicht mal dnsmasq zum Laufen

Nach der Installation ergibt "systemctl status dnsmasq" :

dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server
Loaded: loaded (/lib/systemd/system/dnsmasq.service; enabled)
Drop-In: /run/systemd/generator/dnsmasq.service.d
└─50-dnsmasq-$named.conf, 50-insserv.conf-$named.conf
Active: failed (Result: exit-code) since Di 2015-10-13 14:57:03 CEST; 8s ago
Process: 10003 ExecStart=/etc/init.d/dnsmasq systemd-exec (code=exited, status=2)
Process: 10000 ExecStartPre=/usr/sbin/dnsmasq --test (code=exited, status=0/SUCCESS)

Da wurde mir als Jessie-Neuling zum ersten Mal so richtig bewusst, dass Jessie zwar auf systemd umgestiegen ist, aber parallel immer noch /etc/init.d benutzt (seufz!). Vielleicht ist durch dieses Kuddelmuddel irgendwas verbogen. Jedenfalls ist der relevante Code-Teil in /etc/init.d/dnsmasq:

Code: Alles auswählen

  systemd-exec)
# /var/run may be volatile, so we need to ensure that
        # /var/run/dnsmasq exists here as well as in postinst
        if [ ! -d /var/run/dnsmasq ]; then
           mkdir /var/run/dnsmasq || return 2
           chown dnsmasq:nogroup /var/run/dnsmasq || return 2
        fi
	exec $DAEMON -x /var/run/dnsmasq/$NAME.pid \
	    ${MAILHOSTNAME:+ -m $MAILHOSTNAME} \
	    ${MAILTARGET:+ -t $MAILTARGET} \
	    ${DNSMASQ_USER:+ -u $DNSMASQ_USER} \
	    ${DNSMASQ_INTERFACES:+ $DNSMASQ_INTERFACES} \
	    ${DHCP_LEASE:+ -l $DHCP_LEASE} \
	    ${DOMAIN_SUFFIX:+ -s $DOMAIN_SUFFIX} \
	    ${RESOLV_CONF:+ -r $RESOLV_CONF} \
	    ${CACHESIZE:+ -c $CACHESIZE} \
	    ${CONFIG_DIR:+ -7 $CONFIG_DIR} \
	    ${DNSMASQ_OPTS:+ $DNSMASQ_OPTS} 
	;;

/var/run/dnsmasq existiert, ist aber leer. Kann mir jemand auf die Sprünge helfen?

[debiator]

Weil es den administrativen Aufwand drastisch reduziert, vor allem in riesigen Netzen.

gut, das ist klar. Nur ist DHCP-Server ein Dienst/Programm/Code/Angriffspunkt mehr, ob mit Spoofing oder Exploit.
Ich denk, spätestens seit Snowden ist "paronoid-sein" sinnvolle Realität geworden.

dnsmasq sollte dns-crypt nutzen können.

ok, also wie ichs vermutet habe. Aber den zusätzlichen Sinn, außer DHCP verstehe ich immer noch nicht

oder eben dnsmasq. So habe ich es unter Arch Linux gemacht. Da ich erst kürzlich zu Jessie gewechselt bin, bin ich dazu noch nicht gekommen, werde mich aber kurzfristig daran machen und meine Lösung im dnscrypt-proxy-Thread posten.

das ist klar... also der Vorteil des (für mich nicht sinnvollen) DHCP-Servers und natürlich als Cache. Aber hat Cache noch andere Vorteile als Geschwindigkeit? Denn letztendlich speicherer ich ja meinen "kompletten" Internetverkehr auf der Festplatte ab. Will ich das? Nicht so richtig... Cache ist aus meiner Sicht nur bei einer Proxy-Firewall sinnvoll (die ich noch nicht wirklich verstehe), damit die alles vorkostet. Liege ich da falsch mit den Vorteilen des Cache, die sich nur in Geschwindigkeit äußern?

[MSfree]

ok, also wie ichs vermutet habe. Aber den zusätzlichen Sinn, außer DHCP verstehe ich immer noch nicht

Im Prinzip könnte jeder Client im LAN einen Nameserver im Internet verwenden. Es läuft jedoch etwas glatter, wenn man im LAN einen eigenen Nameserver betriebt, der nicht nur die IPs im LAN auflösen kann, sondern auch die im Internet, vor allem, weil Nameserver in der Regel auch cachen. Man muß dazu nicht dnsmasq verwenden, man kann auch z.B. bind verwenden.

Die Konfiguration von bind ist aber kryptisch, um es vorsichtig auszudrücken. dnsmasq ist geradezu lächerlich einfach zu konfigurieren. Übrigens, in vielen einfachen Routern läuft häufig dnsmasq.

Ich habe zuhause übrigens nicht dnsmasq im Einsatz, ich fahre eine Kombination aud dhcpd und bind, vor allem auch deshalb, weil man damit mehrere Domains in verschiedenen Subnetzen fahren kann, ob das mit dnsmasq auch geht, weiß ich nicht.

Für einfache Netze ist dnsmasq aber das Werkzeug der Wahl, es ist praktisch idiotensicher.

[debiator]

Aber kann im LAN betriebener Nameserver die Internetadressen auflösen und wenn ja wie macht er das genau??

[MSfree]

Aber kann im LAN betriebener Nameserver die Internetadressen auflösen

Das kann er nicht nur, das ist sogar seine Hauptaufgabe.

und wenn ja wie macht er das genau??

Das Nameserversystem ist ein hierarchisch organisiertes System, jeder Nameserver an einem Endpunkt wie dem Heimat-LAN hat im Prinzip einen "Gruppenleiter", der befragt wird, wenn der eigene Nameserver die Anfrage nicht beantworten kann. Weiß es der Gruppenleiter nicht, wird der Abteilungsleiter gefragt, der fragt den Geschäftsführer, der wiederum den Aufsichtsrat und der kann dann bei der Landesregierung fragen etc..., um es ein wenig bildhaft zu machen. Der erste, der die Anfrage beantworten kann, liefert das Ergebnis über die Hierarchiekette zurück zum Client.

Der Gruppenleiter ist übrigens der, den der DSL-Router vom Provider per DHCP mitgeteilt bekommt.

[debiator]

Der Gruppenleiter ist übrigens der, den der DSL-Router vom Provider per DHCP mitgeteilt bekommt.

Danke für die Erklärung!
Und genau da haben wir den Salat.
Der Nameserver im Netzwerk kann selbstverständlich nicht selbst auflösen, da er ja keine Datenbank über jede Homepage hat. Wahrscheinlich gar keine Datenbank.
Dann wird er eben den "Abteilungsleiter" fragen, also das Provider-Modem. Somit ist die Frage, wozu er als Nameserver dann gut ist, wenn er eh seinen Abteilungsleiter fragen muss?
Dann kann ich ja direkt mein Modem als DNS-Server eintragen und gut ist. Da ich es nicht will, nutze ich dnscrypt und nicht das Modem für DNS. D.h. ich könnte den lokalen Nameserver bzw. DNS-Server dann zum dnscrypt schicken, aber auch da die Frage, warum dann nicht gleich dnscrypt?

[MSfree]

Der Nameserver im Netzwerk kann selbstverständlich nicht selbst auflösen, da er ja keine Datenbank über jede Homepage hat. Wahrscheinlich gar keine Datenbank.

Richtig, der eigene Nameserver kann natürlich unmittelbar nur die Adressen des eigenen LANs auflösen. Er hat also ein Datenbank, aber nur eine kleine für die handvoll Adressen im LAN.

Somit ist die Frage, wozu er als Nameserver dann gut ist, wenn er eh seinen Abteilungsleiter fragen muss?

Wie sonst bekommst du die IP-Adressen der Rechner im LAN raus? Doch nicht etwa mit einer handgepflegten hosts-Datei auf jedem einzelnen Client und bei jeder Änderung denkst du auch daran, auf jedem Rechner die hosts-Datei nachzuziehen? Ich hatte ja schon oben geschrieben, daß das Hantieren mit IP-Adressen eine ziemlich Stümperei ist und auch deshalb DHCP nichtnur eine Spielerei ist.

Dann kann ich ja direkt mein Modem als DNS-Server eintragen und gut ist.

Ein Modem hat keinen DNServer. Sorry, wenn ich jetzt spitzfindig werden, aber Modems haben keinerlei eigene "Intelligenz", du meinst vermutlich deinen Router.

Da ich es nicht will, nutze ich dnscrypt und nicht das Modem für DNS. D.h. ich könnte den lokalen Nameserver bzw. DNS-Server dann zum dnscrypt schicken, aber auch da die Frage, warum dann nicht gleich dnscrypt?

Auch dnscrypt muß bei unbekannten Hostnames den Abteilungsleiter fragen. Ob das verschlüsselt passiert oder im Klartext, ist kein Sicherheitsgewinn. Wenn die NSA wissen will, auf welchen Seiten du dich bewegst, zapfen sie den DNS an, der den dnscrypt bedient.

[seeker]

Aber hat Cache noch andere Vorteile als Geschwindigkeit? Denn letztendlich speicherer ich ja meinen "kompletten" Internetverkehr auf der Festplatte ab. Will ich das?

Nein, standardmäßig werden nur 150 Einträge im Cache gespeichert (kannst du über cache-size= in dnsmasq.conf ändern), und die Speicherung erfolgt nur im Arbeitsspeicher. Du kannst natürlich dnsmasq ausdrücklich anweisen, alles zu loggen.

[debiator]

Ein Modem hat keinen DNServer. Sorry, wenn ich jetzt spitzfindig werden, aber Modems haben keinerlei eigene "Intelligenz", du meinst vermutlich deinen Router.

Ich nenne die Kiste Modem, weil es der Provider Router/Modem ist.
Der Router im LAN ist für mich dann eben ein Router.
Das ist mir klar, dass Modem keinen DNS-Server hat.

Dass es für DHCP ein Gewinn ist, ist mir klar, aber um DHCP geht es mir nicht, da ich es nicht brauche.
Für DNS scheint es aber keinen Gewinn darzustellen.

Auch dnscrypt muß bei unbekannten Hostnames den Abteilungsleiter fragen. Ob das verschlüsselt passiert oder im Klartext, ist kein Sicherheitsgewinn. Wenn die NSA wissen will, auf welchen Seiten du dich bewegst, zapfen sie den DNS an, der den dnscrypt bedient.

um NSA direkt geht es mir nicht vorrangig. Erstmal um den Provider, der nicht alles so ganz direkt wissen muss.
Wenn man den dnscrypt-Resolvern trauen soll, dann speichern die meisten keine Logs etc.
Also ist es auch gegenüber der NSA durchaus eine Hürde, da sie dann die Veschlüsselung brechen müssen.

Nein, standardmäßig werden nur 150 Einträge im Cache gespeichert (kannst du über cache-size= in dnsmasq.conf ändern), und die Speicherung erfolgt nur im Arbeitsspeicher. Du kannst natürlich dnsmasq ausdrücklich anweisen, alles zu loggen.

Aber siehst Du irgendein Gewinn im dnsmasq außer DHCP und minimal schnelleren Verbindung??

Nur mal nebenbei:
ich habe gerade dnscrypt auf den Deutschen Server gelegt und die Verbindung ist rasant schnell.

[seeker]

Aber siehst Du irgendein Gewinn im dnsmasq außer DHCP und minimal schnelleren Verbindung??

Ein Vorteil ist z.B. dass du damit sehr effizient Werbenetzwerke und Tracker blocken kannst. Mit

Code: Alles auswählen

address=/doubleclick.net/0.0.0.0

blockierst du sämtliche Sub-Domains von doubleclick. Mach das mal mit der hosts - dafür brauchst du zig Einträge, wenn nicht sogar Hunderte.

Nur mal nebenbei:
ich habe gerade dnscrypt auf den Deutschen Server gelegt und die Verbindung ist rasant schnell.

Wenn du einen schnellen Internet-Zugang hast, ist der Unterschied vielleicht nicht so deutlich. Für mich macht es einen gravierenden Unterschied.