DNS server opzetten. Wat is nu handig

[FlipjeSR]

@Briolet
Ik heb in de eerste instantie echt niet de moed opgegeven en ben blijven proberen om mijn lokale DNS server dezelfde naam te geven als mijn externe domein. Maar alles wat ik geprobeerd heb, met de mailserver kon ik niet meer connecten. Externe adressen, records, handleiding na youtube filmpje. Het werd het echt niet. Ik ben ervan afgestapt. mijn interne DNS server domein heet nu gewoon hetzelfde maar dan niets na de punt. Alle records voor het thuisnetwerk aangemaakt en ookk de reverse zones voor alle te bereiken (webinterfaces) apparaten.
Dus, lang verhaal nu kort. It's working.
Ben nog wel bezig om op één of andere manier toch die poortnummers erachter te krijgen. Maar dat kan later ook nog wel. In de router staat nu ook in de DHCP scope de DNS server van de NAS vermeld dus ieder apparaat kijkt naar de NAS voor nameresolving. Werkt leuk.  Kwam er wel ergens achter dat je op je netwerkkaart van de NAS ook de eigen DNS server op kan/moet geven. Zal daar wel ergens overheen gelezen hebben.
Bedankt weer allemaal, op naar het volgende projekt! Waarschijnlijk DSM 7.0
Fijn weekend

[FlipjeSR]

@Briolet,
Hoi, Ik heb iets wat ik niet opgelost krijg. Het werkt allemaal perfect binnen mijn netwerk, Dus DNS goed opgezet volgens de handleidingen ect. Ook de records van de apparaten aangemaakt, ook de reverse zones ect, alles goed. NSLOOKUP werkt goed. Op mijn TCP/IP op de netwerkkaart de DNS server ingevoerd als mede ook de verbindingsspecifiek DNS optie. Dan hoef ik namelijk niet de volledige apparaatnaam in te voeren. Ook dit uitgebreid getest met en zonder en de werking is goed. Ik ben helemaal tevreden. Ik heb als oplossing geprobeerd mijn werkstation in de zones toe tevoegen en die is daar nu ook aanwezig en is ook goed met de tools en NSLOOKUP te vinden. Maar ik zocht vanmiddag een event in het systeemlogboek van Windows en deze staat vol met onderstaande medling. Hij blijft hierover maar bleren. Wat kan dat nou zijn? Zoals ik het lees lijkt het dat het werkstation zich niet bij de DNS server kan registreren. Maar waarom niet? Ik lig nooit zo wakker van de foutmelingen in het logboek want het staat er vol mee . Vooral dingen die onverklaarbaar zijn maar deze vind ik wel een dingetje. Jij enig idee hierover? Al eerder gezien misschien? Firewall regels ect zijn goed. En we praten gewoon over LAN. Onderstaand die melding.

Het systeem kan de netwerkadapter met de volgende instellingen niet registreren:

   Adapternaam: {5997FD08-82D5-4B55-A121-8EB6BCEA230F}
   Hostnaam: Thermaltake
   Adapterspecifiek domeinachtervoegsel: stelucjam
   DNS-serverlijst:
      192.168.178.2
   Update verzonden naar server: <?>
   IP-adres(sen):
     192.168.178.200

 De reden van deze DNS-registratiefout is een DNS-serverfout. Dit kan te maken hebben met een zoneoverdracht die de DNS-server heeft vergrendeld voor de zone die de computer nodig heeft om zichzelf te registreren.

 (De zone die van toepassing is, komt doorgaans overeen met het bovenstaande adapterspecifieke domeinachtervoegsel). U kunt de registratie van de netwerkadapter en bijbehorende instellingen handmatig proberen uit te voeren door op de opdrachtprompt de opdracht 'ipconfig /registerdns' in te voeren. Als het probleem blijft bestaan, dient u contact op te nemen met de netwerkbeheerder om het netwerk te controleren.
 Bedankt maar weer alvast.

[Briolet]

Ik heb nog nooit met Windows gewerkt. Ik heb geen idee wat hier gebeurd. Misschien een andere windows gebruiker?

[SpeedyG]

@FlipjeSR wat is de ID van de melding/gebeurtenis.

IK gebruik zelf geen DNS server op mijn NAS.
Met wat ik nu zie lijkt het erop dat de computer zich niet kan registreren bij de DNS-server.

Heb je al gekeken of de computer actief is binnen de DNS-server?

[Rubensky]

Nou, ik heb alles afgestruind naar wat jj noem zoekdomein of iets in die richting. In ieder geval ben ik er zeker van dat dit bij mij router niet erop/in zit.

Laat ik nu ook een 7590 in gebruik hebben, en mij niet kunnen voorstellen dat deze functie er niet is.

Hij is er wel en heet: DNS Rebind Protection.

Je vind hem onder Home Network --> Network --> Network Settings. Bijna helemaal onderaan.

Na invoeren van de gegevens wel je router herstarten.

[FlipjeSR]

@Rubensky,
Bedankt voor je reactie. Ik had inderdaad dat stukje over DNS rebind protection al gelezen. Maar dat is niet wat ik bedoel en daar los ik mijn bedoeling ook niet mee op. Ik bedoel dat ik een "DNS suffix" wil meegeven op het TCP/IP protocol, en wel de naam van mijn eigen DNS server. Dit doe je in de netwerkinstellingen op het TCP/IP protocol. In het Nederlands heeft dat stukje het "DNS achtervoegsel" Alsa het juist geconfigureerd is verschijnd het bij Ipconfig /all ook bovenaan de netwerkkaart. de DNS suffix dus. Er zijn routers daar kun je dus dan ook niet alleen een ander IPadres voor je eigen DNS server meegeven maar ook zo'n suffix. En dat kan bij de 7590 niet. Wat jij bedoelt is ervoor dat de Frit!zBox het eigen netwerk beschermd. Dus dat bepaalde namen of DNS achtervoegsels niet worden toegelaten. Dan kun je dus inderdaad onder deze optie de desbetreffende of geblokkerde naam toevoegen en dan word het wel toegelaten.
-
Ik heb het wel geprobeerd hoor uiteraard. Maar als ik mijn netwerkkaart standaard laat staan en ik kijk met Ipconfig /all dan staat er suffix fritz.box. Als ik in die rebind protection sectie mijn eigen naam erin zet en reboot alles dan blijft daar staat fritz.box. En dus ben ik erover gaan lezen en kwam erachter dat het daar niet voor is. Dis je moet echt op het protocol op de PC dat DNS achtervoegsel invoeren. En dat werkt ook prima. Hier het stukje wat ik erover gelezen heb onderandere:
DNS Rebind Protection
To guarantee the security of the computers in the FRITZ!Box home network, the FRITZ!Box suppresses DNS responses that refer to IP addresses in the home network. This is a security function of the FRITZ!Box to protect against what are known as "DNS rebinding attacks".

If you would like to enable DNS resolution for domain names that refer to private IP addresses in the FRITZ!Box home network, you can specify exceptions. In this case DNS queries for domain names contained in the list of exceptions will receive a response even if the DNS response refers to an IP address in the FRITZ!Box home network.

Maar wel bedankt voor het meedenken. Het had zo mooi kunnen zijn. :-)

[FlipjeSR]

@Briolet, @SpeedyG,
Duurde even, maar ben eruit. Weer een hoop gelezen hierover. SpeedyG het EventID is / was 8004.
Maar ik ben na zoeken ook eens op twee andere PC's gaan kijken. En daar komt die melding niet naar voren. Dus het lag niet aan de opstelling van wat we de laatste weken hadden opgezet. Het kwam door een klein vinkje op het TCP/IP protocol. Ik weet niet hoe het aangevinkt is gekomen, misschien door het teamen van mijn netwerkkaartjes, in ieder geval stond de optie "De adressen van deze verbinding in DNS registeren" En dat zou een optie kunnen zijn als er ook een MS DNS server o.i.d. gedraait word. De DNS server van Synology laat registreren niet toe. En dan geeft Windows deze meldingen. Vinkje uit, en probleempje ook weer opgelost. Het is natuurlijk ook helemaal niet nodig dat de client zich registreert bij de DNS server. Lijkt mij tenminste. Afijn weer wat geleerd.
-
Wel nog wat anders leuks ernaast. :-) Ik heb natuurlijk de handleidingen gevolgd en heb dan ook braaf de poort 53 voor de DNS server opgengezet, in de router dus. Ja, Huh weet ik veel. Maar kreeg een dag later een mailtje van het KPN abuse Team dat ik iets doe wat niet mag, omdat mijn pietluttig apparaatje wel eens allemaal antwoorden zou gaan kunnen geven op aanvragen, en dat was een netwerkbelsting die niet overéénkomt met wat was afgesproken. :-) Ik heb heel vriendelijk terug gemailt om tot een oplossing te komen en hoe te handelen. Nou poort 53 mag wel open, maar alleen ingaand. Hij mag dus niet naar buiten. Nadat ik het had opgelost heeft die beste meneer het nog eens getest en toen was het goed. Maar het mocht nooit meer voorkomen moets ik beloven, anders werd ik geblokkeerd. Ja jeetje, weet ik veel.
Fijne avond allemaal en bedankt maar weer.

[Rubensky]

Een suffix. Degelijk iets anders. Niet in te stellen in de 7590.

[Briolet]

Nou poort 53 mag wel open, maar alleen ingaand. Hij mag dus niet naar buiten.

Die snap ik niet. Al het DNS verkeer van iedereen gaat via poort 53 naar buiten.  (Tenzij je dns over https gebruikt) Dat KPN ingaand niet wil is misschien omdat er in het verleden wel fout geconfigureerde DNS servers bestonden die als relay versterker konden dienen voor een DDOS aanval.

Poort 53 hoeft alleen ingaand open te staan als je wilt dat je DNS server ook extern benaderbaar is. (De manier zoals Synology in hun handleiding beschrijft)

[FlipjeSR]

Ik snap het ook niet, misschien is het wel wat jij omschrijf. Ze waren er in ieder geval niet echt blij mee.

Na enig mail wissel want ze zijn in het begin nogal bot vind ik was meneer toch bereid enig uitleg te geven over wat er mis gaat. Onderstaand een knipseltje eruit:
Geachte heer, mevrouw,

Bedankt voor uw bericht. Een aantal openstaande UDP poorten/diensten kunnen worden misbruikt voor het uitvoeren van Amplification aanvallen. Er vindt bij UDP namelijk geen 2-weg communicatie plaats tussen verzender en ontvanger. Hierdoor is het voor derden mogelijk vanaf een vervalst IP adres requests te doen waarvan de output de verbinding van de eigenaar van het vervalste IP adres, buiten werking kan stellen.

Meer informatie kunt u vinden op de volgende link:
https://nl.wikipedia.org/wiki/Distributed_denial-of-service

U hoeft dus enkel te zorgen dat de poort van buitenaf niet voor iedereen toegankelijk is. Trusted users kunt u access verlenen. U kunt dit via poort 53 toetsaan, maar ook via een niet kwetsbare poort. Doorgaans levert het gebruik van een hoge poort geen issues op. Dan loopt u niet tegen dit probleem aan.

U dient er zorg voor te dragen dat de volgende kwetsbare UDP poorten voor buitenaf gesloten heeft, derden zullen dan niet via amplification attacks misbruik van uw verbinding kunnen maken:

17 (QOTD)
19 (Chargen)
53 (Open Resolver)
69 (TFTP diensten)
111 (Portmapper)
123 (NTP)
137 (Netbios)
161/162 (SNMP)
389 (LDAP)
5351 (NAT-PMP)
5353 (MDNS)
1900 (SSDP)
10001 (Ubiquiti Discovery service)
11211 (MemCache)

U kunt zelf controleren of poort 53/UDP (of andere UDP poorten) voor buitenaf open staat met een NMAP scan of met online tools zoals bijvoorbeeld de volgende link:
https://www.ipvoid.com/udp-port-scan/