Namensauflösung im Heimnetzwerk

[smutbert]

Hallo,

mich würde interessieren wie ihr das handhabt

1. Macht das euer Router, mit einem DNS-Server, der die Auflösung von per DHCP gemeldeten Hosts übernimmt?
   Hilft mir zwar erst einmal nix, weil das mein Router nicht kann, aber ev könnte ich dafür einen RPi oder etwas ähnliches einsetzen. Sollte sich diese Lösung herauskristallisieren kommen noch eine ganze Menge weiterer Fragen auf euch zu...
   

2. Verwendet ihr Rendezvous/Bonjour/Zeroconf/avahi (also mDNS)?
   Hier stören mich (zumindest theoretisch) die Broadcasts, die mit mehr Rechnern immer mehr werden und das .local, das ich immer mit angeben muss, weil sich sonst mdns nicht zuständig fühlt. Außerdem hält Android offensichtlich nicht viel von mdns und gerade beim Smartphone wäre es angenehm, weil ich damit mpd steuern will.
   

3. Vergebt ihr statische Adressen und pflegt händisch die »/etc/hosts«?
   Wenn ja, verwendet ihr irgendwelche Hilfsmittel, damit ihr nicht durcheinanderkommt - ich habe nämlich, weil ich irrtümlich zwei Geräten dieselbe IP-Adresse gegeben habe (keine gute Idee), vor kurzem erfolglos versucht auf (b) umzusteigen...
   
   Momentan habe ich in der hosts Zeilen wie

   Code: Alles auswählen

   192.167.1.123	zeus.local	zeus
   

   wäre es eventuell sinnvoll die Spalte mit .local wegzulassen, damit die hosts, zB mit dem Notebook in fremden Netzwerken nicht mit mdns in Konfilkt geraten kann?

oder gibt es gar andere Herangehensweisen?

lg smutbert

[rendegast]

a) und c)
dnsmasq und entsprechende 'master'-Dateien.
Bei Doppelvergabe gibt dnsmasq beim Starten eigentlich eine Warnung.

[BenutzerGa4gooPh]

a) mit unbound auf Router/Firewall (PFSense). Unbound ist Resolver (also keine einfache DNS-Weiterleitung, fragt rekursiv ab)
b) nein
c) anders: für Drucker und "Managementstation" (ist auch bloß mein Arbeitslaptop ) "feste" Vergabe von IPs per MAC<->IP Reservation im DHCP-Server. Dann klappt auch die Sache mit der internen (Host-)Namensauflösung für feste IPs - alles hübsch zentral auf Router/FW mit DHCP, DNS (und GUI für schnelle Änderungen, Überblick).

[MSfree]

Macht das euer Router, mit einem DNS-Server, der die Auflösung von per DHCP gemeldeten Hosts übernimmt?

Ja, und zwar mit bind9 und isc-dhcpd.
Wobei bind9 schon eine kleine Herausforderung für Anfänger ist.
Für kleinere Setups mit nur einer lokalen Domain würde sich dnsmasq anbieten, das DNS und DHCP-Server vereint.

Verwendet ihr Rendezvous/Bonjour/Zeroconf/avahi (also mDNS)?

Nein.



Vergebt ihr statische Adressen und pflegt händisch die »/etc/hosts«?

Hosts fasse ich nicht mehr an, wozu gibts es DNS?

Statische IPs sind mit meiner o.g. Kombination nicht nötig, denn der isc-dhcp vergibt einem einmal angemeldeten Client bis in alle Ewigkeit immer die gleiche IP, so daß IPs letztlich sowieso quasi statisch sind. (Das macht dnsmasq allerdings auch). Davon abgesehen sind IPs eigentlich nur Schall und Rauch, viel wichtiger und viel leichter zu merken, sind die Hostnamen. Warum sollte ich mit mit ssh root@192.168.1.2 bei meinem Router anmelden, wenn ssh root@router so viel einfacher ist?

Es gibt natürlich ein paar Ausnahmen, wo statische IPs nötig sind. Einige zickige Netzwerkdrucker nutzen DHCP nur beim ersten Setup, danach nutzen sie die erhaltene IP ohne den DHCP jemals wieder zu befragen. Sicherheitshalber trage ich solche Kisten dann statisch ein.

Wenn ja, verwendet ihr irgendwelche Hilfsmittel, damit ihr nicht durcheinanderkommt

Mein Hilfsmittel heißt DHCP, das garantiert, daß keine doppelt vergebenen IPs entstehen. Der DHCP-Server pingt nämlich sicherheitshalber die IP-Adresse, die er vergeben möchte, vorher an. Kommt da eine Antwort, vergibt er eine andere. Ausserdem brauche ich mich dann nicht mehr im die IP-Adressen zu kümmern, die interessieren mich einfach überhaupt nicht mehr.

[sbruder]

Macht das euer Router, mit einem DNS-Server, der die Auflösung von per DHCP gemeldeten Hosts übernimmt?

Setup ist so: Fritz!Box macht DHCP und stellt DNS-Server bereit, announct über DHCP(v6) aber einen anderen DNS-Server. Dieser andere DNS-Server (dnsmasq) ist ein cache der alles mit Suffix .fritz.box an den DNS-Server der Fritz!Box anstatt die anderen Server weiterleitet.

Verwendet ihr Rendezvous/Bonjour/Zeroconf/avahi (also mDNS)?

Ja, es *soll* zumindest tun. Wirklich funktionieren kann man das nicht nennen, da ab und zu mal die Namensauflösung nicht funktioniert.

Vergebt ihr statische Adressen und pflegt händisch die »/etc/hosts«?

Statische Adressen vergebe ich bei meinen Clients, aber die trage ich dann in die hosts-Datei vom dnsmasq ein.

[smutbert]

Danke für eure Antworten.

Unternehmt ihr eigentlich bei möglicherweise nicht ganz vertrauenswürdigen Geräten, wie zB Hifi-Streaming-Clients oder Druckern irgendetwas, damit die keinen Unfug treiben können?

@sbruder

Statische Adressen vergebe ich bei meinen Clients, aber die trage ich dann in die hosts-Datei vom dnsmasq ein.

Warum lässt du die Adressen dann nicht vom DHCP-Server vergeben, damit du sie nur mehr an einer Stelle eintragen musst?

[MSfree]

Unternehmt ihr eigentlich bei möglicherweise nicht ganz vertrauenswürdigen Geräten, wie zB Hifi-Streaming-Clients oder Druckern irgendetwas, damit die keinen Unfug treiben können?

Geräten, denen ich nicht vertraue, bekommen bei mir keinen Netzwerkanschluß. Ich verzichte lieber auf einen vermeintlich "bequemen" Dienst, als daß ich solche Geräte ans Netz ließe.

Einen Drucker habe ich nicht mehr. Nachdem mein ehemaliger Drucker mit etwa 1500 Seiten auf dem Zählwerk innerhalb von 18 Jahren das zeitliche gesegnet hatte, war für mich klar, daß ich eigentlich keinen Drucker brauche.

[guennid]

Entschuldige die Zwischenfrage: Wie kann ein Drucker im Heimnetz Unfug treiben?

[smutbert]

Keine Ahnung, ob er das macht - theoretisch hätte er auf jeden Fall die Möglichkeit dazu - ich vermute es läuft irgendein Linux darauf und selbst wenn es ein anderes Betriebssystem ist, so weiß ich immer noch nicht, was die Software, die drauf läuft macht und selbst wenn ich dem Hersteller keine böse Absicht unterstelle, dann könnte es immer noch sein, dass irgendjemand mithilfe von Sicherheitslücken den Drucker meutert.
Immerhin hat es schon Botnetze aus Überwachungskameras [1] und DoS-Attacken von Routern [2] gegeben und ich habe den Verdacht, dass das nur die sichtbare Spitze eines Eisbergs ist. Jedenfalls ist der gedankliche Sprung zu Druckern oder Unterhaltungselektronik mit Netzwerkverbindung nicht mehr allzu groß.

Solange MSfree nicht gemeinsam mit mir einen Selbstversorgerbauernhof gründen will bleibe ich lieber beim Netzwerkdrucker und mache mir ein paar Gedanken, wie ich den Drucker unterstützen kann nur das zu tun, was er tun soll.


[1] http://www.golem.de/news/security-ein-b ... 17122.html
[2] https://www.heise.de/ct/ausgabe/2016-26 ... 53709.html

[MSfree]

Entschuldige die Zwischenfrage: Wie kann ein Drucker im Heimnetz Unfug treiben?

Och, erst vor kurzem hat HP ein Software"update" für seine Drucker zur Verfügung gestellt, das den Gebrauch von Fremdtinten bzw. Fremdtonern untersagt hat. Es gab einen ziemlichen Wirbel und HP ist 2 Wochen später zurückgerudert.

Deren Drucker laden automatisch Softwareupdates aus dem Internet. Und selbst, wenn man sich damit keine Malware auf den Drucker zieht, so ist es mindestens ärgerlich, wenn der Drucker plötzlich mit "Error-42" im Display streikt, und dem Benutzer die Ursache unbekannt bleibt. Schon alleine deshalb lohnt es sich, Geräten den Zugang in die große weite Welt zu untersagen.

[MSfree]

Solange MSfree nicht gemeinsam mit mir einen Selbstversorgerbauernhof gründen will

bleibe ich lieber beim Netzwerkdrucker und mache mir ein paar Gedanken, wie ich den Drucker unterstützen kann nur das zu tun, was er tun soll.

Eigentlich soll der ja wirklich nur für das interne Netz dienen. Cloudprinting halte ich z.B. für ziemlich entbehrlich, so daß es kein Problem sein sollte, den Zugang des Druckers auf das interne Netz per iptables zu beschränken.

[sbruder]

Warum lässt du die Adressen dann nicht vom DHCP-Server vergeben, damit du sie nur mehr an einer Stelle eintragen musst?

Ich habe bei der Fritzbox einigen Clients auch eine feste IP-Adresse per DHCP zugewiesen, nur meinem Server geb ich die dann schon per Hand ein. Der hat dann auch zusätzlich zur .fritz.box-Domain noch eine andere (die im Heimnetz aber nicht auf die öffentliche IPv4-Adresse sondern auf die interne zeigen soll). Das trage ich dann in den dnsmasq ein.
Vielleicht habe ich mich auch ungünstig ausgedrückt: Meine Clients ≠ alle Clients im Netzwerk. Meine Clients = Clients auf die ich vollen Zugriff habe (sowohl Hardware- als auch Softwaretechnisch). In meinem Netzwerk sind noch einige andere Clients, die ich nicht immer statisch konfigurieren will (gehören dann auch nicht mir) und die bekommen eine IP-Adresse über DHCP.
Der dnsmasq soll eigentlich auch DHCP machen, aber dann grätschen sich einige Samsung-Clients weg. Steht noch auf meiner TODO-Liste, mir das anzuschauen.

[smutbert]

Danke, nocheinmal.
Meine ersten Versuche sind fehlgeschlagen, aber ich denke das liegt auch daran, dass ich mir noch nicht sicher bin was ich will - bis es soweit ich ist, bleibe ich also bei meinen statischen Adressen und den in der /etc/hosts eingetragenen Namen.

[BenutzerGa4gooPh]

Entschuldige die Zwischenfrage: Wie kann ein Drucker im Heimnetz Unfug treiben?

Och, erst vor kurzem hat HP ein Software"update" für seine Drucker zur Verfügung gestellt, das den Gebrauch von Fremdtinten bzw. Fremdtonern untersagt hat. Es gab einen ziemlichen Wirbel und HP ist 2 Wochen später zurückgerudert.

Deren Drucker laden automatisch Softwareupdates aus dem Internet. Und selbst, wenn man sich damit keine Malware auf den Drucker zieht, so ist es mindestens ärgerlich, wenn der Drucker plötzlich mit "Error-42" im Display streikt, und dem Benutzer die Ursache unbekannt bleibt. Schon alleine deshalb lohnt es sich, Geräten den Zugang in die große weite Welt zu untersagen.

Ist ja gemein sowas. Dann hat man mit Fremdpatronen urplötzlich eine kryptische Fehlermeldung. Drucken/Kopieren ist manchmal eilig.

... bleibe ich lieber beim Netzwerkdrucker und mache mir ein paar Gedanken, wie ich den Drucker unterstützen kann nur das zu tun, was er tun soll.

dass ich mir noch nicht sicher bin was ich will - bis es soweit ich ist, bleibe ich also bei meinen statischen Adressen und den in der /etc/hosts eingetragenen Namen.

Warum nicht DHCP-IP-MAC-Reservation für Drucker und andere gewünschte Geräte auf einer Router-Firewall-Kombination? Auf feste Source-IPs kann man die Firewall gut "abrichten" und die Adressverwaltung bleibt hübsch zentral verwaltbar, Hostnamen werden automatisch per DHCP-DNS zentral aufgelöst. Bei erwünschten Upgrades deaktiviert man mal temporär die Verbotsregel für "Freigang". Router und Firewall, DNS und DHCP sind oft in einem Gerät machbar. U. U. auch mit WLAN kombiniert. OpenWrt oder OPNSense/PFSense oder preiswerte Mikrotik-Geraete (lettischer Hersteller) bieten sich an. http://wiki.mikrotik.com/wiki/Main_Page und https://routerboard.com
Raspis/Banana-PIs, wenn man nicht so hohe Performance-Ansprueche hat.
Oder: https://www.administrator.de/wissen/pre ... 49915.html

(Ich mache hier keine Werbung, Mikrotik-Geraete sind recht unbekannt, preiswert und jede Menge Features, angeblich mit Cisco vergleichbar. Preis und Performance/Stromverbrauch für SOHO-Einsatz angemessen. Kennengelernt durch viele Beiträge in http://www.administrator.de)

[MSfree]

Ist ja gemein sowas. Dann hat man mit Fremdpatronen urplötzlich eine kryptische Fehlermeldung. Drucken/Kopieren ist manchmal eilig.

Tja, wenn der Drucker mal wieder spinnt, könnte die Ursache auch der Hersteller sein:

https://www.heise.de/newsticker/meldung ... 30374.html

[guennid]

selbst wenn es ein anderes Betriebssystem ist, so weiß ich immer noch nicht, was die Software, die drauf läuft, macht und selbst wenn ich dem Hersteller keine böse Absicht unterstelle, dann könnte es immer noch sein, dass irgend jemand mithilfe von Sicherheitslücken den Drucker meutert.

Gemeint ist wahrscheinlich "entert" anstelle von "meutert". Ansonsten Danke für die Anregung! Ich habe auch so'n Teil.

[smutbert]

Um den trojanischen oder geenterten oder meuternden Drucker ist es mir weniger gegangen als um den grundsätzlichen Gedanken wenig Angriffsfläche zu bieten, aber trotzdem danke für den Hinweis