Minimaler Nameserver

[noiz]

Hallo!

Habe folgendes Problem.

Über openVPN wird auf einen Rootserver zugegriffen. Verschiedene Dienste auf dem Server sind an das tap-Interface von openVNP gebunden z.B. der Apache2. Die Clients (Alles WinXP-Maschinen) greifen auf die Serverdienste innerhalb des Tunnels über die VPN-IP des Servers zu. (10.0.0.1)

Ich möchte jetzt ganz gerne, dass man für den Zugriff auf den Server von einem der Clients keine IP-Adresse mehr benutzen muss sondern, dass eine Namensauflösung möglich ist. Die Client-Anzahl beträgt 10+X d.h. eine hosts-Datei auf jedem der Server zu pflegen ginge zwar gerade noch, ist aber wenig elegant. Gibt es einen Nameserver, der für kleine SOHO-Netzwerke ausreichend ist? Ich möchte nur um 1 Host aufzulösen nicht einen der mächtigen Netzwerk-Giganten, wie z.B. BIND bemühen. Auch soll sich der Konfigurationsumfang in Grenzen halten. Ansich ist es auch nur erforderlich, dass von den Clients aus der Server-Hostname aufgelöst wird, jedoch nicht die Hostnames der Clients untereinander, da die Client-to-Client-Kommunikation sich auf Windows-Freigaben beschränkt (Keiner der Clients bietet Server-Dienste an) und das löst sich auch schon ohne Nameserver sehr gut auf.

Für meine Lösung wäre es auch erforderlich, dass der Apache dazu befähigt wird Name-Based-Virtual-Hosts anzubieten. Ich habe nämlich noch keinen Weg gefunden, wie man bei einem Apache, der keinen FQDN hat V-Hosts nutzen kann - subdomain.10.0.0.1 geht auf jeden Fall schon mal nicht ;-) Ich vermute auch mal, dass diese Anforderung (VHosts) nicht mit hosts-Dateien auf den Clients zu lösen wäre oder?

Danke und Grüße sowie ein gutes neues Jahr!

Nico

[Joe User]

IIRC bringt busybox einen kleinen named mit, für Deinen Anwendungsbereich sollte dieser reichen.

[noiz]

Sorry. Deinen Tip kann ich jetzt leider nicht bestätigen, habe in Netz keine einzige Info dazu gefunden, dass in der busybox-binary ein nameserver sein soll.

EDIT:

Code: Select all

$ zcat /usr/share/man//man1/busybox.1.gz | grep dns > test


&        devfsd, df, dirname, dmesg, dnsd, dos2unix, dpkg, dpkg_deb, du,
.IP "fBdnsd      fR" 4
.IX Item "dnsd      "
dnsd       [fB-cfR config] [fB-tfR seconds] [fB-pfR port] [fB-ifR iface-ip] [fB-dfR]
/etc/nsswitch.conf, /lib/libnss_dns*, /lib/libnss_files*, and /lib/libresolv*)

aber

Code: Select all

$ busybox führt zu

...
[, [[, adjtimex, ar, arping, ash, awk, basename, bunzip2, busybox,
        bzcat, cal, cat, chgrp, chmod, chown, chroot, chvt, clear, cmp,
        cp, cpio, cut, date, dc, dd, deallocvt, df, dirname, dmesg, dos2unix,
        du, dumpkmap, dumpleases, echo, egrep, env, expr, false, fgrep,
        find, fold, free, ftpget, ftpput, getopt, grep, gunzip, gzip,
        head, hexdump, hostid, hostname, httpd, id, ifconfig, ip, ipaddr,
        ipcalc, iplink, iproute, iptunnel, kill, killall, klogd, last,
        length, ln, loadfont, loadkmap, logger, login, logname, logread,
        losetup, ls, md5sum, mkdir, mkfifo, mknod, mktemp, more, mount,
        mt, mv, nameif, nc, netstat, nslookup, od, openvt, patch, pidof,
        ping, ping6, printf, ps, pwd, rdate, readlink, realpath, renice,
        reset, rm, rmdir, route, rpm, rpm2cpio, run-parts, sed, setkeycodes,
        sh, sha1sum, sleep, sort, start-stop-daemon, strings, stty, swapoff,
        swapon, sync, syslogd, tail, tar, tee, telnet, telnetd, test,
        tftp, time, top, touch, tr, traceroute, true, tty, udhcpc, udhcpd,
        umount, uname, uncompress, uniq, unix2dos, unzip, uptime, usleep,
        uudecode, uuencode, vi, watch, watchdog, wc, wget, which, who,
        whoami, xargs, yes, zcat

Keine Spur von dnsd

[Anonymous]

Doch, der heisst bei Busybox aber dnsd

[noiz]

Dann hat mich mein altes löchriges Hirn getäuscht, sorry.

Kein Ding, komisch nur dass es in der Manpage zu finden ist, aber nicht im binary implementiert ist.

Jemand noch nen anderen Vorschlag?

[Joe User]

Dann musst Du busybox rekonfigurieren und rekompilieren.

[noiz]

Dann musst Du busybox rekonfigurieren und rekompilieren.

jupp auch schonm gefunden, wenn man die sourcen durchforstet findet sich auch eine dnsd.c

mal sehen wie weit ich damit komme. voraussetzung ist hier wieder, dass sich das ganze dann ausschließlich an das vpn-device binden lässt.

[Anonymous]

voraussetzung ist hier wieder, dass sich das ganze dann ausschließlich an das vpn-device binden lässt.

Das sollte aber mit dem Paramter -i funktionieren. Also dnsd -i <iface-ip>

[Roger Wilco]

Vielleicht gefällt dir ja auch dnsmasq, wobei dessen Featureliste evtl. sogar schon wieder zu umfangreich für dich sein könnte.

[flo]

... die Client-to-Client-Kommunikation sich auf Windows-Freigaben beschränkt (Keiner der Clients bietet Server-Dienste an) und das löst sich auch schon ohne Nameserver sehr gut auf.

Die Namensauflösung per SMB bzw. NetBIOS funktionieren per Winbind bzw. auf Windows WINS - peer to peer läuft das per Broadcasts ... das ist das hektische Flackern von Switches und einem Netz, das sonst nichts tut - Serverdienst ist die Windows-Freigabe aber allemal.

... keinen FQDN hat V-Hosts nutzen kann - subdomain.10.0.0.1 geht auf jeden Fall schon mal nicht ;-) Ich vermute auch mal, dass diese Anforderung (VHosts) nicht mit hosts-Dateien auf den Clients zu lösen wäre oder?

Doch - aber die Pflege der Host-Dateien ist eine Zumutung ;-) Wenn der zuständige Name auf die gewünschte IP aufgelöst wird, ist das schon die halbe Miete. Der Rest ist NamebasedVirtual Hosting, HTTP/1.1. Einen FQGN als ServerName in der Hauptkonfiguration musst Du nicht angeben - eine IP reicht vollkommen.

Um subdomain.10.0.0.1 als VirtualHost nutzen zu können, müsstest Du 1 als TDL im DNS anlegen - weiß nicht, ob das geht, sinnvoll ist es nicht - ich würde <vhost>.<hostname>.<domain>.<tld> benutzen. Aber es spräche auch nichts dagegen, die Adresse gleich in den richtigen Domaineintrag aufzunehmen und per deny from ... den Zugriff so zu regeln, daß nur VPN-IPs auf den virtuellen Host zugreifen können - leichter zu debuggen wäre das allemal.

[noiz]

Danke erst mal für die vielen Anregungen, werde mal sehen, welche Lösung mit am ehesten zusagt.

Grüße

Nico

[djcrackman]

Ad Bind und Netzwerkgigant: ist doch keine große Sache? Ein internes Netz zu managen ist da kein Drama. Das einzige was du machen müsstest: dir eine interne Domain überlegen. Zum Beispiel: intra.net oder int.net o.ä.. Dann ist das interne Auflösen kein Akt.

Im übrigen solltest du dir überlegen, ob du dir nicht einen WINS Server aufsetzt, dass würde sinnlosen Broadcast Traffic sparen.

[squize]

Ich habe mehrere OpenVPN RoadWarrior Setups laufen, die wunderbar mit dnsmasq funktionieren. DnsMasq kann viel, ist aber trotzdem sehr einfach zu konfigurieren. Die VPN-Clients bekommen den dnsmasq, der sich um die locale Domain ".lan" kümmert per Push-Option zugewiesen, was einwandfrei funktioniert.

Gruss

Marc