beantwoord

Port forwarding voor DNS

  • 11 april 2018
  • 16 reacties
  • 593 keer bekeken

Ha allen,

Ik probeer al een tijdje port 53 te forwarden naar mijn interne DNS server, maar als ik queries stuur naar m'n externe IP krijg ik niks terug. In m'n modem heb ik een nieuwe applicatie gemaakt genaamd DNS met alle poorten op 53 (start-eind normale poort + start-eind mapping poort). Als ik intern queries verstuur naar m'n DNS server werkt 't wel gewoon. Doe ik iets verkeerd? Ik kan evt. ook wat screenshots maken mocht dat helpen.

Groetjes,
icon

Beste antwoord door Babylonia 12 april 2018, 16:59

Wat ik ermee wil bereiken is dat ik graag m'n eigen website zou willen hosten op m'n interne netwerk.
Daar heb je helemaal geen eigen interne DNS-server voor nodig.
Alleen een domeinnaam op je WAN IP-adres van je internetverbinding, met mogelijk een SSL certificaat op het domein. En de juiste port forwarders voor de poorten 80 en 443 naar je web-server.

Zo heb ik dat hier ook. Niet echt een actieve website, meer voor testdoeleinden, maar het werkt wel.
(Web-server op een Synology NAS DS415+)
Niet moeilijker maken dan nodig. (Zelf heb ik hier helemaal geen DNS-server geïnstalleerd).
Bekijk reactie

16 reacties

Reputatie 8
Welk type modem/router (Experia Box V8 of bijv. een V10)?
Heb je mogelijk nog extra routers (NAT achter NAT) in gebruik?
Het is een V10, en het is de enige router/modem in gebruik
Je kent deze how-to?
https://forum.telfort.nl/internet-267/uitleg-port-forwarding-instellen-op-een-experiabox-v10-69379
Ja die heb ik eerst gecheckt. Ik heb UPnP niet aanstaan maar ik heb m'n DNS server een vast IP gegeven waar het heen wordt geforward. (zowel in 't modem als op de host is 't IP hetzelfde, en m'n host heeft wel internet connectivity, dus daar kan het niet aan liggen)
Reputatie 8
Wat me nog niet helemaal duidelijk is.
Het vaste IP-adres voor de DNS-server, heb je in de V10 specifiek "DHCP-Binding" gebruikt voor het apparaat waar die DNS-server op draait? Of heb je dat vaste IP-adres ingesteld op dat apparaat zelf?

De V10 met een door KPN/Telfort aangepaste / uitgeklede firmware, met daarmee diverse beperkingen houdt zich niet altijd netjes aan gelden netwerkconventies.

Om Port Forwarding met de V10 goed te laten werken kun je het best de methode gebruiken om in de V10 vaste IP-adressen vast te leggen met "DHCP-Binding", en het apparaat waar de Port Forwarding naar toe gaat op IP-adres verkrijgen via DHCP te laten staan.

De menu's waar je "DHCP-Binding" instelt in de V10. (In dat voorbeeld voor een Chromecast):
https://forum.telfort.nl/randapparatuur-272/problemen-met-verbinding-en-chromecast-na-wissel-oude-modem-naar-v10-66817#post560128
Heb het inmiddels met DHCP-Binding ingesteld, maar nog steeds hetzelfde probleem. Volgens een online tool is de poort wel open, maar er komen geen queries doorheen
Reputatie 8
Als een port scanner een open poort geeft, ligt daar dus niet het probleem, want het wordt door de service die erachter zit (de DNS-server) opgepikt. Anders kreeg je niet een positieve respons.
Het zit hem eerder in de DNS-server zelf wat je daarin hebt ingesteld.
Maar ik vraag me af wat je met een DNS-server wilt bereiken?

Doorgaans wordt dat door gebruikers ingezet, als ze thuis een uitgebreid netwerk hebben met nogal wat apparaten erachter, en men elk apparaat hun eigen (plaatselijke) "domein" benaming eraan willen geven in het overzicht van alle apparatuur. Het wordt dan makkelijker onderling de netwerk-connecties tussen die apparaten te onderhouden. Door gebruik van namen in de plaats van LAN IP adressen.

Voor de conversie van externe website domeinnamen met WAN IP-nummers en andersom, is het voor thuisgebruik totaal niet interessant. Alleen bij dit soort gebruik heb je die poort 53 nodig als "port forward". Niet voor je interne netwerkstructuur.

Providers zullen dat bovendien ook niet appreciëren als je "voor de buitenwereld" een DSN-server gaat openstellen die in dat geval ook door andere gebruikers benaderd zou kunnen worden als "DNS-server" voor externe website domeinnamen met hun IP-adressen. Wordt jezelf een soort knooppunt van allerlei internetverkeer wat jou adres aandoet.
Wat ik ermee wil bereiken is dat ik graag m'n eigen website zou willen hosten op m'n interne netwerk. Ik snap inderdaad dat een open DNS server een beveiligingsrisico kan zijn (bijv. DNS Amplification attacks etc) maar hoe ik het zie wil ik eerst kijken of ik uberhaupt er queries doorheen kan krijgen voordat ik hem dicht timmer. Ik dacht zelf eraan om t.z.t. bijvoorbeeld alleen 8.8.8.8 queries naar m'n DNS server te laten kunnen versturen zodat ik er vrij zeker van kan zijn dat 't niet misbruikt wordt.
Reputatie 8
Badge +17
Wat ik ermee wil bereiken is dat ik graag m'n eigen website zou willen hosten op m'n interne netwerk. Ik snap inderdaad dat een open DNS server een beveiligingsrisico kan zijn (bijv. DNS Amplification attacks etc) maar hoe ik het zie wil ik eerst kijken of ik uberhaupt er queries doorheen kan krijgen voordat ik hem dicht timmer. Ik dacht zelf eraan om t.z.t. bijvoorbeeld alleen 8.8.8.8 queries naar m'n DNS server te laten kunnen versturen zodat ik er vrij zeker van kan zijn dat 't niet misbruikt wordt.Queries naar een DNS server kunnen van het héle Internet komen, dus "dichtspijkeren" heeft geen zin.
Je kan beter de DNS voor jouw domein bij je hoster kunnen laten staan en alleen het www (als voorbeeld!) record naar jouw IPadres laten verwijzen.
Fair enough, maar ik vraag me dan wel af waarom de hosting providers dan wel hun DNS servers goed kunnen beveiligen of is dit eigenlijk puur een kwestie van bandbreedte? Heb namelijk zelf de opvatting "Waarom zou je ervoor betalen als je het ook gratis zelf kan doen?" Ik snap ook wel dat 't registreren van een domeinnaam bijna niks kost, maar alsnog 🙂
Reputatie 8
Badge +17
het zelf hosten van een DNS is wel aan voorwaarden verbonden.
zoals bijvoorbeeld dat je 2 DNS server moet hebben die niet in hetzelfde subnet en/of LAN mogen staan.

Dat zou betekenen dat jij "ergens" (bij een kennis/vriend) een 2e DNS server moet plaatsen.

Bij domein hosters is dat meestal goed geregeld.

en bij een domein-registratie "krijg" je meestal ook een DNS mogelijkheid... (bij mijn hoster iig wel 😉 )
Bedankt voor je uitleg. Waarom is er dan een 2e DNS server nodig? Lijkt mij namelijk dat dat op failover neerkomt, of heb ik het fout?
Reputatie 8
Badge +17
klopt: 1 = geen...
Reputatie 8
Wat ik ermee wil bereiken is dat ik graag m'n eigen website zou willen hosten op m'n interne netwerk.
Daar heb je helemaal geen eigen interne DNS-server voor nodig.
Alleen een domeinnaam op je WAN IP-adres van je internetverbinding, met mogelijk een SSL certificaat op het domein. En de juiste port forwarders voor de poorten 80 en 443 naar je web-server.

Zo heb ik dat hier ook. Niet echt een actieve website, meer voor testdoeleinden, maar het werkt wel.
(Web-server op een Synology NAS DS415+)
Niet moeilijker maken dan nodig. (Zelf heb ik hier helemaal geen DNS-server geïnstalleerd).
Goed punt, denk dat ik dat dan maar ga doen.
Bedankt voor de hulp beiden 🙂
Reputatie 8
Voor meer info wat er dan eventueel moet worden ingesteld aan "A-records" e.d. bij een hostingprovider waar je het domein vastlegt, zie volgende reactie met schermbeelden (en de rest van de draad):
https://www.synology-forum.nl/ddns-extern-benaderen/kan-domeinnaam-niet-met-m'n-synology-ds213-verbinden/msg243179/#msg243179

Reageer