{"id":3695,"date":"2011-03-08T12:07:27","date_gmt":"2011-03-08T11:07:27","guid":{"rendered":"http:\/\/security-planet.de\/?p=3695"},"modified":"2011-03-08T12:07:27","modified_gmt":"2011-03-08T11:07:27","slug":"cisco-ios-dns-views","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2011\/03\/08\/cisco-ios-dns-views\/","title":{"rendered":"Cisco IOS: DNS-Views"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2008\/12\/router.png\" alt=\"\" title=\"router\" width=\"70\" height=\"49\" class=\"alignright size-full wp-image-643\" \/>Heute lese ich im<a href=\"http:\/\/blog.ipexpert.com\/2011\/03\/07\/dns-and-split-dns-on-ios\/\"> IPExpert-Blog \u00fcber DNS-Views<\/a> und sage mir, &#8220;Hey, dar\u00fcber habe ich doch auch gerade geschrieben&#8221;. Nun, geschrieben schon, aber noch nicht ver\u00f6ffentlicht, was ich hiermit nachhole:<\/p>\n<p>\u00dcber den <a href=\"http:\/\/security-planet.de\/2008\/07\/24\/konfiguration-eines-dns-servers-im-cisco-ios\/\">im IOS eingebauten DNS-Server<\/a> habe ich schon vor l\u00e4ngerer Zeit berichtet. Seit einiger Zeit (genauer gesagt seit IOS 12.4(9)T) unterst\u00fctzt das IOS auch sogenannte DNS-Views. Dabei werden die DNS-Anfragen in Abh\u00e4ngigkeit der angefragten Domains an unterschiedliche DNS-Server gesendet. Ich benutze das z.B. f\u00fcr Wartungszug\u00e4nge zu Kunden. Wenn eine Anfrage an server.firma1.local am DNS-Server ankommt, wird die Anfrage \u00fcber das Firma1-VPN weitergeleitet, bei allen anderen Anfragen aber an den DNS-Server des Providers.<\/p>\n<p>Die Konfiguration startet mit den DNS Name-Lists. In diesen werden per Regular Expression die Domain-Namen oder FQDNs beschrieben, f\u00fcr die eine abweichende Behandlung gew\u00fcnscht ist. In meinem Fall ist dies eine Namensaufl\u00f6sung durch einen anderen DNS-Server:<\/p>\n<pre>ip dns name-list 1 permit .firma.local<\/pre>\n<p>Als n\u00e4chstes werden die DNS-Views konfiguriert: <\/p>\n<pre>ip dns view FIRMA\n logging\n dns forwarder 10.11.12.13\n dns forwarding source-interface Vlan254\nip dns view default\n logging\n domain timeout 2\n dns forwarder 8.8.8.8<\/pre>\n<p>In meinem Beispiel gibt es eine dedizierte View FIRMA und eine optionale default-View.<br \/>\nIn der View FIRMA setze ich den zust\u00e4ndigen DNS-Server und die Source-Adresse der Anfrage, damit die Anfrage auch wirklich durch den VPN-Tunnel gesendet wird. Die Default-View verwendet den Google DNS-Server. F\u00fcr beide Views wird das Logging aktiviert. <\/p>\n<p>Die Verwendung der beiden Views muss als n\u00e4chstes aktiviert werden:<\/p>\n<pre>ip dns view-list DNS\n view FIRMA 10\n  restrict name-group 1\n view default 1000\n!\nip dns server view-group DNS\n<\/pre>\n<p>Die View-List mit dem Namen DNS spezifiziert, welche View f\u00fcr welche Domains verwendet werden soll. Die View FIRMA wird dabei nur f\u00fcr die Domains verwendet, die in der name-list 1 spezifiziert wurden. Die View default wird f\u00fcr den gesamten Rest verwendet. Die &#8220;10&#8221; und &#8220;1000&#8221; gibt dabei die Priorit\u00e4t der Eintr\u00e4ge in der List an.<br \/>\nDie View-List kann dann entweder Interface-basiert, oder global (wie in diesem Beispiel) angewendet werden.<\/p>\n<p>Durch das Logging kann man kontrollieren ob die Views verwendet werden:<\/p>\n<pre>Feb 20 19:41:34.213 CET: %DNS-6-LOG_ACCESS: DNS View default used for client 10.255.253.74\/1904, querying A 'time.apple.com'\nFeb 20 19:42:41.301 CET: %DNS-6-LOG_ACCESS: DNS View FIRMA used for client 10.255.250.2\/62733, querying AAAA 'www.firma.local'<\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Heute lese ich im IPExpert-Blog \u00fcber DNS-Views und sage mir, &#8220;Hey, dar\u00fcber habe ich doch auch gerade geschrieben&#8221;. Nun, geschrieben schon, aber noch nicht ver\u00f6ffentlicht, was ich hiermit nachhole: \u00dcber den im IOS eingebauten DNS-Server habe ich schon vor l\u00e4ngerer Zeit berichtet. Seit einiger Zeit (genauer gesagt seit IOS 12.4(9)T) unterst\u00fctzt das IOS auch sogenannte <\/p>\n<div class=\"read-more-text\"><a href=\"https:\/\/cyber-fi.net\/index.php\/2011\/03\/08\/cisco-ios-dns-views\/\" class=\"read-more\">continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5],"tags":[196,307,358],"class_list":["post-3695","post","type-post","status-publish","format-standard","hentry","category-cisco","tag-dns","tag-ios","tag-konfiguration"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=3695"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3695\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=3695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=3695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=3695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}