{"id":381,"date":"2008-07-24T13:12:37","date_gmt":"2008-07-24T11:12:37","guid":{"rendered":"http:\/\/security-planet.de\/?p=381"},"modified":"2008-07-24T13:12:37","modified_gmt":"2008-07-24T11:12:37","slug":"konfiguration-eines-dns-servers-im-cisco-ios","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2008\/07\/24\/konfiguration-eines-dns-servers-im-cisco-ios\/","title":{"rendered":"Konfiguration eines DNS-Servers im Cisco IOS"},"content":{"rendered":"

In meinem Heim-Netz stehen im Moment ein paar \u00c4nderungen an<\/a>, um einen PC-Server mit seinen diversen Diensten abzul\u00f6sen. Der erste Schritt war die Migration des DHCP-Servers auf einen Catalyst 3560. \u00dcber den DHCP-Server im IOS bzw. der ASA wurde aber vermutlich schon genug geschrieben.<\/p>\n

Der n\u00e4chste Schritt ist die Migration des Windows 2003 DNS-Servers auf meinen Internet-Router (im Moment ein Cisco 1841 mit IOS AdvSec. 12.4(20)T). Im IOS ist ein fast vollwertiger DNS-Server enthalten, dessen Konfiguration dem eines “richtigen” DNS-Servers sehr \u00e4hnlich ist. Alles was man in dem hervorragenden Buch “DNS and BIND<\/a>” gelernt hat, bleibt auch hier g\u00fcltig. Einschr\u00e4nkungen sind, da\u00df man im IOS keinen Zonentransfer machen kann, was f\u00fcr ein Heim-Netz aber verschmerzbar ist. Weiterhin funktionieren die Reverse-Lookup-Zonen nicht, das vermisse ich schon mehr.<\/p>\n

Eine kleine Basis-Konfiguration<\/strong> (der IOS DNS-Server kann noch deutlich mehr):<\/p>\n

Als erstes wird die Zone definiert:<\/p>\n

ip dns primary domain-name<\/em> soa primary-server-name mailbox-name<\/em> \n     [refresh-interval<\/em> [retry-interval<\/em> [expire-ttl<\/em> [minimum-ttl<\/em>]]]]<\/code><\/pre>\n
Im einfachsten Fall ist das also ein<\/p>\n
gw(config)#ip dns primary example.com soa ns.example.com admin.example.com<\/code><\/pre>\n
F\u00fcr die fehlenden Angaben werden vom Router automatisch Default-Werte eingetragen:<\/p>\n
gw(config)#do sh run | i ip dns\nip dns server\nip dns primary example.com soa ns.example.com admin.example.com 21600 900 7776000 86400<\/code><\/pre>\n
Die Zeile “ip dns server” wurde vom Router auch automatisch konfiguriert.<\/p>\n
Als n\u00e4chster Schritt wird dem Router noch ein eigener Domain-Name mitgegeben und die Ressourcen des Netzes werden definiert:<\/p>\n
gw(config)#ip domain-name example.com\ngw(config)#ip host gw.example.com 10.255.250.1\ngw(config)#ip host server.example.com 10.255.255.10\ngw(config)#ip host csamc.exampe.com 10.255.255.14\ngw(config)#ip host c3560.exampe.com 10.255.255.1\ngw(config)#ip host c2940.exampe.com 10.255.255.5<\/code><\/pre>\n
und so weiter und so fort. Ein Eintrag, der bei dem DNS-Server nicht zwingend ist, aber zu einer “sauberen” Konfiguration dazugeh\u00f6rt, ist,<\/p>\n
gw(config)#ip host example.com ns ns.example.com\ngw(config)#ip host ns.example.com 10.255.250.1<\/code><\/pre>\n
Genau so k\u00f6nnen bei Bedarf MX- und SRV-Records eingetragen werden.<\/p>\n
Wer in seinem Home-Netz redundante Server hat, kann nat\u00fcrlich auch mehrere Adressen f\u00fcr einen FQDN konfigurieren:<\/p>\n
gw(config)#ip host www.example.com 10.255.255.11 10.255.255.12<\/code><\/pre>\n
Als letzte Konfiguration muss daf\u00fcr gesorgt werden, da\u00df der Router auch Anfragen f\u00fcr fremde Domains zu einem Upstream-DNS-Server weiterleiten kann. Ich benutze vor meinem 1841 eine Fritzbox als DSL-Router, daher reicht ein einfacher name-server-Eintrag:<\/p>\n
gw(config)#ip name-server 192.168.178.1<\/code><\/pre>\n
Wenn der Router seine IP-Konfiguration per DHCP oder PPP bekommt, kann auch der gelernte DNS-Server verwendet werden:<\/p>\n
interface Dialer1\n ip address negotiated\n encapsulation ppp\n ppp ipcp dns request<\/code><\/pre>\n
\u00dcberpr\u00fcfen kann man die Konfiguration mit einem “show hosts”:<\/p>\n
gw#sh hosts\nDefault domain is example.com\nName\/address lookup uses domain service\nName servers are 192.168.178.1\n\nCodes: UN - unknown, EX - expired, OK - OK, ?? - revalidate\ntemp - temporary, perm - permanent\nNA - Not Applicable None - Not defined\n\nHost                      Port  Flags      Age Type   Address(es)\nexample.com               NA    (perm, OK)  0  NS       ns.example.com\nSOA      ns.example.com admin.example.com\n0 21600 900 7776000 86400\ngw.example.com            None  (perm, OK)  0   IP    10.255.250.1\nserver.example.com        None  (perm, OK)  0   IP    10.255.255.10\ncsamc.exampe.com          None  (perm, OK)  0   IP    10.255.255.14\nc3560.exampe.com          None  (perm, OK)  0   IP    10.255.255.1\nc2940.exampe.com          None  (perm, OK)  0   IP    10.255.255.5\nns.example.com            None  (perm, OK)  0   IP    10.255.250.1\nwww.example.com           None  (perm, OK)  0   IP    10.255.255.11\n10.255.255.12\nsecurity-planet.de        None  (temp, OK)  0   IP    88.198.206.211\ngw#<\/code><\/pre>\n
Der letzte Eintrag (security-planet.de) ist ein tempor\u00e4rer, den der Router \u00fcber seinen Upstream-DNS aufgel\u00f6st hat.<\/p>\n
Und hier komplett die relevante Konfiguration:<\/p>\n
hostname gw\n!\nip domain name example.com\nip host example.com ns ns.example.com\nip host gw.example.com 10.255.250.1\nip host server.example.com 10.255.255.10\nip host csamc.exampe.com 10.255.255.14\nip host c3560.exampe.com 10.255.255.1\nip host c2940.exampe.com 10.255.255.5\nip host ns.example.com 10.255.250.1\nip host www.example.com 10.255.255.11 10.255.255.12\nip name-server 192.168.178.1\n!\nip dns server\nip dns primary example.com soa ns.example.com admin.example.com 21600 900 7776000 86400<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"
In meinem Heim-Netz stehen im Moment ein paar \u00c4nderungen an, um einen PC-Server mit seinen diversen Diensten abzul\u00f6sen. Der erste Schritt war die Migration des DHCP-Servers auf einen Catalyst 3560. \u00dcber den DHCP-Server im IOS bzw. der ASA wurde aber vermutlich schon genug geschrieben. Der n\u00e4chste Schritt ist die Migration des Windows 2003 DNS-Servers auf <\/p>\n
continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5],"tags":[196,307,358],"class_list":["post-381","post","type-post","status-publish","format-standard","hentry","category-cisco","tag-dns","tag-ios","tag-konfiguration"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=381"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/381\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}