Ist es schlau eine interne DNS-Sub-Domain zu verwenden?
Wenn man z. B. die Domain cptarse.pl. öffentlich registriert hat, macht es dann Probleme, wenn man auf dem privaten DNS-Server eine Sub-Domain intern.cptarse.pl. (die verwendet nur IPs aus 10.0.0.0/8) einrichtet, unter der die ganzen Server sind, die sowieso niemand vom öffentlichen Internet direkt erreichen können soll... Und der öffentliche DNS-Eintrag www.cptarse.pl. wird durch ein Port Forwarding hinter die NAT zu www.intern.cptarse.pl. gelassen...
4 Antworten
Kann man problemlos machen, ergibt aber Sinn zur Unterscheidung intern Namen z.B an *.intern.cptarse.pl zu vergeben.
Nein, das ist völlig unproblematisch. Klar ist natürlich, dass die Systeme dann auch nur intern über den DNS Namen erreicht werden können, aber so wie ich das verstehe ist das ja auch gewollt. Das is absolutes Standardvorgehen für Dienste, die nur im Intranet vorhanden sind und gebraucht werden.
Der Nutzen davon wird begrenzt sein, auch gesehen, dass die lokalen Server sehr wahrscheinlich sowieso schon Hostnamen innerhalb der Domain des lokalen Netzes (z.B. .local oder .lan) erhalten. Generell machen hostnamen auch im lokalen Netz Sinn, da zugewiesene IP Adressen dynamisch sein können, und diese hostnamen mit der aktuellen dynamischen Adresse korrespondieren, also robuster gegenüber Adressänderungen sind. Den Sinn darin, eine Domain dafür zu verwenden, deren hostnamen auch im Internet aufgelöst werden können, sehe ich allerdings nicht, genauso wenig wie das Verwenden einer registrierten Domain dafür. Mit Ausnahme für solche Geräte, die aus Internet über Umleitung durch einen Tunnel bzw VPN und NAT erreichbar sein sollen - allerdings würden dann die hostnamen nicht zu deren lokalen IP-Adressen, sondern zu solchen aus einem Subnet der weiterleitenden Maschine aufgelöst werden.
die öffentlichen DNS Server wissen von den *.intern.cptarse.pl. Einträgen nichts...
Lokale Interfaces von einer ausschließlich lokalen Domain auflösen zu lassen erscheint mir sinnvoller, da damit auch keine Gefahr besteht, durcheinander zu werfen, welche Geräte namentlich aus Internet erreicht werden können und welche nicht.
Ob das "schlau" ist, lassen wir mal dahingestellt.
Man kann das aber natürlich machen, vorausgesetzt, man betreibt einen authoritative Nameserver im Internet (bitte googlen, das wird sonst zu ausufernd) und verweist mit einem CNAME Eintrag auf die dynamische Adresse des Homeservers. (die entsprechenden Portfreigaben müssen natürlich stimmen.)
Eine feste IP-Adresse beim Home-Netz tut es aber auch.
Eine weitere Methode kann darin bestehen, mit "Apache2-Proxy" auf das private Netz zu verweisen.
Das ganze sieht am Ende "hübsch" aus, ist aber nicht trivial.
ich meinte weniger die dynamische WAN IP...
sondern mehr die lokalen privaten IPs, die iwi in die Firmen-Domain eingegliedert sind...
Grundsätzlich ists möglich und mir würde auch nichts einfallen was dagegen sprechen würde.
Für die Domainauflösung ists an sich egal welcher Server den Request handhabt, so kann man zb auch einen isolierten DNS für Requests aus dem Internet und dem Intranet verwenden, was ein Sicherheitsvorteil sein kann.
ja... so machen wir es auch... ich dachte nur, dass es iwi Probleme geben könnte, wenn es im LAN Namen gibt, die es im WAN nicht gibt...