Kurzer Ausflug: Wie funktioniert ein DNS Server?

Immer wenn wir eine Webseite ansurfen, brauchen wir einen DNS Server. Wollen wir z.b. google.de im Browser aufrufen, wird der Browser bevor er los surfen kann erst einen DNS Server nach der IP Adresse hinter „google.de“ fragen. Der DNS Server agiert als „Telefonbuch“ und nennt dem Browser die entsprechende IP Adresse, welche nun aufgerufen wird.

Was hat das mit Werbeblockern zu tun?

Pi-Hole hat eine White- und eine Blacklist. Die Listen werden automatisch gepflegt, können jedoch auch angepasst werden. Versucht der Browser eine Domain eines bekannten Werbenetzwerks aufzurufen, erkennt Pi-Hole das anhand der Einträge in der Blacklist und liefert nicht die richtige IP zurück sondern die eigene. Ergebnis: Die Werbung wird nicht geladen, stattdessen wird ein Hinweismeldung eingeblendet.

Installation

Pi-Hole lässt sich recht einfach installieren:

curl -sSL https://install.pi-hole.net | bash

Die Installation ist selbsterklärend und nach wenigen Schritten erledigt. Wichtig: Am Schluss der Installation wird das Passwort für den Adminbereich angezeigt, dieses notieren wir uns.

Ist die Installation abgeschlossen, sollte Pi Hole bereits einsatzbereit sein. Um den neuen DNS Server zu nutzen, muss er bei den Clients eingetragen werden. Das kann man entweder per Hand oder über einen DHCP Server machen.

Probleme

Ich hatte noch zwei Herausforderungen zu lösen:

1. Setze ich bereits einen DNS Server ein, der auf dem Raspberry Pi läuft. Diesen Server wollte ich nicht abschalten, daher habe ich Pi-Hole als weiteren DNS installiert. Nach der Installation muss der Port von DNSMSQ (diesen Dienst nutzt der Pi-Hole als DNS Server) geändert werden. Dies ist in der Datei /etc/dnsmaq.conf möglich. Danach den Dienst neustarten.
2. Da ich bereits einen DNS Server nutze, habe ich Pi-Hole dort als Forwarded DNS eingetragen.
3. Pi Hole installiert als Webserver lighttpd welcher auf Port 80 gebunden wird. Dieser Port war bereits bei mir vergeben. Um den Port zu ändern einfach folgende Datei bearbeiten: /etc/lighttpd/conf-available.

Ein Nameserver ist im Grunde nur ein kleiner Dienst der einer IP Adresse einen Namen zu ordnet. Das gesamte Internet basiert auf Nameservern. Gibt man „google.de“ in die Adressleiste des Browsers ein, ist einer der ersten Schritte des Browsers einen Nameserver zu fragen welche IP Adresse hinter dieser Domain steht. Die Domainnamen werden also nur für uns Menschen gebraucht, da sie leichter lesbar sind.

Warum sollte man sich einen eigenen Nameserver auf einem Raspberry Pi installieren wollen?

Die Antworten dazu können vielseitig sein:

• Ein lokaler Nameserver erhöht die Zugriffszeiten, da ein im Internet erreichbarer Nameserver weiter entfernt ist
• Ein lokaler Nameserver kann von allen PCs, Handys, Konsolen etc im Netzwerk geteilt werden. Durch das Caching wird so eine Anfrage von „google.de“ von einem PC auch bei einem anderen PC deutlich schneller aus dem Cache des Nameservers beantwortet, da dieser die IP dazu bereits kennt.
• Ein lokaler Nameserver bietet die Möglichkeit auch im eigenen Netzwerk feste Namen zu vergeben. So kann man einen PC z.b. statt mit der IP Adresse auch mit dem Namen aufrufen.
• Ein lokaler Nameserver bietet die Möglichkeit einer lokalen IP Adresse einen PTR Eintrag hinzuzufügen (auch rDNS genannt).

Wie installiert man einen lokalen Nameserver?

Wir nutzen einen sehr verbreiteten Nameserver, bind9. Dieser lässt sich leicht installieren:

sudo apt-get install bind9

Wie wird der Nameserver konfiguriert?

Wir gehen davon aus das unser Raspberry Pi folgende feste IP Adresse hat 192.168.15.4 und wollen als Domain „.lan“ vergeben.

Folgende 4 Dateien müssen angepasst werden:

/etc/bind/db.lan (neu anlegen)

; BIND data file for domain lan
;
$TTL    604800

@       IN      SOA     ns.lan. root.localhost. (
                     2015121701         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;

@       IN      NS      ns.lan.
@       IN      A       192.168.15.4


ns              IN      A       192.168.15.4
localhost       IN      A       127.0.0.1
fritzbox        IN      A       192.168.15.1
pc1             IN      A       192.168.15.2
pc2             IN      A       192.168.15.3

/etc/bind/.db.15.168.192 (neu anlegen)

; BIND reverse data file for 178.168.192.in-addr.arpa
;
$TTL    604800

@       IN      SOA     ns.lan. root.localhost. (
                     2015121701         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;

@       IN      NS      ns.lan.
4       IN      PTR     rpi.lan.
1       IN      PTR     fritzbox.lan.
2       IN      PTR     pc1.lan.
3       IN      PTR     pc2.lan.

/etc/bind/named.conf.local

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "lan" {
        type master;
        file "/etc/bind/db.lan";
};

 zone "15.168.192.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/db.15.168.192";
};

/etc/bind/named.conf.options

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113 

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================

        dnssec-validation auto;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Wie wird der Nameserver verwendet?

Die Installation und Konfiguration ist nun abgeschlossen. Es ist wichtig das der Nameserver eine feste IP hat, sonst kann er von anderen Systemen nicht gefunden werden.

1. Um den Nameserver nun zu nutzen muss er noch in allen Geräten eingetragen werden. Das kann man über feste Einträge auf den Geräten erreichen oder über einen DHCP Server, der die Nameserver IP an alle Geräte verteilt.

Ein Nameserver ist im Grunde nur ein kleiner Dienst der einer IP Adresse einen Namen zu ordnet. Das gesamte Internet basiert auf Nameservern. Gibt man „google.de“ in die Adressleiste des Browsers ein, ist einer der ersten Schritte des Browsers einen Nameserver zu fragen welche IP Adresse hinter dieser Domain steht. Die Domainnamen werden also nur für uns Menschen gebraucht, da sie leichter lesbar sind.

Warum sollte man sich einen eigenen Nameserver auf einem Raspberry Pi installieren wollen?

Die Antworten dazu können vielseitig sein:

• Ein lokaler Nameserver verringert die Zugriffszeiten beim surfen, da ein im Internet erreichbarer Nameserver weiter entfernt ist
• Ein lokaler Nameserver kann von allen PCs, Handys, Konsolen etc im Netzwerk geteilt werden. Durch das Caching wird so eine Anfrage von „google.de“ von einem PC auch bei einem anderen PC deutlich schneller aus dem Cache des Nameservers beantwortet, da dieser die IP dazu bereits kennt.
• Ein lokaler Nameserver bietet die Möglichkeit auch im eigenen Netzwerk feste Namen zu vergeben. So kann man einen PC z.b. statt mit der IP Adresse auch mit dem Namen aufrufen.
• Ein lokaler Nameserver bietet die Möglichkeit einer lokalen IP Adresse einen PTR Eintrag hinzuzufügen (auch rDNS genannt).

Wie installiert man einen lokalen Nameserver?

Wir nutzen einen sehr verbreiteten Nameserver, bind9. Dieser lässt sich leicht installieren:

sudo apt-get install bind9

Wie wird der Nameserver konfiguriert?

Wir gehen davon aus das unser Raspberry Pi folgende feste IP Adresse hat 192.168.15.4 und wollen als Domain „.lan“ vergeben.

Folgende 4 Dateien müssen angepasst werden:

/etc/bind/db.lan (neu anlegen)

; BIND data file for domain lan
;
$TTL    604800

@       IN      SOA     ns.lan. root.localhost. (
                     2015121701         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;

@       IN      NS      ns.lan.
@       IN      A       192.168.15.4


ns              IN      A       192.168.15.4
localhost       IN      A       127.0.0.1
fritzbox        IN      A       192.168.15.1
pc1             IN      A       192.168.15.2
pc2             IN      A       192.168.15.3

/etc/bind/.db.15.168.192 (neu anlegen)

; BIND reverse data file for 178.168.192.in-addr.arpa
;
$TTL    604800

@       IN      SOA     ns.lan. root.localhost. (
                     2015121701         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;

@       IN      NS      ns.lan.
4       IN      PTR     rpi.lan.
1       IN      PTR     fritzbox.lan.
2       IN      PTR     pc1.lan.
3       IN      PTR     pc2.lan.

/etc/bind/named.conf.local

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "lan" {
        type master;
        file "/etc/bind/db.lan";
};

 zone "15.168.192.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/db.15.168.192";
};

/etc/bind/named.conf.options

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113 

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================

        dnssec-validation auto;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Wie wird der Nameserver verwendet?

Die Installation und Konfiguration ist nun abgeschlossen. Es ist wichtig das der Nameserver eine feste IP hat, sonst kann er von anderen Systemen nicht gefunden werden.

Um den Nameserver nun zu nutzen muss er noch in allen Geräten eingetragen werden. Das kann man über feste Einträge auf den Geräten erreichen oder über einen DHCP Server, der die Nameserver IP an alle Geräte verteilt.