Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides

    Scheduled Pinned Locked Moved Deutsch
    27 Posts 2 Posters 1.0k Views 1 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E Offline
      eagle61 @Bob.Dig
      last edited by eagle61

      @Bob.Dig

      Ich glaube das mache ich längst. Nutzt aber nichts.

      KEA DHCPv4 hat ein DHCP Static Mapping auf
      Hostname = DebianServerVM2
      IP Address = 192.168.0.2

      KEA DHCPv6 hat ein DHCPv6 Static Mapping auf
      Hostname = DebianServerVM2
      IPv6 Address = ::aaaa:bbbb:cccc:dddd

      Dennoch ergibt ein

      [2.8.1-RELEASE][admin@pfSense.localdomain]/root: nslookup nextcloud.meine.DnyDNS.de
      Server:		127.0.0.1
      Address:	127.0.0.1#53
      
      Non-authoritative answer:
      Name:	nextcloud.meine.DnyDNS.de
      Address: 2001:9876:6123:dc02:aaaa:bbbb:cccc:dddd
      

      Eine IPv4-Adresse kommt nicht zurück

      Das mit dem "DNS Resolution Behavior" der Firewall selbst umstellen auf "use remote DNS, ignore local" klappt übrigens mit m einer Config auch nicht.

      [2.8.1-RELEASE][admin@pfSense.localdomain]/root: nslookup nextcloud.meine.DnyDNS.de
      ;; communications error to 185.95.218.42#53: connection refused
      ;; communications error to 185.95.218.42#53: connection refused
      ;; communications error to 185.95.218.42#53: connection refused
      ;; communications error to 185.95.218.43#53: connection refused
      ;; communications error to 2a05:fc84::42#53: timed out
      ;; no servers could be reached
      

      Liegt daran, dass ich die DNS-Server der Digitalen Gesellschaft CH in den DNS Server Settings eingetragen habe und die hören nicht auf Port 53 sondern 853. Gut, das könnte ich ändern, allerdings nur ungern.

      Zu deinem Edit: "Enable early DNS registration" aktivieren ist bei mir nicht aktiv und unter Diagnostics/Tables gibt es für den Alias nur eine IPv6-Adresse

      Bob.DigB 2 Replies Last reply Reply Quote 0
      • Bob.DigB Offline
        Bob.Dig LAYER 8 @eagle61
        last edited by Bob.Dig

        @eagle61 Dein nslookup ist jetzt erst mal zweitrangig.

        Zu deinem letzten Satz, da sollten beide drin stehen. Also der Alias sollte nur aus "DebianServerVM2" bestehen, sonst nix. Die Firewall sollte weiterhin Unbound benutzen. Das DNS der Firewall zu ändern, sollte nur letztes Mittel sein.
        Also spiel noch mal am DHCPv4-Server rum, bis die Table beide Adressen enthält. Das sollte problemlos machbar sein.

        E 1 Reply Last reply Reply Quote 0
        • Bob.DigB Offline
          Bob.Dig LAYER 8 @eagle61
          last edited by

          @eagle61 said in DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides:

          die hören nicht auf Port 53 sondern 853

          Hab einen nslookup gegen deren IP-Adresse gemacht und sofort eine Antwort bekommen. Ich vermute daher, die hören auch auf Port 53.

          E 1 Reply Last reply Reply Quote 0
          • E Offline
            eagle61 @Bob.Dig
            last edited by

            Also der Alias sollte nur aus "DebianServerVM2" bestehen, sonst nix.

            So sieht er aus:
            Bildschirmfoto_2025-09-30_17-42-21.png

            Das Ergebnis ist dennoch nur:
            Bildschirmfoto_2025-09-30_17-45-01.png

            Sowohl in KEA DHCPv4 wie auch KEA DHCPv6 gibt es jeweils einen Eintrag DebianServerVM2 für die IPv4 wie auch die IPv6-Adresse.

            Bob.DigB 1 Reply Last reply Reply Quote 0
            • Bob.DigB Offline
              Bob.Dig LAYER 8 @eagle61
              last edited by Bob.Dig

              @eagle61 Was ich meinte is folgendes: Du machst eine Alias mit was auch immer für einem Namen. Als FQDN trägst Du dort nur "DebianServerVM2" ein, ohne Anführungszeichen. Es spricht aber nichts dagegen, den Alias auch "DebianServerVM2" zu nennen. Die Table zu diesem Alias sollte dann automatisch beide IP-Adressen enthalten. Manchmal dauert es etwas, bis das der Fall ist.

              Diesen Alias kannst Du nun in der Firewall-Regel benutzen. Denn das war ja dein eigentliches Problem, dass Du keinen Zugriff mehr von außen hattest, wenn Du den DNS-Override genutzt hast.

              1 Reply Last reply Reply Quote 0
              • E Offline
                eagle61 @Bob.Dig
                last edited by

                @Bob.Dig
                Öffentliche DNS-Resolver

                Sagt:

                Unsere redundanten Server sind über die folgenden beiden Wege konfigurierbar:
                
                    DoT: dns.digitale-gesellschaft.ch:853
                    DoH: https://dns.digitale-gesellschaft.ch/dns-query
                

                DoT = 853
                DoH = 443 (meine ich)

                Nutze DoT

                eagle61@hp-250-g6:~$ nslookup google.com 2a05:fc84::43
                ;; communications error to 2a05:fc84::43#53: connection refused
                ;; communications error to 2a05:fc84::43#53: connection refused
                ;; communications error to 2a05:fc84::43#53: connection refused
                ;; no servers could be reached
                
                eagle61@hp-250-g6:~$ nslookup google.com 185.95.218.43
                ;; communications error to 185.95.218.43#53: connection refused
                ;; communications error to 185.95.218.43#53: connection refused
                ;; communications error to 185.95.218.43#53: connection refused
                ;; no servers could be reached
                
                Bob.DigB 1 Reply Last reply Reply Quote 0
                • Bob.DigB Offline
                  Bob.Dig LAYER 8 @eagle61
                  last edited by Bob.Dig

                  @eagle61 Hast vermutlich recht, hab einen internen Port Forward für DNS am Laufen und vergessen gehabt. 😉

                  E 1 Reply Last reply Reply Quote 0
                  • E Offline
                    eagle61 @Bob.Dig
                    last edited by

                    @Bob.Dig

                    Ein

                    eagle61@hp-250-g6:~$ nslookup google.com 9.9.9.9
                    Server:		9.9.9.9
                    Address:	9.9.9.9#53
                    
                    Non-authoritative answer:
                    Name:	google.com
                    Address: 142.250.186.46
                    Name:	google.com
                    Address: 2a00:1450:4001:827::200e
                    

                    Klappt ja auch bei mir problemlos, nur eben nicht zu den Servern der dns.digitale-gesellschaft.ch

                    Bob.DigB 1 Reply Last reply Reply Quote 0
                    • Bob.DigB Offline
                      Bob.Dig LAYER 8 @eagle61
                      last edited by

                      @eagle61 Denke, wir können jetzt wieder am Alias arbeiten.

                      E 1 Reply Last reply Reply Quote 0
                      • E Offline
                        eagle61 @Bob.Dig
                        last edited by

                        @Bob.Dig Ich bin glaub ich gerade Betriebsblind.

                        Wo außer Firewall -> Aliases kann ich denn noch einen Aliasnamen eintragen?

                        Bob.DigB 1 Reply Last reply Reply Quote 0
                        • Bob.DigB Offline
                          Bob.Dig LAYER 8 @eagle61
                          last edited by Bob.Dig

                          @eagle61 Das in gelb ist falsch.

                          Screenshot 2025-09-30 182843.png

                          Da soll ebenfalls DebianServerVM2 stehen.

                          E 1 Reply Last reply Reply Quote 0
                          • E Offline
                            eagle61 @Bob.Dig
                            last edited by

                            @Bob.Dig

                            Das geht nicht.

                            The following input errors were detected:
                            
                                An alias with this name already exists.
                                Alias value cannot be the same as the alias name: `DebianServerVM2 and DebianServerVM2`
                                There may be additional errors. Fix the noted problems and try again.
                            

                            Da muss entweder ein FQDN stehen oder eine IP-Adresse

                            Bob.DigB 1 Reply Last reply Reply Quote 0
                            • Bob.DigB Offline
                              Bob.Dig LAYER 8 @eagle61
                              last edited by Bob.Dig

                              @eagle61 said in DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides:

                              Da muss entweder ein FQDN stehen oder eine IP-Adresse

                              "Nope", aber anscheinend darf der Name des Aliases nicht identisch zu dessen Inhalt sein. Ich setze immer einen Buchstaben H davor, deswegen war mir das nicht bekannt. Also als Name z.B. HDebianServerVM2 und als Inhalt dann DebianServerVM2.

                              E 1 Reply Last reply Reply Quote 0
                              • E Offline
                                eagle61 @Bob.Dig
                                last edited by eagle61

                                @Bob.Dig
                                Nur dass ich nun, ohne den FQDN des DynDNS dort unter Alias nicht mehr vom WAN (Mobilfunknetz) auf meine Nextcloud komme ...

                                Bob.DigB 1 Reply Last reply Reply Quote 0
                                • Bob.DigB Offline
                                  Bob.Dig LAYER 8 @eagle61
                                  last edited by Bob.Dig

                                  @eagle61 Ich kann nicht folgen. Dieser Alias (also die Table) soll beide IP-Adressen enthalten (private IPv4 und öffentlicher IPv6), tut er das? Diesen Alias sollst Du in deiner Firewall Regel auf dem WAN verwenden. Den kannst Du auch in beiden Regeln verwenden (v4&v6).

                                  Von außen verwendest Du weiterhin deinen FQDN.

                                  E 1 Reply Last reply Reply Quote 0
                                  • E Offline
                                    eagle61 @Bob.Dig
                                    last edited by

                                    @Bob.Dig

                                    Dieser Alias (also die Table) soll beide IP-Adressen enthalten (private IPv4 und öffentlicher IPv6), tut er das?

                                    Nein. Da wird nix eingetragen in Diagnostics -> Tables ohne FQDN. Bleibt dann leer.

                                    Den Eintrag mit dem FQDN des DynDNS hatte ich gelöscht nu aber wieder hergesttelkt, weil auch keine zwei namengleichen Einträge zulässig sind.

                                    Also hatte Properties -> Name = HDebianServerVM2 und Host(s) -> IP or FQDN = DebianServerVM2 kein Eintrag unter Diagnostics -> Tables

                                    Zweimal Properties -> Name = DebianServerVM2 geht aber auch wieder nicht. Also einmal mit Host(s) -> IP or FQDN = HDebianServerVM2 und das andere Mal mit dem FQDN

                                    Bob.DigB 1 Reply Last reply Reply Quote 0
                                    • Bob.DigB Offline
                                      Bob.Dig LAYER 8 @eagle61
                                      last edited by

                                      @eagle61 said in DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides:

                                      Also hatte Properties -> Name = HDebianServerVM2 und Host(s) -> IP or FQDN = DebianServerVM2 kein Eintrag unter Diagnostics -> Tables

                                      Die kommen aber noch. Wenn nicht, mit den DHCP Servern rumspielen. Der Hostname muss aber jeweils DebianServerVM2 lauten. Und die Firewall muss weiterhin den Resolver nutzen, sonst geht es nicht. Kannst ja auch mal die Sense neustarten. So oder so, so hat es funktioniert und ich bin jetzt erst mal raus. Hoffe, dass es noch klappt. GL!

                                      E 1 Reply Last reply Reply Quote 0
                                      • E Offline
                                        eagle61 @Bob.Dig
                                        last edited by

                                        @Bob.Dig
                                        ich hätte dir gestern noch geantwortet. Aber konnte dann hier im Forum nichts mehr schreiben -> Forum war im Maintenance Mode

                                        Aktuell gibt es gerade bei meinem DynDNS-Anbieter ein Problem. Der hat zwar nach der Zwnagstrennung ein Update der IPv6-Adressen angenommen, aber diese werden derzeit nicht weitergegeben an die übergeordneten DNS-Server. Daher verweisen alle noch auf die alten IPv6-Adressen.

                                        Somit werde ich mit weiteren Änderungen warten bis das wieder läuft.

                                        Danke aber soweit für Deine Hilfe.

                                        Bob.DigB 1 Reply Last reply Reply Quote 0
                                        • Bob.DigB Offline
                                          Bob.Dig LAYER 8 @eagle61
                                          last edited by

                                          @eagle61 Eine andere Idee hätte ich auch noch. 😉
                                          Du könntest deinem Server einen zweiten DNS-Namen geben via DDNS. Dann benutzt Du den zweiten nur für die Firewall-Regel.
                                          Denn ich kann dir auch nicht sagen, ob meine Lösung mit KEA noch heute funktioniert, da ich mein IPv6-Engagement doch merklich zurückgefahren habe.

                                          E 1 Reply Last reply Reply Quote 0
                                          • E Offline
                                            eagle61 @Bob.Dig
                                            last edited by eagle61

                                            Moin @Bob.Dig,

                                            Also das grundproblem liegt m.E. an anderer Stelle, jedenfalls für IPv6. Einträge unter Services -> DHCP Serve0 -> DHCP Static Mappings (egal ob v6 oder v4) führen ja noch nicht dazu, dass ubound davon weiß und die IP-Adresse dem intern verwendeten Hostnamen und der Domain zuweisen kann.

                                            Im KEA (v6) kann ich dort einen EIntrag erstellen, wie

                                            ::aaa.bbbb.cccc.dddd
                                            

                                            Und der KEA ergänzt dann den Ipv6-Präfix zu einer vollständigen /128 IP-Adresse. Nur davon weiß eben unbound nix.

                                            Damit unbound davon weiß, also Hostnamen, Domain zur IP-Adresse auflösen kann, braucht es ja noch einen Eintrag unter Services -> DNS Resolver -> General Settings -> Host Overrides und dort sind Einträge wie

                                            ::aaa.bbbb.cccc.dddd
                                            

                                            zwar möglich führen aber zu einer falschen Auflösung des Hostnames. nämlich per nslookup dann auch nur zur IPv6 ::aaa.bbbb.cccc.dddd weil der IPv6-Präfix eben fehlt.

                                            Somit kann man so nur mit IPv4-Adressen arbeiten, wenn man einen täglich wechselnden Präfix hat, wie ich.

                                            Deswegen braucht es ja den Alias, der den vollständigen FQDN IMMER über einen übergeordneten DHCP-Server auflöst. Unbound kann das offenbar nicht und fragt dann immer an bei 8.8.8.8 / 9.9.9.9 oder was auch immer man da als übergeordnete Server verwendet.

                                            Trägt man in den Host Overrides aber auch den DynDNS FQDN für dessen IPv4-Adresse ein, wird nur der intern aufgelöst (IPv6 geht ja nicht) und gar keine externe Anfrage (an 8.8.8.8 oder 9.9.9.9)mehr gestellt. Denn jeder EIntrag in Host Overrides fürht auch zu einem analogen Eintrag in der /etc/hosts.

                                            Bob.DigB 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.