DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides
-
Ich glaube das mache ich längst. Nutzt aber nichts.
KEA DHCPv4 hat ein DHCP Static Mapping auf
Hostname = DebianServerVM2
IP Address = 192.168.0.2KEA DHCPv6 hat ein DHCPv6 Static Mapping auf
Hostname = DebianServerVM2
IPv6 Address = ::aaaa:bbbb:cccc:ddddDennoch ergibt ein
[2.8.1-RELEASE][admin@pfSense.localdomain]/root: nslookup nextcloud.meine.DnyDNS.de Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: nextcloud.meine.DnyDNS.de Address: 2001:9876:6123:dc02:aaaa:bbbb:cccc:ddddEine IPv4-Adresse kommt nicht zurück
Das mit dem "DNS Resolution Behavior" der Firewall selbst umstellen auf "use remote DNS, ignore local" klappt übrigens mit m einer Config auch nicht.
[2.8.1-RELEASE][admin@pfSense.localdomain]/root: nslookup nextcloud.meine.DnyDNS.de ;; communications error to 185.95.218.42#53: connection refused ;; communications error to 185.95.218.42#53: connection refused ;; communications error to 185.95.218.42#53: connection refused ;; communications error to 185.95.218.43#53: connection refused ;; communications error to 2a05:fc84::42#53: timed out ;; no servers could be reachedLiegt daran, dass ich die DNS-Server der Digitalen Gesellschaft CH in den DNS Server Settings eingetragen habe und die hören nicht auf Port 53 sondern 853. Gut, das könnte ich ändern, allerdings nur ungern.
Zu deinem Edit: "Enable early DNS registration" aktivieren ist bei mir nicht aktiv und unter Diagnostics/Tables gibt es für den Alias nur eine IPv6-Adresse
-
@eagle61 Dein nslookup ist jetzt erst mal zweitrangig.
Zu deinem letzten Satz, da sollten beide drin stehen. Also der Alias sollte nur aus "DebianServerVM2" bestehen, sonst nix. Die Firewall sollte weiterhin Unbound benutzen. Das DNS der Firewall zu ändern, sollte nur letztes Mittel sein.
Also spiel noch mal am DHCPv4-Server rum, bis die Table beide Adressen enthält. Das sollte problemlos machbar sein. -
@eagle61 said in DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides:
die hören nicht auf Port 53 sondern 853
Hab einen nslookup gegen deren IP-Adresse gemacht und sofort eine Antwort bekommen. Ich vermute daher, die hören auch auf Port 53.
-
Also der Alias sollte nur aus "DebianServerVM2" bestehen, sonst nix.
So sieht er aus:
Das Ergebnis ist dennoch nur:
Sowohl in KEA DHCPv4 wie auch KEA DHCPv6 gibt es jeweils einen Eintrag DebianServerVM2 für die IPv4 wie auch die IPv6-Adresse.
-
@eagle61 Was ich meinte is folgendes: Du machst eine Alias mit was auch immer für einem Namen. Als FQDN trägst Du dort nur "DebianServerVM2" ein, ohne Anführungszeichen. Es spricht aber nichts dagegen, den Alias auch "DebianServerVM2" zu nennen. Die Table zu diesem Alias sollte dann automatisch beide IP-Adressen enthalten. Manchmal dauert es etwas, bis das der Fall ist.
Diesen Alias kannst Du nun in der Firewall-Regel benutzen. Denn das war ja dein eigentliches Problem, dass Du keinen Zugriff mehr von außen hattest, wenn Du den DNS-Override genutzt hast.
-
@Bob.Dig
Öffentliche DNS-ResolverSagt:
Unsere redundanten Server sind über die folgenden beiden Wege konfigurierbar: DoT: dns.digitale-gesellschaft.ch:853 DoH: https://dns.digitale-gesellschaft.ch/dns-queryDoT = 853
DoH = 443 (meine ich)Nutze DoT
eagle61@hp-250-g6:~$ nslookup google.com 2a05:fc84::43 ;; communications error to 2a05:fc84::43#53: connection refused ;; communications error to 2a05:fc84::43#53: connection refused ;; communications error to 2a05:fc84::43#53: connection refused ;; no servers could be reached eagle61@hp-250-g6:~$ nslookup google.com 185.95.218.43 ;; communications error to 185.95.218.43#53: connection refused ;; communications error to 185.95.218.43#53: connection refused ;; communications error to 185.95.218.43#53: connection refused ;; no servers could be reached -
@eagle61 Hast vermutlich recht, hab einen internen Port Forward für DNS am Laufen und vergessen gehabt.
-
Ein
eagle61@hp-250-g6:~$ nslookup google.com 9.9.9.9 Server: 9.9.9.9 Address: 9.9.9.9#53 Non-authoritative answer: Name: google.com Address: 142.250.186.46 Name: google.com Address: 2a00:1450:4001:827::200eKlappt ja auch bei mir problemlos, nur eben nicht zu den Servern der dns.digitale-gesellschaft.ch
-
@eagle61 Denke, wir können jetzt wieder am Alias arbeiten.
-
@Bob.Dig Ich bin glaub ich gerade Betriebsblind.
Wo außer Firewall -> Aliases kann ich denn noch einen Aliasnamen eintragen?
-
-
Das geht nicht.
The following input errors were detected: An alias with this name already exists. Alias value cannot be the same as the alias name: `DebianServerVM2 and DebianServerVM2` There may be additional errors. Fix the noted problems and try again.Da muss entweder ein FQDN stehen oder eine IP-Adresse
-
@eagle61 said in DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides:
Da muss entweder ein FQDN stehen oder eine IP-Adresse
"Nope", aber anscheinend darf der Name des Aliases nicht identisch zu dessen Inhalt sein. Ich setze immer einen Buchstaben H davor, deswegen war mir das nicht bekannt. Also als Name z.B. HDebianServerVM2 und als Inhalt dann DebianServerVM2.
-
@Bob.Dig
Nur dass ich nun, ohne den FQDN des DynDNS dort unter Alias nicht mehr vom WAN (Mobilfunknetz) auf meine Nextcloud komme ... -
@eagle61 Ich kann nicht folgen. Dieser Alias (also die Table) soll beide IP-Adressen enthalten (private IPv4 und öffentlicher IPv6), tut er das? Diesen Alias sollst Du in deiner Firewall Regel auf dem WAN verwenden. Den kannst Du auch in beiden Regeln verwenden (v4&v6).
Von außen verwendest Du weiterhin deinen FQDN.
-
Dieser Alias (also die Table) soll beide IP-Adressen enthalten (private IPv4 und öffentlicher IPv6), tut er das?
Nein. Da wird nix eingetragen in Diagnostics -> Tables ohne FQDN. Bleibt dann leer.
Den Eintrag mit dem FQDN des DynDNS hatte ich gelöscht nu aber wieder hergesttelkt, weil auch keine zwei namengleichen Einträge zulässig sind.
Also hatte Properties -> Name = HDebianServerVM2 und Host(s) -> IP or FQDN = DebianServerVM2 kein Eintrag unter Diagnostics -> Tables
Zweimal Properties -> Name = DebianServerVM2 geht aber auch wieder nicht. Also einmal mit Host(s) -> IP or FQDN = HDebianServerVM2 und das andere Mal mit dem FQDN
-
@eagle61 said in DSLite / Firewall -> Aliases -> IP & Services -> DNS Resolver -> General Settings -> Host Overrides:
Also hatte Properties -> Name = HDebianServerVM2 und Host(s) -> IP or FQDN = DebianServerVM2 kein Eintrag unter Diagnostics -> Tables
Die kommen aber noch. Wenn nicht, mit den DHCP Servern rumspielen. Der Hostname muss aber jeweils DebianServerVM2 lauten. Und die Firewall muss weiterhin den Resolver nutzen, sonst geht es nicht. Kannst ja auch mal die Sense neustarten. So oder so, so hat es funktioniert und ich bin jetzt erst mal raus. Hoffe, dass es noch klappt. GL!
-
@Bob.Dig
ich hätte dir gestern noch geantwortet. Aber konnte dann hier im Forum nichts mehr schreiben -> Forum war im Maintenance ModeAktuell gibt es gerade bei meinem DynDNS-Anbieter ein Problem. Der hat zwar nach der Zwnagstrennung ein Update der IPv6-Adressen angenommen, aber diese werden derzeit nicht weitergegeben an die übergeordneten DNS-Server. Daher verweisen alle noch auf die alten IPv6-Adressen.
Somit werde ich mit weiteren Änderungen warten bis das wieder läuft.
Danke aber soweit für Deine Hilfe.
-
@eagle61 Eine andere Idee hätte ich auch noch.
Du könntest deinem Server einen zweiten DNS-Namen geben via DDNS. Dann benutzt Du den zweiten nur für die Firewall-Regel.
Denn ich kann dir auch nicht sagen, ob meine Lösung mit KEA noch heute funktioniert, da ich mein IPv6-Engagement doch merklich zurückgefahren habe. -
Moin @Bob.Dig,
Also das grundproblem liegt m.E. an anderer Stelle, jedenfalls für IPv6. Einträge unter Services -> DHCP Serve0 -> DHCP Static Mappings (egal ob v6 oder v4) führen ja noch nicht dazu, dass ubound davon weiß und die IP-Adresse dem intern verwendeten Hostnamen und der Domain zuweisen kann.
Im KEA (v6) kann ich dort einen EIntrag erstellen, wie
::aaa.bbbb.cccc.ddddUnd der KEA ergänzt dann den Ipv6-Präfix zu einer vollständigen /128 IP-Adresse. Nur davon weiß eben unbound nix.
Damit unbound davon weiß, also Hostnamen, Domain zur IP-Adresse auflösen kann, braucht es ja noch einen Eintrag unter Services -> DNS Resolver -> General Settings -> Host Overrides und dort sind Einträge wie
::aaa.bbbb.cccc.ddddzwar möglich führen aber zu einer falschen Auflösung des Hostnames. nämlich per nslookup dann auch nur zur IPv6 ::aaa.bbbb.cccc.dddd weil der IPv6-Präfix eben fehlt.
Somit kann man so nur mit IPv4-Adressen arbeiten, wenn man einen täglich wechselnden Präfix hat, wie ich.
Deswegen braucht es ja den Alias, der den vollständigen FQDN IMMER über einen übergeordneten DHCP-Server auflöst. Unbound kann das offenbar nicht und fragt dann immer an bei 8.8.8.8 / 9.9.9.9 oder was auch immer man da als übergeordnete Server verwendet.
Trägt man in den Host Overrides aber auch den DynDNS FQDN für dessen IPv4-Adresse ein, wird nur der intern aufgelöst (IPv6 geht ja nicht) und gar keine externe Anfrage (an 8.8.8.8 oder 9.9.9.9)mehr gestellt. Denn jeder EIntrag in Host Overrides fürht auch zu einem analogen Eintrag in der /etc/hosts.
