DNS Rebinding zulassen



  • Nabend.

    Haben hier letztens den Mailserver der Synology installiert. Die Clienten auf Handy und Tablett haben Zugriff auf den Server im mobilen Internet über eine eigene Domain . Leider nicht im Intranet per WLan. Ok, da greift der DNS Rebinding Check der pfsense. Die Funktion deaktivieren funktioniert nicht. Kann ich dafür vom  DNS Resolver die Option "private-domain =  "nutzen? Ein Versuch war nicht erfolgreich, das deaktivieren des DNS Rebinding Checks aber auch nicht. Wo hängt es ?

    Mike


  • Moderator

    https://doc.pfsense.org/index.php/DNS_Rebinding_Protections

    Laut hier ist das genau was du machen solltest. Unbound neustarten nicht vergessen.



  • Eigendlich schon, hatte```
    server:

    Ausrufungszeichen "" wurden nicht verwendet, wird in der unbound.conf ebenfalls nicht genutzt. Erstmal pennen.
    
    Zur Info, hier existiert ein Telekom DSL-Anschluss und nutze die DDNS mit einer Domain von Strato. Die IP wird  aufgelöst, die Abfagen aus dem mobilen Internet klappen ja.


  • Krieg es nicht zum laufen.  ???

    Ist im Grunde auch nicht tragisch, Mails vom Handy werden seltenst zu Hause gelesen. Zumal auf der pfsense in der letzten Zeit viel rumgehurt wurde, es wird Zeit für eine sauber Neuinstallation.


  • Moderator

    wenn es sich nur um eine IP/DNS Kombo handelt, kannst du die nicht einfach als Overwrite eintragen wenn intern eh alle Geräte den DNS der pfSense als Forwarder nutzen?



  • Könnte das nicht auch was mit NAT Refelction zu tun haben?
    Ist das ggf. nicht aktiv?



  • @JeGr:

    wenn es sich nur um eine IP/DNS Kombo handelt, kannst du die nicht einfach als Overwrite eintragen wenn intern eh alle Geräte den DNS der pfSense als Forwarder nutzen?

    Ja, das tun sie. Einen host override a la mailserver.domain.de habe ich mal gesetzt. Mit der Serveradresse mailserver.domain.de klappt es nur vom Intranet, mit domain.de nur von draußen.

    @flix87:

    Könnte das nicht auch was mit NAT Refelction zu tun haben?
    Ist das ggf. nicht aktiv?

    Ist nicht aktiv. Muss auch zugeben, nie gebraucht.  ;)


  • Moderator

    NAT Reflection wäre auch das andere Mittel, dann könnte man sich 2 DNS Geschichten sparen, ich setze aber persönlich lieber auf unterschiedliches DNS außen wie innen, um genau NAT Schweinereien ;) zu vermeiden.



  • Das mit den DNS Rebind Check lassen wir mal. Nach einer sauberen Neuinstallation funktioniert das deaktivieren des DNS Rebind Checks, und die Administration der pfsense von WAN aus.  >:(

    Korrektur: Die Rechner aus dem Intranet können das, von draussen kommt keiner auf die LogIn Seite.