BIND для домена

poteh

Добрый день, коллеги.

PFSense 2.3.2_1. Установил пакет BIND чтобы обслуживать свою доменную зону. Прописал ns сервера у регистратора, но адрес так и не резолвится. Проверяю сервисом intodns.com - пишет "WARNING: One or more of your nameservers did not return any of your NS records. ERROR: One or more of your nameservers did not respond: The ones that did not respond are: мой_ip".
Я так понимаю, что запросы приходят к бинду, но тот говорит что ничего не знает про этот домен. Никак не пойму где и что не правильно прописал.

Привожу настройки:

Settings:
Enable BIND: [X]
IP Version: IPv4
Listen on: OPT1, loopback
Enable Notify: [ ]
Hide Version: [X] 
Linit Memory Use: 256M

ACLs:
Name: localnets
IP: 10.168.0.0/16

Name: Ext
IP: !localnets

Views: 
View Name: External
Recursion: No
match-clients: localhost, Ext

Zones:
Zone Type: Master
View: External
Reserse Zone: [ ]
IPv6 Reverse Zone: [ ]
TTL: 7200
Name Server: ns1.poteh.pp.ua
Base Domain IP: 83.220.254.35
Mail Admin Zone: admin.poteh.pp.ua
Serial: 2484132592
Refresh: 1d
Retry: 2h
Expire: 4w
Minimum: 1h
allow-query: localhost, Ext
allow-transfer: none
Zone Domain records:
Record: ns1; Type: A; IP adress: 83.220.254.35

werter

Доброе
А прохождение трафика извне на 53-ий порт разрешили?

poteh

конечно, 53 порт открыт, повесил на 127.0.0.1. доходило до паранойи, что помимо 53 другие порты хочет, открывал все порты - результат тот же.

werter

Скрины настроек bind , правил fw на ЛАН, WAN покажите.

Listen on: OPT1, loopback

Выберите временно все интерфейсы.

poteh

Добавил LAN в Listen On BIND'a. Привожу скрины настроек.

werter

Правила fw на LAN, OPT1 - в dest LAN address, OPT1 address (или This firewall), а не 127.0.0.1.  Правило для доступа к веб-фейсу на ОПТ1 аналогично поправьте (dest - OPT1 address)
И для DNS исп. оба протокола - tcp + udp. Поправьте.

poteh

@werter:

Правила fw на LAN, OPT1 - в dest LAN address, OPT1 address (или This firewall), а не 127.0.0.1.  Правило для доступа к веб-фейсу на ОПТ1 аналогично поправьте (dest - OPT1 address)

Не уверен что понял правильно… Для 53 порта исправил правило, в качестве dest указал This Firewall. Но для 80 порта настроен port forwarding, где dest - opt1 adress. Сейчас, как временная мера, он направляет на сам файрвол, но в дальнейшем будет перенаправлять на другую машину в сети.

@werter:

И для DNS исп. оба протокола - tcp + udp. Поправьте.

Поправил, но не зажило.

PbIXTOP

Читал и не увидел главного, а отключили ли вы втроенные DNS сервера pfSense'a? DNS Resolver и DNS Forwader.
И чем вас не устроило создание зоны на основе встроенных DNS серверов?

poteh

DNS Resolver отключён, DNS Forwader включён, но слушает только LAN.
А разве встроенные DNS сервера не занимаются только тем, что форвардят DNS в локальную сеть? Или они могут держать свою DNS зону? Переопределить зону на другой ип вижу, можно. К тому же ни в DNS Resolver, ни в DNS Forwader не вижу указания master\slave и serial.
Для чистоты эксперимента отключил DNS Forwader, пока без изменений.

PbIXTOP

@poteh:

DNS Resolver отключён, DNS Forwader включён, но слушает только LAN.
А разве встроенные DNS сервера не занимаются только тем, что форвардят DNS в локальную сеть? Или они могут держать свою DNS зону? Переопределить зону на другой ип вижу, можно. К тому же ни в DNS Resolver, ни в DNS Forwader не вижу указания master\slave и serial.
Для чистоты эксперимента отключил DNS Forwader, пока без изменений.

Как не странно встроенные это умеют главное задаться вопросом.
Вот пример выдержки из MAN по dnsmasq

–auth-zone=<domain>[,<subnet>[/<prefix length="">][,<subnet>[/<prefix length="">]…..]]
    Define a DNS zone for which dnsmasq acts as authoritative server. Locally defined DNS records which are in the domain will be served. If subnet(s) are given, A and AAAA records must be in one of the specified subnets.

As alternative to directly specifying the subnets, it's possible to give the name of an interface, in which case the subnets implied by that interface's configured addresses and netmask/prefix-length are used; this is useful when using constructed DHCP ranges as the actual address is dynamic and not known when configuring dnsmasq. The interface addresses may be confined to only IPv6 addresses using <interface>/6 or to only IPv4 using <interface>/4. This is useful when an interface has dynamically determined global IPv6 addresses which should appear in the zone, but RFC1918 IPv4 addresses which should not. Interface-name and address-literal subnet specifications may be used freely in the same --auth-zone declaration.

The subnet(s) are also used to define in-addr.arpa and ip6.arpa domains which are served for reverse-DNS queries. If not specified, the prefix length defaults to 24 for IPv4 and 64 for IPv6. For IPv4 subnets, the prefix length should be have the value 8, 16 or 24 unless you are familiar with RFC 2317 and have arranged the in-addr.arpa delegation accordingly. Note that if no subnets are specified, then no reverse queries are answered.
--auth-soa=<serial>[,<hostmaster>[,<refresh>[,<retry>[,<expiry>]]]]
    Specify fields in the SOA record associated with authoritative zones. Note that this is optional, all the values are set to sane defaults.
–auth-sec-servers=<domain>[,<domain>[,<domain>…]]
    Specify any secondary servers for a zone for which dnsmasq is authoritative. These servers must be configured to get zone data from dnsmasq by zone transfer, and answer queries for the same authoritative zones as dnsmasq.
–auth-peer=<ip-address>[,<ip-address>[,<ip-address>…]]
    Specify the addresses of secondary servers which are allowed to initiate zone transfer (AXFR) requests for zones for which dnsmasq is authoritative. If this option is not given, then AXFR requests will be accepted from any secondary.</ip-address></ip-address></ip-address></domain></domain></domain></expiry></retry></refresh></hostmaster></serial></interface></interface></prefix></subnet></prefix></subnet></domain>

Ubound умеет приблизительно также — главное прочесть документацию.