[Resolvido] Dúvida BIND



  • Prezados,

    Fiz uma busca no fórum mas não consegui tirar minha dúvida. Estamos fazendo a migração do Bind configurado num debian para o Bind configurado no pfsense. No entanto, apesar de subir o serviço e não aparecer erros, as consultas não funcionaram, nem na rede interna, muito menos na externa. Analisando as configurações, surgiu uma dúvida que pode ser boba, mas como nunca configurei esse serviço, estou tendo dificuldades no entendimento.

    Eu tenho vários "Virtual Ips" configurados para vários sistemas. Muito deles, deverão ser acessíveis pelo público externo. Nas configurações do registro.br setei para dois IPs que apontam para o pfSense (que contem o BIND). O primeiro IP é da própria WAN, o outro criei um "Virtual IP" e vamos fazer uma DNS secundário (ainda não está ativo), mas tive que criar porque o registro.br exige 2 ips de DNS.

    Tenho 2 dúvidas:

    1. É interessante eu criar outro "Virtual IP" e setar como DNS primário ou posso deixar como está, apontando para o endereço da WAN?
    2. Na opção "Listen on" eu devo marcar somente a opção WAN e loopback ou devo marcar todos os "Virtual IPs" que apontam para sistemas que deverão ser acessíveis para o público externo?

    Desde já obrigado.



  • @natanrs:

    No entanto, apesar de subir o serviço e não aparecer erros, as consultas não funcionaram, nem na rede interna, muito menos na externa.

    Execute ele na console com parametro de debug e foreground para ver se ele não está reclamando de alguma coisa.

    @natanrs:

    1. É interessante eu criar outro "Virtual IP" e setar como DNS primário ou posso deixar como está, apontando para o endereço da WAN?

    Tanto faz. A escolha é sua. Se tiver ips suficientes, pode ser uma boa ideia separar ips de serviço e ips de navegação

    @natanrs:

    2. Na opção "Listen on" eu devo marcar somente a opção WAN e loopback ou devo marcar todos os "Virtual IPs" que apontam para sistemas que deverão ser acessíveis para o público externo?

    Ouça nas interfaces/ips que quer que seus clientes acessem. normalmente, os ips que você colocou no registro.br e um na lan para ser consultado internamente se tiver mais de uma view.



  • Obrigado pelas informações Marcello. Vou fazer novos testes.

    Abraço.



  • Continuo de com problemas. Não sei se estou fazendo correto.

    1. Configurei no pfSense dois "Virtuals IPs" para responderem pelo DNS1 e DNS2.
    2. Desabilitei o DNS Resolver, DNS forwarder e nas configurações de DNS em "System/General Setup" deixei apenas "127.0.0.1" no campo DNS Server 1.
    3. No BIND configurei dessa forma:

    3.1 Em Settings:
          - Listen on: marquei a opção DNS1, DNS2, LAN e Loopback;
          - Forwarder Configuration: marquei o checkbox e coloquei dois IPs do google (8.8.8.8;8.8.4.4;);
          - ACLs: none (0.0.0.0/32); interna (192.168.200.0/24 e 127.0.0.0/8); externa (!192.168.200.0/24 e !127.0.0.0/8);
          - Views: interna (recursion: yes; match-clients: interna; allow-recursion: interna); / externa (recursion: no; match-clients: externa; allow-recursion: externa);
          - Zones: meudominio.com.br (Zone Type: master; View: externa; Name Server: ns1.meudominio.com.br; allow-update: none; allow-query: externa; allow-transfer: none; setei alguns Domain records, incluindo ns1 e ns2.

    4. Tenho um domínio ".com.br" registrado. Mas opções de DNS, estão setados os servidores DNS do Registro.br. Tento alterá-los para "ns1.meudominio.com.br" e o IP virtual criado no pfsense mas recebo uma mensagem: Servidor DNS Master: Hostname inválido.

    No meu entendimento, eu deveria alterar os DNS do registro.br, apontando para os IPs criados no pfsense. E no pfsense, eu fazer os redirects para meus sistemas interno, com as devidas resoluções de nomes.

    Estou fazendo algo errado?



  • O problema com o BIND foi resolvido. Refiz toda a instalação e deu certo. Talvez foi algo que eu deixei de fazer. No entanto, estou com outro problema. A recomendação que vejo é colocar apenas "127.0.0.1" em DNS Server Settings. Porém, minha WAN não acessa a internet, apesar da LAN acessar normalmente. Só acessa quando eu adiciono um segundo endereço de DNS, da google por exemplo.

    Isso é normal? Posso deixar esse segundo endereço? E quais DNS vocês me recomendam que eu coloque, pois gostaria de colocar um brasileiro.



  • @natanrs:

    minha WAN não acessa a internet, apesar da LAN acessar normalmente

    Não entendi sua frase. você quis dizer que só consegue acessar hosts internos?

    @natanrs:

    A recomendação que vejo é colocar apenas "127.0.0.1" em DNS Server Settings

    Para testar se o serviço está ok e se as regras de acesso também estão ok, teste o dns a partir da sua estação de trabalho com o nslookup



  • Não entendi sua frase. você quis dizer que só consegue acessar hosts internos?

    Correto. Somente os hosts internos (LAN) acessam a internet normalmente. Se eu pingar para fora através da WAN, ou querer listar os pacotes ou atualizar o firewall eu não consigo, porque a WAN não tem conexão, é como se estivesse DOWN.

    Para testar se o serviço está ok e se as regras de acesso também estão ok, teste o dns a partir da sua estação de trabalho com o nslookup

    Aparentemente tudo ok. Ele me informa corretamente os endereços IPs dos dominios. Me mostra também corretamente os registros da minha zona interna do BIND.

    Agora mesmo eu adicionei 2 endereços de DNS em General Setup -> DNS Server Settings (208.67.222.222 e 208.67.220.220) do OPENDNS.

    Dessa forma minha WAN tem acesso a NET. No entanto, se eu deixar apenas o 127.0.0.1 ela perde acesso. E somente minha LAN fica normal.




  • Certo, entendi o que quis dizer.  Só pra esclarecer, a lan só chega na internet se passar pela wan, ou seja, você tem internet.

    A questão deve estar na resolução de nomes local. na console/ssh do firewall, digite:

    nslookup www.algumdominio.com.br 127.0.0.1

    e veja se traz algum erro ou se resolve o nome.



  • @marcelloc:

    Certo, entendi o que quis dizer.  Só pra esclarecer, a lan só chega na internet se passar pela wan, ou seja, você tem internet.

    Isso. Achei tão estranho a LAN acessar e a WAN nao que desativei a WAN temporariamente só para testar se a LAN iria acessar a net. E claro, não acessou.

    @marcelloc:

    A questão deve estar na resolução de nomes local. na console/ssh do firewall, digite:

    nslookup www.algumdominio.com.br 127.0.0.1

    e veja se traz algum erro ou se resolve o nome.

    Não resolve. Só acessa quando em coloco o IP da LAN.

    ![65656 copy.jpg](/public/imported_attachments/1/65656 copy.jpg)
    ![65656 copy.jpg_thumb](/public/imported_attachments/1/65656 copy.jpg_thumb)



  • O refused que está recebendo indica problema de configuração no bind. Pode estar faltando incluir o 127.0 ou localnet na lista de ips que podem fazer busca recursiva



  • @marcelloc:

    O refused que está recebendo indica problema de configuração no bind. Pode estar faltando incluir o 127.0 ou localnet na lista de ips que podem fazer busca recursiva

    Marcello,

    Quando reconfigurei o pacote, por falta de atenção, não inclui o 127.0.0.0/8 na ACL interna. Isso causou o problema.

    O que seria desse fórum sem vossa excelência. Mais uma vez obrigado. Problema resolvido.