Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Resolvido] Dúvida BIND

    Scheduled Pinned Locked Moved Portuguese
    11 Posts 2 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      natanrs
      last edited by

      Prezados,

      Fiz uma busca no fórum mas não consegui tirar minha dúvida. Estamos fazendo a migração do Bind configurado num debian para o Bind configurado no pfsense. No entanto, apesar de subir o serviço e não aparecer erros, as consultas não funcionaram, nem na rede interna, muito menos na externa. Analisando as configurações, surgiu uma dúvida que pode ser boba, mas como nunca configurei esse serviço, estou tendo dificuldades no entendimento.

      Eu tenho vários "Virtual Ips" configurados para vários sistemas. Muito deles, deverão ser acessíveis pelo público externo. Nas configurações do registro.br setei para dois IPs que apontam para o pfSense (que contem o BIND). O primeiro IP é da própria WAN, o outro criei um "Virtual IP" e vamos fazer uma DNS secundário (ainda não está ativo), mas tive que criar porque o registro.br exige 2 ips de DNS.

      Tenho 2 dúvidas:

      1. É interessante eu criar outro "Virtual IP" e setar como DNS primário ou posso deixar como está, apontando para o endereço da WAN?
      2. Na opção "Listen on" eu devo marcar somente a opção WAN e loopback ou devo marcar todos os "Virtual IPs" que apontam para sistemas que deverão ser acessíveis para o público externo?

      Desde já obrigado.

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        @natanrs:

        No entanto, apesar de subir o serviço e não aparecer erros, as consultas não funcionaram, nem na rede interna, muito menos na externa.

        Execute ele na console com parametro de debug e foreground para ver se ele não está reclamando de alguma coisa.

        @natanrs:

        1. É interessante eu criar outro "Virtual IP" e setar como DNS primário ou posso deixar como está, apontando para o endereço da WAN?

        Tanto faz. A escolha é sua. Se tiver ips suficientes, pode ser uma boa ideia separar ips de serviço e ips de navegação

        @natanrs:

        2. Na opção "Listen on" eu devo marcar somente a opção WAN e loopback ou devo marcar todos os "Virtual IPs" que apontam para sistemas que deverão ser acessíveis para o público externo?

        Ouça nas interfaces/ips que quer que seus clientes acessem. normalmente, os ips que você colocou no registro.br e um na lan para ser consultado internamente se tiver mais de uma view.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • N
          natanrs
          last edited by

          Obrigado pelas informações Marcello. Vou fazer novos testes.

          Abraço.

          1 Reply Last reply Reply Quote 0
          • N
            natanrs
            last edited by

            Continuo de com problemas. Não sei se estou fazendo correto.

            1. Configurei no pfSense dois "Virtuals IPs" para responderem pelo DNS1 e DNS2.
            2. Desabilitei o DNS Resolver, DNS forwarder e nas configurações de DNS em "System/General Setup" deixei apenas "127.0.0.1" no campo DNS Server 1.
            3. No BIND configurei dessa forma:

            3.1 Em Settings:
                  - Listen on: marquei a opção DNS1, DNS2, LAN e Loopback;
                  - Forwarder Configuration: marquei o checkbox e coloquei dois IPs do google (8.8.8.8;8.8.4.4;);
                  - ACLs: none (0.0.0.0/32); interna (192.168.200.0/24 e 127.0.0.0/8); externa (!192.168.200.0/24 e !127.0.0.0/8);
                  - Views: interna (recursion: yes; match-clients: interna; allow-recursion: interna); / externa (recursion: no; match-clients: externa; allow-recursion: externa);
                  - Zones: meudominio.com.br (Zone Type: master; View: externa; Name Server: ns1.meudominio.com.br; allow-update: none; allow-query: externa; allow-transfer: none; setei alguns Domain records, incluindo ns1 e ns2.

            4. Tenho um domínio ".com.br" registrado. Mas opções de DNS, estão setados os servidores DNS do Registro.br. Tento alterá-los para "ns1.meudominio.com.br" e o IP virtual criado no pfsense mas recebo uma mensagem: Servidor DNS Master: Hostname inválido.

            No meu entendimento, eu deveria alterar os DNS do registro.br, apontando para os IPs criados no pfsense. E no pfsense, eu fazer os redirects para meus sistemas interno, com as devidas resoluções de nomes.

            Estou fazendo algo errado?

            1 Reply Last reply Reply Quote 0
            • N
              natanrs
              last edited by

              O problema com o BIND foi resolvido. Refiz toda a instalação e deu certo. Talvez foi algo que eu deixei de fazer. No entanto, estou com outro problema. A recomendação que vejo é colocar apenas "127.0.0.1" em DNS Server Settings. Porém, minha WAN não acessa a internet, apesar da LAN acessar normalmente. Só acessa quando eu adiciono um segundo endereço de DNS, da google por exemplo.

              Isso é normal? Posso deixar esse segundo endereço? E quais DNS vocês me recomendam que eu coloque, pois gostaria de colocar um brasileiro.

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                @natanrs:

                minha WAN não acessa a internet, apesar da LAN acessar normalmente

                Não entendi sua frase. você quis dizer que só consegue acessar hosts internos?

                @natanrs:

                A recomendação que vejo é colocar apenas "127.0.0.1" em DNS Server Settings

                Para testar se o serviço está ok e se as regras de acesso também estão ok, teste o dns a partir da sua estação de trabalho com o nslookup

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • N
                  natanrs
                  last edited by

                  Não entendi sua frase. você quis dizer que só consegue acessar hosts internos?

                  Correto. Somente os hosts internos (LAN) acessam a internet normalmente. Se eu pingar para fora através da WAN, ou querer listar os pacotes ou atualizar o firewall eu não consigo, porque a WAN não tem conexão, é como se estivesse DOWN.

                  Para testar se o serviço está ok e se as regras de acesso também estão ok, teste o dns a partir da sua estação de trabalho com o nslookup

                  Aparentemente tudo ok. Ele me informa corretamente os endereços IPs dos dominios. Me mostra também corretamente os registros da minha zona interna do BIND.

                  Agora mesmo eu adicionei 2 endereços de DNS em General Setup -> DNS Server Settings (208.67.222.222 e 208.67.220.220) do OPENDNS.

                  Dessa forma minha WAN tem acesso a NET. No entanto, se eu deixar apenas o 127.0.0.1 ela perde acesso. E somente minha LAN fica normal.

                  DNS.jpg
                  DNS.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    Certo, entendi o que quis dizer.  Só pra esclarecer, a lan só chega na internet se passar pela wan, ou seja, você tem internet.

                    A questão deve estar na resolução de nomes local. na console/ssh do firewall, digite:

                    nslookup www.algumdominio.com.br 127.0.0.1

                    e veja se traz algum erro ou se resolve o nome.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • N
                      natanrs
                      last edited by

                      @marcelloc:

                      Certo, entendi o que quis dizer.  Só pra esclarecer, a lan só chega na internet se passar pela wan, ou seja, você tem internet.

                      Isso. Achei tão estranho a LAN acessar e a WAN nao que desativei a WAN temporariamente só para testar se a LAN iria acessar a net. E claro, não acessou.

                      @marcelloc:

                      A questão deve estar na resolução de nomes local. na console/ssh do firewall, digite:

                      nslookup www.algumdominio.com.br 127.0.0.1

                      e veja se traz algum erro ou se resolve o nome.

                      Não resolve. Só acessa quando em coloco o IP da LAN.

                      ![65656 copy.jpg](/public/imported_attachments/1/65656 copy.jpg)
                      ![65656 copy.jpg_thumb](/public/imported_attachments/1/65656 copy.jpg_thumb)

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by

                        O refused que está recebendo indica problema de configuração no bind. Pode estar faltando incluir o 127.0 ou localnet na lista de ips que podem fazer busca recursiva

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • N
                          natanrs
                          last edited by

                          @marcelloc:

                          O refused que está recebendo indica problema de configuração no bind. Pode estar faltando incluir o 127.0 ou localnet na lista de ips que podem fazer busca recursiva

                          Marcello,

                          Quando reconfigurei o pacote, por falta de atenção, não inclui o 127.0.0.0/8 na ACL interna. Isso causou o problema.

                          O que seria desse fórum sem vossa excelência. Mais uma vez obrigado. Problema resolvido.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.