DNS override von einem Interface/LAN aus



  • Wir haben mehrere Netzwerke welche über die pfSense geroutet werden.
    Weitherhin ist auf allen Netzwerken der DNS Resolver aktiviert.

    Nun möchte ich das alle Anfragen aus einem bestimmten Netzwerk eine andere IP für die DNS bekommen als der Rest, ist so eine Einstellung möglich?

    Hintergrund:
    Ich müsste vom LAN1 über die WAN IP auf ein Portforwarding eines Servers in LAN2 zugreifen, was ja bekanntlich nicht geht. Die Lösung wäre jetzt einfach den DNS Namen auf die IP in LAN2 zu überschreiben, leider führt das zu anderen ungewollten Nebeneffekten, denn LAN3 soll für den DNS die WAN IP erhalten...

    Oder gibt es noch einen anderen Lösungsansatz den ich gerade nicht sehe?



  • @slu said in DNS override von einem Interface/LAN aus:

    Ich müsste vom LAN1 über die WAN IP auf ein Portforwarding eines Servers in LAN2 zugreifen, was ja bekanntlich nicht geht.

    Das lässt sich mit einem zusätzlichen Port Forwarding am LAN1 erreichen.
    Das kannst du auch für nur eine oder einige (Alias) Quell-IPs einrichten, falls das gefragt ist.



  • @viragomann said in DNS override von einem Interface/LAN aus:

    Das lässt sich mit einem zusätzlichen Port Forwarding am LAN1 erreichen.

    Ok das würde gehen, Problem ist aber immer noch das der DNS Name auf WAN zeigt und das sollter er auch für verschiedene Dinge.



  • Evtl. hab ich das mit dem DNS nicht klar beschrieben, ich suche eine Funktion die Clients im LAN1 IP1 für den FQDN zurück gibt und im LAN2 IP2.

    Der DNS Resolver müsste also schauen aus welchem LAN die Anfrage kommt.



  • @slu said in DNS override von einem Interface/LAN aus:

    Problem ist aber immer noch das der DNS Name auf WAN zeigt und das sollter er auch für verschiedene Dinge.

    Warum ist das ein Problem?

    Du richtest ein Portforwarding am LAN1 für Ziel = WAN address und den gewünschten Dients ein. Alle anderen Services (Ports) betrifft das nicht.

    @slu said in DNS override von einem Interface/LAN aus:

    Evtl. hab ich das mit dem DNS nicht klar beschrieben, ich suche eine Funktion die Clients im LAN1 IP1 für den FQDN zurück gibt und im LAN2 IP2.

    Die Sache mit dem Portforwarding erledigt das ja eben so gut und die Clients werden den Unterschied nicht merken.

    Der DNS Resolver müsste also schauen aus welchem LAN die Anfrage kommt.

    Eine solche Funktion kenne ich im Resolver nicht.



  • @viragomann said in DNS override von einem Interface/LAN aus:

    Die Sache mit dem Portforwarding erledigt das ja eben so gut und die Clients werden den Unterschied nicht merken.

    Problem ist nur das der DNS die WAN IP zurück liefert, dann bringt mit das Portforwarding doch nichts, oder stehe ich total auf dem Schlauch?

    Eine solche Funktion kenne ich im Resolver nicht.

    Ich fürchte die Funktion gibt es auch nicht.



  • @slu said in DNS override von einem Interface/LAN aus:

    Problem ist nur das der DNS die WAN IP zurück liefert

    Ja, es bekommen natürlich alle Clients vom DNS dieselbe IP, doch werden die aus dem einen Netz, für das keine extra Regel angelegt ist, auf die IP1 geleitet (vermutlich über NAT Reflection, anders geht es ja nicht), die Clients aus dem anderen Netz haben eine NAT-Regel und werden damit auf die IP2 geleitet, wenn sie die WAN-IP kontaktieren möchten.

    Voraussetzung ist aber, dass Quelle und Ziel (der NAT-Regel) in unterschiedlichen Netzwerksegmenten liegen. Aber so wie ich es verstanden habe, ist das ja gegeben. Wie du oben schreibst, Clients in LAN1 sollen auf einen Server in LAN2 geroutet werden.


  • Moderator

    Da bin ich ganz bei virago, sollte so wunderbar funktionieren. Auch wenn ich persönlich eh erstmal für alle Interfaces egal welchem die WAN IP generell im Resolver durch das eigentliche Ziel ersetzt hätte - spart unnötige Runden hin und her zur Firewall zum reverse proxying der Adresse UND sorgt für sinnvollere Logs.



  • So jetzt hab ich verstanden was Du meinst und ja es geht, da wäre ich nicht drauf gekommen.
    LAN1 Portforwarding -> WAN Portforwarding -> LAN2

    Schön ist es nicht aber der Traffic bleibt lokal und in absehbarer Zeit kann ich auch den DNS umstellen und bin damit das Forwarding "Problem" los.

    Vielen Dank für den Denkanstoß!



  • Warum nennst du Portforwarding ein Problem? Ich sehe es als nützliches Feature, bei IPv4 ein unumgängliches, aber auch in einer Laborumgebung oder bei speziellen Routing-Bedürfnissen sehr hilfreich.



  • @viragomann said in DNS override von einem Interface/LAN aus:

    Warum nennst du Portforwarding ein Problem?

    Hatte es extra in Anführungszeichen gesetzt, es war bezogen darauf das eine DNS Auflösung mit der richtigen IP schöner wäre als über zwei mal Portforwarding zu arbeiten.



  • @slu said in DNS override von einem Interface/LAN aus:

    Ich fürchte die Funktion gibt es auch nicht.

    Doch die gibt es, seit Version 1.6.0 unterstützt unbound "views". Siehe https://nlnetlabs.nl/documentation/unbound/unbound.conf