DNS Auflösung zu internen Nameserver



  • Hallo zusammen,

    ein Mailserver im LAN nutzt pfSense als Gateway und für die DNS Auflösung. Funktioniert alles problemlos für domainen, die auf public DNS servern liegen.

    Nun habe ich im LAN einen RBLDNSD (realtime DNS Blackliste) installiert. Führe ich ein nslookup unter explizierter Angabe des zur Auflösung zu verwendeten Server aus, funktioniert es wie erwartet:

    # nslookup 4.3.2.1.rbl.intern 192.168.130.191
    Server:         192.168.130.191
    Address:        192.168.130.191#53
    
    Name:   4.3.2.1.rbl.intern
    Address: 127.0.0.2
    

    In pfSense habe ich unter Dienste / DNS Auflösung / allgemeine Einstellungen folgendes hinterlegt:
    c9a1186c-428b-4e3b-9aed-f030e492b8bb-grafik.png

    unter expliziter Angabe des pfSense zur Auflösung erhalte ich dann:

    # nslookup 4.3.2.1.rbl.intern 192.168.130.254
    ;; connection timed out; no servers could be reached
    

    Prüfe ich das "manuell" auf pfSense nach, funktioniert es jedoch:
    86fe0454-69d7-4791-a620-4d40801077a7-grafik.png

    Warum funktioniert die Auflösung nicht, wenn es von einem Host aus dem LAN kommt?

    lg Frank



  • Der DNS Resolver löst standardmäßig nicht private Adressen auf.

    Füge in den erweiterten Optionen diese beiden Zeilen hinzu:

    server:
    private-domain: "rbl.intern"
    

    Die "server" Zeile ist nuf nötig, wenn du noch keine hast.
    Damit könnte es funktionieren.



  • @viragomann said in DNS Auflösung zu internen Nameserver:

    server:
    private-domain: "rbl.intern"

    Hat leider mit dem von Dir genannten Zusatz nicht funktioniert, getestet auf pfSense:

    nslookup 4.3.2.1.rbl.intern 
    
    Server:		193.98.112.238
    Address:	193.98.112.238#53
    
    ** server can't find 4.3.2.1.rbl.intern: NXDOMAIN
    
    nslookup 4.3.2.1.rbl.intern 192.168.130.254
    
    Server:		192.168.130.254
    Address:	192.168.130.254#53
    
    ** server can't find 4.3.2.1.rbl.intern: SERVFAIL
    

    DNS Rebinding ist übrigens deaktiviert.

    Hätte auch noch einen öffentlichen DNS Server laufen.

    lg Frank



  • @digidax
    Hast du in den Netzwerkschnittstellen für ankommende und ausgehende Abfragen "localhost" dabei?



  • Ahhhh Volltreffer: Bei den ausgehenden Schnittstellen hat localhost und LAN gefehlt. Das war bislang nicht aktiviert, da nur vom LAN ins WAN aufgelöst wurde. Habe bei den ausgehenden Schnittstellen localhost und LAN dazugenommen und siehe da, es funktioniert:

    ]# nslookup 4.3.2.1.rbl.intern
    Server:         192.168.130.254
    Address:        192.168.130.254#53
    
    Non-authoritative answer:
    Name:   4.3.2.1.rbl.intern
    Address: 127.0.0.2
    
    

    Vielen Dank für den Wink mit den Zaunpfahl.
    lg Frank



  • 👍

    Die o.g. private-domain Option sollte hier gar nicht nötig sein, weil der Server die Domain "intern" eh als solche erkennt. Habe ich erst gesehen.
    Das ist nur nötig, falls eine vermeintliche Public Domain auf eine private IP auflöst.


Log in to reply