Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Fehlerhafte reverse Auflösung aus Richtung WAN

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 2 Posters 720 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • altmetallerA
      altmetaller
      last edited by

      Hallo,

      ich teste gerade eine pfSense in einer VM, die wie folgt konfiguriert ist:

      • WAN: 192.168.3.2/24
      • LAN: 192.168.100.1/24
      • OPT: 192.168.200.1/24

      Dabei soll die pfsense auch als DNS-Server für die jeweiligen Zonen "herhalten", so dass ich im DNS-Resolver folgende Host Overrides vorgenommen habe:

      • 192.168.3.2 pfsense.test.mitte
      • 192.168.100.1 pfsense.test.links
      • 192.168.200.1 pfsense.test.rechts

      Wenn ich einen nslookup auf die Hostnamen mache, bekomme ich immer die korrekten IP-Adressen geliefert.

      Wenn ich jedoch rückwärts anfrage, erhalte ich folgendes Ergebnis:

      • 192.168.3.2 wird korrekt auf pfsense.test.mitte aufgelöst
      • 192.168.200.1 wird korrekt auf pfsense.test.rechts aufgelöst
      • 192.168.100.1 wird falsch aufgelöst: Statt pfsense.test.links erhalte ich pfsense.test.mitte (also den Hostnamen der WAN-Schnittstelle)

      Der Fehler scheint direkt in der Firewall zu stecken. Das nslookup Utility vom Webinterface der pfSense liefert den gleichen Fehler.

      Hat jemand eine Idee, wo man den Fehler (noch) suchen könnte? Oder ist das irgend eine Eigenart vom DNS Resolver?

      Gruß,
      Jörg

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @altmetaller
        last edited by

        @altmetaller Wie ist das denn im Resolver konfiguriert? Kannst du das bitte zeigen?

        Ich würde zudem bei solchen Tests immer ".test" als TLD haben (also pfsense.mitte.test statt test.mitte), da .test überall eindeutig definiert ist als local test authority die es nicht zu routen gilt, alles andere nicht.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        altmetallerA 1 Reply Last reply Reply Quote 0
        • altmetallerA
          altmetaller @JeGr
          last edited by

          Hallo,

          @jegr Danke, dass Du "mal mit draufguckst" :-)

          Das ist die pfSense aus meinem LAN:

          pfsense_dns.png

          Die zeigt wie gesagt auf eine virtualisierte pfSense in meinem Testnetz, welche für die drei Zonen zuständig ist. Dort ist der Resolver wie folgt konfiguriert:

          pfsense_dns2.png

          "Umgedreht" beobachte ich übrigens den gleichen Fehler: Wenn ich einen nslookup auf pfsense.test.mitte mache, bekomme ich zwei IP-Adressen geliefert: Einmal die 192.168.3.2 von der WAN-Schnittstelle und einmal die 192.168.100.1 von der LAN-Schnittstelle.

          Ist das immer so, dass die pfSense die WAN- und die LAN-Adresse mit dem eigenen Hostnamen assoziiert? Und warum gerade LAN und nicht z.B. OPT1? Das erscheint mir eher willkürlich?!?

          Gruß,
          Jörg

          JeGrJ 1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator @altmetaller
            last edited by

            @altmetaller said in Fehlerhafte reverse Auflösung aus Richtung WAN:

            "Umgedreht" beobachte ich übrigens den gleichen Fehler: Wenn ich einen nslookup auf pfsense.test.mitte mache, bekomme ich zwei IP-Adressen geliefert: Einmal die 192.168.3.2 von der WAN-Schnittstelle und einmal die 192.168.100.1 von der LAN-Schnittstelle.

            Das ist kein Wunder, weil pfsense.test.mitte die Instanz selbst ist. Der Name /die IP die bei System/General eingetragen ist, ist da der Name. Wenn du selbst da noch einen Namen beim Resolver hinzufügst, hat die Kiste dann zwei Namen.

            Das liegt ganz an deinem Unbound Setup. Da ist nichts pfSense spezifisches. Ich würde da von der ersten Kiste die ganzen "private" entries rauswerfen, wenn/da du die Domains eh auf die 2. Kiste weiterleitest. Reverse IP kennt Unbound eigentlich nur dann wenn bei ihm angemeldet. Würde da aber schnellstens die DHCP und OpenVPN Register Haken rausnehmen, sonst hat man einen Unbound der ständig neu startet.

            Und ansonsten ist die Antwort eigentlich gegeben durch die Overwrites die existieren oder die angegebenen static DHCP Mappings. Oder man packt da eben ne ganze eigene Config in den adv. Option Block. Aber die WAN IP bzw. der WAN Name wird bei meinem Unbound bspw. nie zurückgegeben, das muss an deinem Setup liegen :)

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            altmetallerA 2 Replies Last reply Reply Quote 0
            • altmetallerA
              altmetaller @JeGr
              last edited by altmetaller

              This post is deleted!
              altmetallerA 1 Reply Last reply Reply Quote 0
              • altmetallerA
                altmetaller @altmetaller
                last edited by

                This post is deleted!
                1 Reply Last reply Reply Quote 0
                • altmetallerA
                  altmetaller @JeGr
                  last edited by

                  Hallo @jegr

                  ich hatte einen Gedankenfehler. Und verführerisch, wie ich bin, habe ich dich mit auf die Reise genommen :-)

                  Ich blicke aus Richtung WAN auf die pfSense und sehe dahinter zwei Netze. Das verleitet dazu, WAN als „Hauptschnittstelle“ anzusehen.

                  Die wesentliche Schnittstelle ist jedoch LAN, an die sich letztendlich auch der bind mit den Hostnamen klammert.

                  Also:

                  • Hostname auf pfsense.test.links
                  • Overwrite pfsense.test.mitte auf die WAN IP
                  • Overwrite pfsense.rest.rechts auf die OPT1 IP

                  Dann habe ich genau das Wunschszenario: Ich schaue auf test.mitte und sehe dahinter test.links bzw. test.rechts

                  Für mich ist das intuitiv :-)

                  Gruß,
                  Jörg

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.