Windows DNS - interne Zone wird nicht aufgelöst
-
Dann erklär mir bitte wie ich das in Pfsense so "stumpf" einrichte?
Es funktioniert ja irgendwie nicht ohne "Domain-Overide" oder euer erwähntes "private-domain" als zusätzliche Angaben.
Ich bin gerne bereit zu lernen aber so geht es einfach nicht.
Ich brauche ein Ansatzpunkt. -
@holger852 said in Windows DNS - interne Zone wird nicht aufgelöst:
Dann erklär mir bitte wie ich das in Pfsense so "stumpf" einrichte?
Die zugehörige Frage habe ich schon mal gestellt, wurde aber nicht beantwortet. Also nochmal: Warum möchtest du DNS auf der pfSense nutzen, wenn du eigentlich einen anderen DNS Server verwenden möchtest?
Wenn es dafür keinen Grund gibt bzw. der einzige Grund ist, dass die Requests auf die pfSense treffen könnten, dann kannst du diese einfach weiterleiten. -
Der Grundgedanke war da später auch einige der Systeme in Zweigniederlassungen stehen werden so eine Art kleinen lokalen Cache zu haben und nicht alles immer wieder über den Tunnel laufen zu lassen.
Aber das ist noch nicht entschieden.
Erst einmal geht es nur um die Machbarkeit.
Und da möchte ich geren erst einmal unabhängig von der Sinnhaftigkeit des Aufbaus geklärt haben warum dieses "stumpfes" Weiterleiten nicht wie erwartet funktioniert.
Alles weitere wird sich dann erst noch ergeben.Daher ja auch meine Frage vorhin in einem vorherigen Post ob dieses Verhalten mit dem "stumpfen" weiterleiten mittels DNS-Forwarder oder DNS-Resolver im Forwarding Modus dann doch wirklich ein BUG in der Pfsense ist?
Erste einmal möchtes ich das gerne verstehen bevor ich an einem anderen Aufbau oder Lösungsweg denke.
-
@holger852
Ein stumpfes Weiterleiten macht ein Port Forwarding. Schon mehrmals vorgeschlagen.
DNS Resolver und DNS Forwarder prüfen jede Anfrage und leiten sie nur bedingt weiter oder beantworten sie auch selbst. Im Fall des Forwarders zumindest auf existierende Overrides.
Also kann hier wohl kaum von einem Bug die Rede sein.Ich denke nicht, dass der Forwarder ein Problem mit der lokalen Domain hat, ich habe es aber nicht getestet. Das überlasse ich dir. Angemerkt habe ich das schon mal hier.
Für den Resolver gibt es möglicherweise noch andere Einstellungen, die deinen Bedürfnissen besser gerecht werden. "private-domain" ist das, was mir zu deinem Beispiel bekannt war, das dir aber nun zu wenig Flexibilität bietet.
Vielleicht hat jemand anders eine Lösung, oder du recherchierst im Netz. Für diesen Zweck hatte ich zuvor schon den eigentlichen Namen des Tools erwähnt: unbound. Das ist nichts pfSense-eigenes, das ist OpenSource, die in pfSense integriert wurde. -
Aber wenn ich dann z.b. ein Aufbau hätte wo das Labornetz 90% der Anfragen an den Windows DNS mit den sich ändernden lokalen Zonen schicken soll und zusätzlich noch ein weiteren DNS Server hätte der eine unabhängige Zone betreibt diese dann aber mittels "Domain-Override" oder "private-domain" hier auch zu verfügung stellen möchte funktioniert ein einfaches port forwarding schon nicht mehr.
Dann müsste der DNS-Forwarder oder das unbound (wie du ja sagtest was darunter liegt) genau so agieren wie ich es eigentlich erwarten würde (was es ja nicht tut) ohne die Overrides für den Windows DNS mit den sich dynamisch ändernden lokalen Zonen alle immer händisch nachzupflegen.
Also meinst das geht,... wenn es nicht Richtung BUG geht,... ehr in richtung Feature Request?
So oder so scheint das Pfsense es ja nicht zu machen ohne händisch einzugreifen in diesen symbolischen Aufbau.Wenn jemand anderes noch einen Tip hätte wäre ich natürlich sehr dankbar.
-
So,... Ich bin es noch einmal.
Die ganze Sache hat mir keine Ruhe gelassen.
Ich habe die Lösung gefunden warum Zonen des Windows DNS nicht aufgelösst werden bei den Clients.Es war nicht direkt der DNS-Resolver oder DNS-Forwarder schuld sondern allgemeine Einstellungen der Pfsense.
Unter "System -> Advanced" ist der Punke "DNS Rebind Check" versteckt.
Und wenn man sich die Beschreibung durchliest ist es genau das was mir Probleme macht.
Auflösung von internen IP Bereichen von einen externen DNS Server.
Wegenfalls aus sicht der PFsense ist mein Windows DNS ja ein externer Server^^
"Disable DNS Rebinding Checks" gesetzt und siehe da es funktioniert wie gewünscht.Damit kann dieses Anfrage aus meiner Sicht geschlossen werden.
Ich danke euch für die Tips die schlussendlich dafür gesort haben das man anderweitig noch einmal nachgeforscht hat und so auf die doch im endefekt ganz simple Lösung mit dem Rebinding gekommen ist.
Gruß Holger
-
@holger852 said in Windows DNS - interne Zone wird nicht aufgelöst:
Es war nicht direkt der DNS-Resolver oder DNS-Forwarder schuld sondern allgemeine Einstellungen der Pfsense.
Unter "System -> Advanced" ist der Punke "DNS Rebind Check" versteckt.
Und wenn man sich die Beschreibung durchliest ist es genau das was mir Probleme macht.
Auflösung von internen IP Bereichen von einen externen DNS Server.In diesem Zusammenhang hatte ich diese Funktion noch gar nicht als Abhilfe gesehen, nur für den Zugriff auf die WebGUI selbst via Hostnamen. Aber ja, steht dort so beschrieben.
Danke für die Rückmeldung.
-
@holger852 said in Windows DNS - interne Zone wird nicht aufgelöst:
Wegenfalls aus sicht der PFsense ist mein Windows DNS ja ein externer Server^^
Nein ist er nicht. Es geht um einen externen Server der für die IPs externe IPs rückliefert statt interne IPs. Das ist Rebind Checking. Das hat mit dem beschriebenen Punkt nicht viel zu tun. Der DNS Forwarder wurde schlicht vor - für ihn - falsche Informationen geschützt, die es nicht geben würde, wenn man das entsprechend als Domain oder Host Override definiert. Den Punkt abzuschalten bringt aber auch die Gefahren mit sich, dass ein extern/intern Problem beim Zugriff auf die Sense UI selbst nicht mehr detektiert wird. Darum ist es in der Sektion System/Advanced, weil es um die Sense selbst bzw. deren Schutz vor Rebinds geht, dass sie plötzlich mit Namen oder IPs angesprochen wird, die sie gar nicht hat/sein soll und das abgefangen wird. Der Schutz hat aber seinen Grund.
Das ganze Setting sieht für mich etwas verschoben aus und falsch aufgezogen aber das kann auch nur mein Eindruck sein. Wenn es für dich im Labor funktioniert - auch gut, ich würde das in der Praxis allerdings nicht ausrollen. :)
Cheers
-
Ich verstehe was du sagen willst.
Ich habe auch heute noch einmal drüber nachgedacht und glaube das ich es dann doch mit dem "private-domain" Eintrag machen werde und die dynamischen DNS Zonen für die Entwicklungsumgebungen dann in einer Sub-Zone ins Windows-DNS packe alla "host.lab1.dev.lan".
So kann ich automatisiert quasi unendliche "host.XXX.dev.lan" Sub-Zonen erzeugen.
In der Pfsense muss ich dann nur "dev.lan" als "private-domain" Eintragen und er lösst all meine zukünftigen Sub-Zonen auch auf.Ich glaube das wäre so wirklich schlauer.
Ich muss dann halt nur die Zonen im Root des Windows DNS unangetastet lassen bzw. bei dortigen Änderungen diese doch händisch auf der Pfsense nachpflegen. -
@holger852 Wenn du tatsächlich noch mehr und größere Zonen erstellen und verwalten willst, kannst du am Ende immer noch hergehen, und das Bind Package auf der Sense installieren - dann kannst du da deine kompletten Zonen mit verwalten wie du möchtest :) Dann muss man natürlich sehen, ob und wie man das zusammen mit dem Resolver o.ä. betreibt (andere Ports etc.) aber gehen tut es :)
