Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    PfSense 2.2.2 - Trasteando con DNS Resolver

    Español
    2
    5
    2304
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • bellera
      bellera last edited by

      1. Instalé la 2.2.2 en un equipo 32 bit.

      2. Lo puse detrás de un pfSense en producción.

      3. WAN en modo DHCP contra la LAN del pfSense en producción, adquiriendo también los DNS que le da el pfSense en producción.

      4. Regla en LAN del pfSense en producción para que pase todo lo que venga del pfSense 2.2.2.

      5. Puse un PC en LAN del 2.2.2, en modo DHCP.

      6. Sin navegación en el PC.

      7. Añadida regla para que permita usar LAN Address como DNS. No sé si es adrede que falte esta regla en la configuración inicial o es un error (bug). Hasta que añadí esta regla tampoco podían usarse los DNS en la LAN del pfSense en producción ni externos en internet. Ver imagen.

      En el 2.2.2  DNS Forwarder desactivado y DNS Resolver activado, tal como viene por defecto.

      Habrá que terminar de estudiar bien estos cambios de DNS introducidos a partir de la 2.2 (2.2.0)…

      https://doc.pfsense.org/index.php/Unbound_DNS_Resolver

      1 Reply Last reply Reply Quote 0
      • bellera
        bellera last edited by

        Bueno, al final resultó lo de siempre… Tras más pruebas, quitar la regla y reiniciar todo la regla no parece necesaria.

        Cosas que pasan cuando trasteas…

        1 Reply Last reply Reply Quote 0
        • bellera
          bellera last edited by

          Pero sí hay otro problema.

          En la LAN del pfSense en producción tengo hecho DNS Split tanto en pfSense como en el otro DNS local que tengo.

          De esta forma los servidores de midominio.extension se resuelven con su IP privada y no la pública.

          Parece que la seguridad del DNS Resolver no se fía de los DNS Split hechos en la LAN y resuelve indicando la IP pública.

          Añadir que como tengo "inventariados" todo tipo de equipos por equipo.midominio.extension los que no tienen IP pública, lógicamente, no son resueltos.

          Como conclusión se puede ver que DNS Resolver aporta seguridad al fiarse sólo de root servers y de los overrides que tenga él configurados.

          Uses DNSSEC to validate DNS queries. Be aware that it is recommended to disable forwarding and allow Unbound to handle all DNS resolution via root servers, which is the default behavior.

          Probé a deshabilitar DNSSEC pero no tuve éxito.


          1 Reply Last reply Reply Quote 0
          • S
            shadow25 last edited by

            Hola. Encontré un link interesante sobre Unbound, ayuda un poco para ir viendo como funciona.

            https://calomel.org/unbound_dns.html

            Saludos,

            1 Reply Last reply Reply Quote 0
            • bellera
              bellera last edited by

              ¡Fantástico!

              Ciertamente calomel.org es un sitio muy recomendable para BSD…

              Contains "how to's" covering open source programs for OpenBSD, FreeBSD, and Linux.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post