Problem mit Split-DNS / DNS Forwarder



  • Hi,

    ich will, dass ein von extern erreichbarer (Web-)Server intern über eine interne IP-Adresse erreichbar ist.
    Dazu habe ich im DNS Forwarder den Host mit seinem Namen und seiner internen IP-Adresse angelegt.

    Im General Setup ist als DNS-Server mein LAN DNS-Server eingetragen.

    Von der Firewall aus funktioniert nun alles so wie erwartet:

    • ping auf den o.g. Server liefert dessen "interne" IP
    • ping ins Internet (mit Namensauflösung) funktioniert
    • ping auf den Namen eines anderen (im internen DNS eingetragenenen) Server funktioniert

    Im DHCP-Server ist kein DNS-Server eingetragen, damit wird den Clients die pfSense als Nameserver übergeben (192.168.0.1).
    Von den Clients aus

    • ping auf o.g. Server funktioniert
    • ping ins Internet (mit Namensauflösung) funktioniert
      Aber:
    • Namensauflösung eines anderen (im internen DNS eingetragenen) Servers funktioniert nicht!

    Wo liegt mein Denkfehler?

    bakunin



  • Hallo bakunin,

    ich könnte mir vorstellen, das es daran liegt, da deine Clients "nur" als DNS die pfSense sehen und nicht zusätzlich deinen internen DNS Server.

    Möglichkeit A:
    Ändere deine DHCP Config und gebe als 1. DNS deinen internen DNS an und zusätzlich als 2. DNS die pfSense.

    Möglichkeit B:
    Trage als DNS Server im DHCP nur deinen internen DNS Server ein für die Clients.
    Konfiguriere deinen internen DNS Server dann so, das er eine Weiterleitung an die pfSense macht für Server, die er nicht selbst auflösen kann.

    Gruß Sanches



  • Hallo sanches,

    @sanches:

    Möglichkeit A:
    Ändere deine DHCP Config und gebe als 1. DNS deinen internen DNS an und zusätzlich als 2. DNS die pfSense.

    nach meinem Verständnis von DNS wird das deswegen nicht funktionieren, weil der zweite DNS-Server nur abgefragt wird, wenn der erste nicht erreichbar ist (nicht dann, wenn der erste einen angefragten Host nicht kennt).

    Die zweite Möglichkeit widerspricht meiner Meinung nach der Idee des DNS-Forwarders. (Nur wenn's nicht anders geht, würde ich die Konfig meines DNS-Servers anfassen.)

    Danke

    bakunin



  • Wir haben das genau so laufen, wie du das willst:

    ein Interner Server (10.10.10.1) ist von außen über eine feste IP und einen Domainnamen erreichbar.
    Wenn wir die Adresse von intern aufrufen, soll natürlich NICHT die externe IP angesprochen werden.

    Dieser Server ist außerdem ein Domänencontroler und deshalb müssen DNS-Anfragen für das ActiveDirectory nicht von der PFsense, sondern von diesem Server beantwortet werden.

    Also haben wir im DNS-Forwarder zwei Sachen eingstellt:

    1. für den Aufruf des Servers über seinen (von Außen) eingerichteten Domainnamen gibt ein einen HOST-Eintrag:
    Host: dienstname
    Domain: blahblub.tld
    IP: 10.10.10.1

    2. für die DNS-Anfragen, die vom AD beantwortet werden sollen einen DOMAIN-OVERRIDE:
    Domain: Windows-Domänen-Name
    IP: 10.10.10.1

    Bei General-Settings stehen nur externe DNS drin, also vom Provider und Google.
    Die Clients kennen als DNS nur die pfSense

    So geht das dann!

    gruß



  • Danke, jetzt klappt Alles.

    Gruss

    bakunin


Log in to reply