Hallo,
auf unserem internen nameserver tauchen eine Menge solche Logeinträge auf:
Apr 2 13:31:39 nameserver named[28637]: client <ip-address>#50339: view internal: update '<domain>/IN' denied
Was logisch ist, da unsere Firewall keine DNS Informationen in die Zone pushen soll.
Ich gehe stark davon aus, dass man dieses Pushen auch deaktivieren kann, nur wo?
Ich habe bereits unter Services -> DNSmasq DNS -> Settings -> Optionen "Register DHCP leases in DNS forwarder" und "Register DHCP static mappings in DNS forwarder" entfernt bzw. abgehakt.
Zum besseren Verständnis:
Die Firewall dient als Abschottung unseres Office-Netzes zum restlichen Netzwerk und stellt dabei per DHCP den Office-Rechnern IP-Adressen.
DNS kommt aber von unserem nameserver bzw. von der Firewall, die hierfür unseren nameserver fragt (und das auch darf).
Nur eben das Pushen der DHCP-Informationen in die DNS-Zone benötigen und wollen wir nicht, denn die Netze sind strikt getrennt.
kannst du nicht auf dnsmasq komplett verzichten und nur Unbound als Forwarder nutzen?
Der dhcp server aktualisiert den Unbound fürs lokale Netz auch und dnsmasq dürfte langfristig auf Opnsense obsolet werden. Das sollte deine Probleme lösen. So ist es auch per default eingestellt wenn man die 19.1 neu installiert.
Danke für den Hint mit unbound DNS, dort sind auch einige Optionen hinsichtlich DNS Forwarder, die ich testweise abgestellt habe, hat allerdings auch nichts gebracht:
DHCP Static Mappings (Register DHCP static mappings in the DNS Resolver)
Pv6 Link-local (Register IPv6 link-local addresses in the DNS Resolver)
DHCP Registration (Register DHCP leases in the DNS Resolver)
Zudem haben wir wohl eine veraltete Version:
Versions OPNsense 18.7.5_1-amd64
FreeBSD 11.1-RELEASE-p14
OpenSSL 1.0.2p 14 Aug 2018
Mal ganz grundsätzlich: An welcher Stelle wird denn der DNS Push zum DNS Forwarder geregelt? Sprich die statisch hinterlegten DHCP-Einträge zum DNS Server gepusht?
Ist letztlich nur eine kosmetische Sache, aber trotzdem eine nervige.