Hallo,
wie macht am am besten die DNS Auflösung für Subdomänen die über OPNsense und Dnsmasq vergeben wurden, wenn man ein AD hat?
Ich habe ein AD inkl. funktionierenden DNS was via OPNsense an einen Pi-hole Server für öffentliche Anfragen weiterleitet. Wenn ich jetzt für Subdomänen die ich via Dnsmasq und DHCP bedienen Namen vergebe, dann kennt die die OPNsense und löst diese auch auf wenn ich diese direkt Frage.
Ich kann aber kein CF im AD auf die OPNsense für die Subdomäne einrichten, da Dnsmasq nur ein Forwarder ist? Wie macht man das in diesem Konstrukt am besten auch die lokalen Sub's übers AD auszulösen?
Danke.
Trag im AD NS Records für die Subdomänen ein mit der OPNsense als Nameserver. Der Rest sollte dann automatisch funktionieren.
Hi Patrick,
Danke für den Tipp. Auch das habe ich mehrfach versucht, aber er sagt beim versuch die OPNsense als Nameserver für die Zone einzutragen, das dies für die Zone nicht authorisiert sei. Frage ich aber via nslookup direkt die OPNsense gibt sie mir die gewünschte Antwort.
Hast Du noch eine Idee was hier mit der OPNsense das Problem sein könnte (mit einem Lancom Router als Ziel funktioniert es)?
Danke.
Kannst du mal zeigen, was du da einträgst bzw. einzutragen versuchst?
Moin,
ja klar, freue mich wenn Du unterstützt. Ich glaube Windows checked automatisch bei einem NS Eintarg ob das Ziel autoritative Antwortet und fragt dazu nach SOA- und / oder NS-Einträgen die es scheinbar ja nicht gibt.
Das ganz läuft ja unter Windows via Neu Deligierung, die man in der Domain anlegt (Bild 1). Dort wird man nach dem Namen gefragt, sprich dem Teil der Subdomain (hier Bild 2 'mm'). Danach muss man den Nameserver eintragen werden (Bild 3) was mit dem Fehler 'Der Server mit dieser IP-Adresse ist für die erforderliche Zone nicht autorisierend' scheitert.
Screen_20250720-095243.png
Screen_20250720-095615.png
Screen_20250720-095816.png
Gebe ich als Ziel meinen Lancom Router an, der noch (in Zukunft soll das die OPNsense machen), das Clientnetz mit der Subdomain 'mm' bereitstellt, klappt es und der Eintrag wird akzeptiert.
Danke für einen Tipp.
Die Zonen können nicht delegiert werden, ich denke es sollte hier eher conditional forwarding benutzt werden.
https://learn.microsoft.com/en-us/windows-server/networking/dns/forwarding#conditional-forwarders
Servus,
hatte ich auch mehrfach probiert, dort akzeptiert er die Eingabe der OPnsense als Ziel aber beim abspeichern kommt ein Fehler zu dem ich auch im EventLog nix finden kann 'Fehler beim Versuch, die bedingte Weiterleitung hinzuzufügen. In der Zonenkonfiguration ist ein Fehler aufgetreten.'?
Gibt es vielleicht die gleiche Zone die weitergeleitet werdeb soll schon authoritativ im Microsoft DNS server? Als Split DNS Zone vielleicht?
Theoretisch sollte es so gehen wie in den docs beschrieben, in deinem Fall halt einfach Unbound ersetzt durch die Microsoft DNS Server Rolle, nur mit einfachen Query Forwarding.
https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration
Letzteres will ich eigentlich nicht, aber der Fehler kommt auch wenn ich zum Test irgendeine Domain nehme, die auf keinen Fall schon irgendwo bekannt oder eingetragen ist.
Wenn ich Bedingte Weiterleitungen für Reverse Lookupzonen anlege funktioniert es auch mit der OPNsense als Ziel - alles sehr seltsam ...
Ich kann mir 2 Fehler vorstellen:
- Die Zone die du forwarden willst existiert schon im Microsoft DNS Server. Entferne die Zone mit dem selben Namen die du durch query forwarding weiterleiten willst.
- Es gibt einen Query Loop (in Dnsmasq ausstellen dass er Queries Forwarden darf)
Wenn ich das ganze via PS machen bekomme ich auch keine ordentliche Fehlermeldung, sehe aber nicht wo die Domain schon bekannt sein soll. Ich habe jetzt gerade mit unbekannten Domains getestet und kann ohne Probleme zu mm.test.local weiterleiten aber nicht zu mm.meineaddom.local. Letzteres macht er nicht egal in welcher Kombi und wohin ich eine Subdomain hinleiten will.
Ich vermute so was darf dann nicht als Weiterleitung, sondern muss als Deligierung unterhalb der Domain meineaddom.local angelegt werden. Das geht wieder nicht weil die OPNsense dafür keine SOA- und / oder NS-Einträge liefert.
Dafür könnte man BIND auf der OPNsense benutzen. Oder du lässt alles samt Subdomains weiter vom AD machen.
Aber ich glaube ich habe es, man sollte viel mehr auch unter Windows die Console nutzen:
Add-DnsServerZoneDelegation -Name "meineaddom.local" -ChildZoneName "mm" -NameServer "opnsense.meineaddom.local" -IPAddress 192.168.168.251 -Verbose -PassThru
Macht er den Eintrag (scheinbar ohne die Überprüfung auf SOA und NS) und es funktioniert auch noch ...
Eine Frage noch: Was sollte man unter Dnsmasq - Domains für Einträge anlegen?
Sollte die Subdomain, die man über DHCP vergibt hier als Domain angelegt werden und wohin zeigen (IP der OPNsense?)?
Sollte man Einträge der eigentlichen AD Domain mit Weiterleitung auf die DC's inkl. Reverse Lookup (168.168.192.in-addr.arpa) anlegen?
Danke.
Es kommt wie bei vielen Dingen drauf an aber eigendlich muss nichts dort eingetragen werden wenn du dnsmasq nur für dhcp+dns benutzt und nur die lokalen domains in dnsmasq abfragst aber deine Clients halt als primären DNS Server den Microsoft verwenden.
Lies dir am besten auch mal die komplette DNSmasq Anleitung in den Doku durch die erklärt vieles.
OK, werde ich mir nochmal genau anschauen.
Von Richtung AD sieht auch schon alles gut aus. Es muss aber natürlich auch vom VLAN MM in die andere Richtung über den Dnsmasq gehen, damit z.B. Geräte aus dem Multimedia VLAN einen Server ansprechen können. Dazu muss dort ja, so mein Verständnis, die interne AD-Domain mit dem Verweis auf den DC angelegt werden etc. ...
Lass die DCs doch DHCP machen (mit Relay auf der Sense) und fahr alles AD-integriert.
Habe ich auch drüber nachgedacht, aber ich habe ja diverse VLANS, die ich von AD trennen will (SmartHome, Gäste WLAN, VoIP etc.). Wenn ich das nur wegen DHCP und DNS über das AD schleife kann ich mir doch auch gleich die Trennung und Reglementierung über die OPNsense schenken, oder sehe ich das falsch?
Alternative: pack diese Geräte in eine komplett andere Domain und richte eine Weiterleitung ein.