Moin,
meine OPNSense ist Teil der lokalen Domain, nennen wir sie "beispiel.de". Im LAN steht für diese (und eine wertere "example.de") Domain ein authoritativer DNS (Bind9 auf Debian), der ALLE DNS-Einstellungen für die Domains beinhaltet.
Jetzt möchste ich, dass aber auch die OPNSense einen Teil der DNS-Anfragen übernimmt und parallel zu dem eigentlichen DNS-Anfragen beantwortet. Also haben alle LAN-Clients ZWEI DNS-Resolver Einträge;
192.168.42.1 <--- OPNSense/ Unbound
192.168.42.15 <--- Debian Bind
Klappt auch gut, die Clients können DNS-Abfragen nach öffentlichen Domains über beide Resolver erfoolgreich durchführen.
Der Unbound auf OPNSense ist so eingestellt, dass er via Forwarding die lokale Zone (beispiel.de) an den lokalen bind9 weiterleiten soll. D.h. alles was diese Zone betrifft soll der 42.15er Debian Bind9 beantworten.
Funktioniert soweit auch prima:
root@opnsense:~ # host -v lanhost.beispiel.de
Trying "lanhost.beispiel.de"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 642
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;lanhost.beispiel.de. IN A
;; ANSWER SECTION:
lanhost.beispiel.de. 3600 IN CNAME lanhost.example.de.
lanhost.example.de. 3600 IN A 192.168.42.114
Received 90 bytes from 127.0.0.1#53 in 1 ms
Trying "lanhost.beispiel.de"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36936
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;lanhost.beispiel.de. IN AAAA
;; AUTHORITY SECTION:
example.de. 2972 IN SOA ns.beispiel.de. admin.beispiel.de. 1763729903 3600 1800 604800 86400
Received 119 bytes from 127.0.0.1#53 in 0 ms
Trying "lanhost.beispiel.de"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36801
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;lanhost.beispiel.de. IN MX
;; AUTHORITY SECTION:
example.de. 2972 IN SOA ns.beispiel.de. admin.beispiel.de. 1763729903 3600 1800 604800 86400
Received 119 bytes from 127.0.0.1#53 in 0 ms
Einzig und allein die DNS-Sachen für den Namen der OPNSense selbst werden anhand der lokalen Interfaces aufgelöst:
root@opnsense:~ # host opnsense.beispiel.de
opnsense.beispiel.de has address 192.168.32.254
Das ist die IP eines der OPNSense-Interfaces, aber der DNS-Server verweist nur auf das "Haupt-Interface".
Also kurz:
Abfrage nach irgendeinem Namen in der lokalen Domain ---> Unbound forwarded an lokalen DNS. RICHTIG.
Abfrage nach dem Namen der OPNSense.lokale.domain --> Unbound beantwortet selbst mit einer willkürzlich gewählten Interface-IP (MIST)
Das muss doch irgendwie möglich sein, dem Unbound zu sagen, dass er für diese Domain echt KEINE NAmensanfragen selbst beantwortet, sondern einfach IMMER weiterleitet, odeR?
Wie kriege ich das hin?
Danke& Grüße
/KNEBB
Services > Unbound DNS > General > Do not register system A/AAAA records [X]
Määäääääh!
Ja, ok, das hat geklappt. Wenn man im Kopf hat, dass ALLE Registrierungen aus sein müssen. Außer natürlich der Einstellung wo "KEINE" davorsteht...
Vielen Dank!
/KNEBB