OPNsense Forum
International Forums => German - Deutsch => Topic started by: simonheinrich on April 07, 2019, 04:53:09 pm
-
Hallo!
Ich bekomme den DNS Domain Override partout nicht zuverlässig zum Laufen.
Folgendes Setup:
opnsense arbeitet als DNS Server.
Ich möchte den Namen unserer Windows Domäne gerne in den DNS Override setzen. Alle Anfragen an
"ad.domäne.tld" sollen nicht an die öffentlichen DNS Server geschickt werden, sondern vom Windows DNS Server bearbeitet werden.
Allerdings funktioniert die Auflösung nur in 50% der Fälle. (Siehe Anhang)
Mal wird vom DNS Server die Provider-Antwort "SOA" zurückgeliefert (Subdomain ist öffentlich nicht vorhanden bzw. nicht registriert), mal wird die korrekte IP "192.168.110.110" zurückgeliefert. Daraus schließe ich, dass manchmal die Domain Override Regel verwendet wird und manchmal nicht ?!
Dieses Ergebnis erhalte ich mit "dnsmasq dns" - mit Unbound DNS wird die Anfrage immer an einen öffentlichen DNS Server geschickt - dort kommt also immer die SOA Antwort, das Domain Override scheint überhaupt nicht genutzt zu werden.
Habe verschiedene opnsense Versionen zwischen 17 und 19.1 mit den letzten Updates probiert.
Hat jemand eine Ahnung, wo der Fehler liegt? Vielleicht ist es auch der falsche Ansatz. Hauptsache, alle DNS Anfragen mit "XXXXX.ad.domäne.tld" werden an den DNS Server mit der IP "192.168.110.110" verschickt und ins Internet raus.
Vielen Dank!
-
Moin.
Bei mir funzt das gut mit Unbound.
Also Domain-Override einrichten.
- Windows Domäne eingeben, bspw.: "meinladen.test.lan"
- IP eingeben vom DC/Windows DNS:
Wenn du eine Abfrage über OPNsense machen solltest, dann muß der komplette Name des Client bspw. eingegeben werden:
"client01.meinladen.test.lan"
Dann wird er auch aufgelöst.
Sonst wüßte ich jetzt auch nicht wo der Fehler liegt.
-
Hi, das Problem hab ich schon lange.
Siehe hier:
https://forum.opnsense.org/index.php?topic=7252.0
Hab dann mein DNS Setup geändert und den DNS von OPNSense weggenommen.
Gesendet von iPhone mit Tapatalk
-
Okay, meine Config noch einmal anbei als Screenshot. Ich habe es wie von @rantwolf beschrieben eingerichtet.
Es kommt immer die gleiche Ausgabe (SOA, Domain nicht gefunden). Leider ist das Log sowas von unbrauchbar, dass ich nichtmals erkennen kann, wohin eine DNS Abfrage gesendet wird.
Richte ich exakt diese Config mit Dnsmasq anstatt unbound ein, dann klappt es in 50% der Fälle.
Angeschlossene Windows Clients lösen die Adresse per nslookup hingegen richtig auf - wenn zusätzlich noch der vollkomplette Name des Domaincontroller als Override eingetragen wird - was aber eigentlich nicht nötig sein sollte da ja die komplette Domain "overridden" wird.
AndyX90:
Wie hast du dein DNS Setup aufgebaut? Ich habe mir deinen Thread durchgelesen und unsere Config ist ziemlich ähnlich - haben aktuell 14 opnsense Firewalls als Open VPN Client laufen. Ich möchte vermeiden, dass alle DNS Anfragen erst durch das VPN an den Windows Server gesendet werden. Das würde zwangsläufig passieren, wenn der Windows Server primärer DNS Server wäre. Bei einem Ausfall des DNS Servers könnten dann nichtmals mehr normale Internetseiten aufgerufen werden.
-
Oh okay, bei mir sind es rund 30 Standorte, an denen aber meist auch noch zusätzliche Windows Server stehen. Jetzt machen die halt DNS...
Gesendet von meinem Pixel 2 XL mit Tapatalk
-
Hallo zusammen,
das Problem hatte ich auch, die Lösung war so offensichtlich, so dass sie nicht aufgefallen ist.
OPNsense ist als DNSSEC validierender Resolver konfiguriert, was auch sehr sinnvoll ist. Die AD Domain läuft jedoch nicht mit DNSSEC, so dass der OPNsense Resolver sie nicht aufgelöst hat.
Lösung:
Unter "General" - "Custom options" folgendes eintragen:
server:
domain-insecure: "meinladen.example.com"
Danach wurde trotz eingeschaltetem DNSSEC die AD Domain aufgelöst.