OPNsense Forum

International Forums => German - Deutsch => Topic started by: kosta on February 25, 2021, 10:43:38 pm

Title: Frage zu DNS Overrides
Post by: kosta on February 25, 2021, 10:43:38 pm
Hallo,
kann mich jemand bitte aufklären?
Unbound DNS Overrides:
Ein Host Override, irgendwie logisch für mich, müsste jeweilige andere Einträge "overriden". Oder?
Also zB wenn Einstellungen wie:
Register DHCP leases oder Register DHCP static mappings angehakt sind
Dann dürfte Host Override diese DNS Einträge überschreiben?

Tut's aber nicht...

Wenn die Haken oben gesetzt sind, egal was in Overrides steht, wird einfach nicht honoriert. Wenn ich aber die Haken entferne, funktionieren die Overrides.

Ist das by Design?
Title: Re: Frage zu DNS Overrides
Post by: Patrick M. Hausen on February 26, 2021, 12:04:41 am
Ja. Die Overrides sind gedacht für Dinge, die nicht "local" sind. Warum würdest Du auch Static DHCP in Dein DNS übernehmen, aber das dann doch nochmal ändern wollen?
Title: Re: Frage zu DNS Overrides
Post by: kosta on February 26, 2021, 12:25:21 am
Weil es praktisch ist, wenn DHCP die hostnames ins DNS schreibt, aber gleichzeitig ich andere IP für den HAProxy nehmen kann (als Beispiel: server ist 192.168.11.1, Override 192.168.11.254 für HAProxy). Oder, mache ich da was vollkommen falsch? (konzeptuell)
Title: Re: Frage zu DNS Overrides
Post by: Patrick M. Hausen on February 26, 2021, 10:53:42 am
Aber dann schreibt DHCP doch nichts für HAProxy, oder? Das koexistiert schon. Du kannst nur nichts übersteuern, was vom DHCP kommt ...
Title: Re: Frage zu DNS Overrides
Post by: kosta on February 26, 2021, 11:44:47 am
Mmm, verstehe nicht ganz:
Quote
Aber dann schreibt DHCP doch nichts für HAProxy, oder?
Was meinst du damit?

 HAProxy rennt "auf" der Firewall. Die IP der Firewall ist bei mir .254, egal ob LAN oder VLANs. Damit aber zB. die NAS über HAProxy geht, muss ich die IP der NAS auf die Firewall-IP umschreiben - also ist nicht mehr .101 sondern .254 im DNS. Und das funktioniert eben nicht, wenn die zwei Haken gesetzt sind, je nach dem ob es eine statische IP oder per DHCP vergeben IP ist.
Irgendwie Schade dass ich auf das eine oder das andere verzichten muss...? Mehr Sinn tät für mich ergeben wenn Override praktisch auf der obersten Ebene sitzt und überschreibt egal was im System angegeben ist. Oder nicht?
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 13, 2021, 09:02:52 am
Wir haben ahnliche Problem. Wir haben folgende:

Register DHCP leases = Ja
Register DHCP static mappings  = Ja

Die static mapping benutzen wir für wichtege Servers - zum beispiel jenkinsserver. Falls ein Mitarbeiter jenkinsserver für Ubuntu Desktop auch benutze (hat einmal schon passiert), haben wir ein grosse Problem. Früher haben wir die DNS overrides für alle wichtige Server gemacht, aber dass hilfft nicht mehr :(
Title: Re: Frage zu DNS Overrides
Post by: kosta on April 13, 2021, 09:08:42 am
Ich bin am Thread nach wie vor abonniert, aber ich verstehe dein Problem nicht mal annährend.
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 13, 2021, 09:19:02 am
Can I try in English - my German is not that great :( but unfortunately I only managed to find this thread in German.

Our problem is that we would like to use both

Register DHCP leases
Register DHCP static mappings

So peoples computers name can be resolved by DNS. For Example I install my desktop as radek-desktop and than I want to be able to do ping radek-desktop and it should work.

In addition to that we have few servers for which we have static mappings. Such as jenkinsserver. The problem is if some evil colleague installs his desktop and call it jenkinsserver, than all other colleagues will be accessing not the jenkinsserver, but computer of that evil colleague and that causes quite some problems in our company.
Title: Re: Frage zu DNS Overrides
Post by: kosta on April 13, 2021, 09:39:26 am
This is a German forum... you should post questions in English in English forum.
https://forum.opnsense.org/index.php?board=1.0
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 13, 2021, 09:53:04 am
ok - habe ich gemacht: https://forum.opnsense.org/index.php?topic=22617.0
Title: Re: Frage zu DNS Overrides
Post by: lfirewall1243 on April 13, 2021, 11:15:34 am
Aber was bringt dir der DHCP Static Eintrag im DNS, wenn du eh auf den HAProxy möchtest?

Warum nicht einfach nur der Override?

Sehe da noch nicht wirklich einen Sinn in deinem Vorhaben -  klingt er nach einem unnötigen Problem
Title: Re: Frage zu DNS Overrides
Post by: kosta on April 13, 2021, 11:54:36 am
Ich habe die statischen Einträge eigentlich nur als Referenz, sodass ich keine weitere Dokumentation dazu benötige. Dort sehe ich die aktuellen IP Adressen der Server, und die freien die ich vergeben kann.
Der zweite Haken ist eben entfernt, sodass nur die Overrides greifen.
Title: Re: Frage zu DNS Overrides
Post by: lfirewall1243 on April 13, 2021, 11:57:19 am
Ich habe die statischen Einträge eigentlich nur als Referenz, sodass ich keine weitere Dokumentation dazu benötige. Dort sehe ich die aktuellen IP Adressen der Server, und die freien die ich vergeben kann.
Der zweite Haken ist eben entfernt, sodass nur die Overrides greifen.
Dann würde ich mich eine gescheite Systemdokumentation erstellen, wie es auch üblich ist.

Schon besteht das Problem nicht mehr
Title: Re: Frage zu DNS Overrides
Post by: kosta on April 13, 2021, 12:19:51 pm
Dann würde ich mich eine gescheite Systemdokumentation erstellen, wie es auch üblich ist.

Schon besteht das Problem nicht mehr

Oh bitte hör auf... ich habe auch keinen "Problem". So lange es funktioniert, ist es meine Entscheidung wie ich es in meinem Heimnetzwerk mache, und weder das eine noch das andere ist falsch.
Aber, ich danke dir für deinen Vorschlag.
Title: Re: Frage zu DNS Overrides
Post by: JeGr on April 14, 2021, 02:27:24 pm
Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste. WENN die einen sinnvollen Dienst anbieten, bekommen sie ne statische Adresse (ggf. vom DHCP via static mapping) und dann haben sie auch durch DHCP static registering automagisch nen DNS Namen. So weit so gut.

Dass man ein NAS bspw. nicht hintern HAproxy packen kann UND es gleichzeitig mit dem gleichen Namen logischerweise nicht mehr direkt aufrufen kann - ja klar, wie soll DNS denn das abbilden?

Dann muss man sich eben einen sinnvollen Service(!)namen einfallen lassen und DEN auf den HAproxy zeigen lassen. Wenn es ein 0815 Webservice ist, dann nenne ich den eben webserviceXY.home.arpa und mein NAS kann ich trotzdem via NAS.home.arpa aufrufen. Einfach nen DNS Override für Webservice.home.arpa im Unbound anlegen der auf die FW IP zeigt, die der HAproxy hat. Oder man nimmt sich gar eine zweite IP für den HAproxy (Alias oder CARP je nach Setup) und packt den HAproxy da drauf und lässt dann auch den DNS für den Service eben auf HAproxy zeigen.

Es hat schon seinen Grund, warum man nicht <hw-name> oder <gerätenamen> für Dienste benutzen sollte, sondern sinnvolle/sprechende Namen für die Services. Und dann ist es auch kein Problem sein Gerät (nas.home.arpa) getrennt vom Service (service123.home.arpa) aufzurufen und den Service ggf. dann einfach auf einen LB/Reverse Proxy zu verschieben und die IP anzupassen :)

Tada ;)
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 14, 2021, 03:46:00 pm
Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste

Unsere Grund dafür ist das normaleweise Mitarbeiter arbeiten in Büro, wo sie ein gute Desktop haben und viele Embedded Systems (die wir entwickeln) sind verbindet dazu. Jetz in Koronazeit die Mitarbeiter sind zu hause und benutzen SSH und VPN zum zu diesem desktop zu verbinden. Und es ist viel viel einfacher ssh radek-desktop machen als die IP address zu erinnern. Und ein statisch mapping für jeder Mitarbeiter zu haben ist auch keine gute Alternative.
Title: Re: Frage zu DNS Overrides
Post by: lfirewall1243 on April 14, 2021, 03:50:49 pm
Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste

Unsere Grund dafür ist das normaleweise Mitarbeiter arbeiten in Büro, wo sie ein gute Desktop haben und viele Embedded Systems (die wir entwickeln) sind verbindet dazu. Jetz in Koronazeit die Mitarbeiter sind zu hause und benutzen SSH und VPN zum zu diesem desktop zu verbinden. Und es ist viel viel einfacher ssh radek-desktop machen als die IP address zu erinnern. Und ein statisch mapping für jeder Mitarbeiter zu haben ist auch keine gute Alternative.
Okay
Dennoch wäre da, wie oben vom Kollegen geschrieben  ein zweiter DNS Name für die HAProxy Dienste sinnvollere unabhängig von Corona und Home-Office

Irgendwie sehe ich da nicht den Sinn in dem was ihr da macht
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 14, 2021, 04:03:58 pm
Okay
Dennoch wäre da, wie oben vom Kollegen geschrieben  ein zweiter DNS Name für die HAProxy Dienste sinnvollere unabhängig von Corona und Home-Office

Irgendwie sehe ich da nicht den Sinn in dem was ihr da macht

FYI: Kosta und ich können nicht ein ander. Wir haben nur ähnliche Problem, aber jeder in eine unterchidliche Netzwerk :)
Title: Re: Frage zu DNS Overrides
Post by: lfirewall1243 on April 14, 2021, 04:13:36 pm
Okay
Dennoch wäre da, wie oben vom Kollegen geschrieben  ein zweiter DNS Name für die HAProxy Dienste sinnvollere unabhängig von Corona und Home-Office

Irgendwie sehe ich da nicht den Sinn in dem was ihr da macht

FYI: Kosta und ich können nicht ein ander. Wir haben nur ähnliche Problem, aber jeder in eine unterchidliche Netzwerk :)
Aber auch für dich würde es mehr Sinn machen

Alles andere bringt nur Probleme
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 14, 2021, 04:39:54 pm
Aber auch für dich würde es mehr Sinn machen

Alles andere bringt nur Probleme

Verstehe ich richtig, das du meint, dass ich solte "DHCP Domain Override" benutzen und eine alternative Domain dort geben? Zum Beispiel: dhcp.xyz.

Dann jenkinsserver.xyz bleibt von static mappings und die Mitarbeiter mussen von radek-desktop.xyz nach radek-desktop.dhcp.xyz wechseln?

Für Detaile sehe bitte meine Englische thread: https://forum.opnsense.org/index.php?topic=22617.0
Title: Re: Frage zu DNS Overrides
Post by: lfirewall1243 on April 14, 2021, 04:44:49 pm
Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste. WENN die einen sinnvollen Dienst anbieten, bekommen sie ne statische Adresse (ggf. vom DHCP via static mapping) und dann haben sie auch durch DHCP static registering automagisch nen DNS Namen. So weit so gut.

Dass man ein NAS bspw. nicht hintern HAproxy packen kann UND es gleichzeitig mit dem gleichen Namen logischerweise nicht mehr direkt aufrufen kann - ja klar, wie soll DNS denn das abbilden?

Dann muss man sich eben einen sinnvollen Service(!)namen einfallen lassen und DEN auf den HAproxy zeigen lassen. Wenn es ein 0815 Webservice ist, dann nenne ich den eben webserviceXY.home.arpa und mein NAS kann ich trotzdem via NAS.home.arpa aufrufen. Einfach nen DNS Override für Webservice.home.arpa im Unbound anlegen der auf die FW IP zeigt, die der HAproxy hat. Oder man nimmt sich gar eine zweite IP für den HAproxy (Alias oder CARP je nach Setup) und packt den HAproxy da drauf und lässt dann auch den DNS für den Service eben auf HAproxy zeigen.

Es hat schon seinen Grund, warum man nicht <hw-name> oder <gerätenamen> für Dienste benutzen sollte, sondern sinnvolle/sprechende Namen für die Services. Und dann ist es auch kein Problem sein Gerät (nas.home.arpa) getrennt vom Service (service123.home.arpa) aufzurufen und den Service ggf. dann einfach auf einen LB/Reverse Proxy zu verschieben und die IP anzupassen :)

Tada ;)
Einfach so wie hier beschrieben
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 14, 2021, 04:49:31 pm
Einfach so wie hier beschrieben

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen :(
Title: Re: Frage zu DNS Overrides
Post by: lfirewall1243 on April 14, 2021, 05:06:15 pm
Einfach so wie hier beschrieben

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen :(
Also irgendwas solltest du aber verändern
So ist es auf jeden Fall kein sauberes und ordentliches  Setup
Title: Re: Frage zu DNS Overrides
Post by: Patrick M. Hausen on April 14, 2021, 05:13:50 pm
Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen :(
Dann mach ein dynamisches Mapping für die ganzen Mitarbeiter und ein statisches Override in zwei getrennten Subdomains.

Mitarbeiter:

Mein-toller-Mac.lan.firma.com


Jenkins:

jenkinsserver.services.firma.com


Und dann verteilst Du per DHCP als Domain-Suchpfad erst services.firma.com und dann lan.firma.com.
Title: Re: Frage zu DNS Overrides
Post by: kosta on April 14, 2021, 05:42:49 pm
Also vielleicht stehe ich voll auf der Leitung, aber mein Windows DNS (Win-Domäne) macht ja absolut nichts anderes als diese zwei Haken im OPNsense.
Ich habe ein Netzwerk für die Clients, eins für die Server. DHCP ist im Client-Netzwerk aktiv, und die Clients aktualisieren automatisch die DNS Einträge, sodass diese von wo auch immer per DNS Name angesprochen werden können. Ohne dem System wäre ich in den Zeiten von Home-Office regelrecht verloren.
Im Server-Netzwerk ist natürlich kein DHCP aktiv und die Einträge sind aber auch im DNS automatisch (Haken in Netzwerk-Einstellungen des jeweiligen Servers gesetzt). Und weil der Haken gesetzt ist, würde ich die IP ändern, aktualisiert sich auch der Eintrag im DNS. Manuell auch via /registerdns machbar.
Was ich damit sagen will: alle Clients haben korrespondierende DNS Einträge (=Hostname.domäne).
Und alles Clients sind auch volldynamisch, keine Reservierungen für die Clients.

Radek will ja nichts anderes machen, oder?
Title: Re: Frage zu DNS Overrides
Post by: Patrick M. Hausen on April 14, 2021, 06:58:34 pm
Radek will verhindern, dass ein Client sich mit dem Namen eines Servers registriert, was zu zwei A-Records führen würde. Da das keine Windows-Domäne ist, ist da keinerlei Kontrolle über die Hostnamen der Clients vorhanden und jeder Client kann sich mit "Schnederpelz" oder "Meierings" registrieren, wie es ihm beliebt.
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 15, 2021, 11:15:41 am
Dann mach ein dynamisches Mapping für die ganzen Mitarbeiter und ein statisches Override in zwei getrennten Subdomains.

Die Mitarbeiter mussen dann die neu Namen lernen was lange dauert :( Aber ja ich denke auch diese ist die beste Lösung. DANKE!
Title: Re: Frage zu DNS Overrides
Post by: JeGr on April 15, 2021, 06:27:46 pm
Einfach so wie hier beschrieben

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen :(

Also die Corona Karte zu ziehen, zieht hier für mich gar nicht ;) Ich kann den Schmerz verstehen, wenn man das einrichten soll/muss. Aber mal ehrlich: es gibt keinen Grund, warum volldynamische Clients (!) - lese das Wort! - einen DHCP Namen im DNS haben müssen. Wenn die plötzlich aber halbe Terminalserver sind, weil eure Leute nicht von daheim arbeiten, sondern via RDP o.ä. auf den Desktops rumschrubben müssen, dann sind das "mini Terminalserver". Und dann muss ich sie auch so behandeln und ihnen fixe IPs geben. Warum? Weil sonst Mitarbeiter XY auf die glorreiche Idee kommt "ey Windows Update juhu, YOLO!" und die Kiste bootet durch. Und dann? Upsi, bekommt ne neue IP. DNS braucht ne Weile bis es  sich wieder überall gerade gezogen und aktualisiert hat, der Client daheim hat auch nen Cache etc. etc. und plop kommen die Leute nimmer auf ihren Desktop.

Kommt nicht vor? Doch, denn GENAU den Fall hatten wir mit unserer Mutterfirma, wo auch manche Kollegen plötzlich ganz dringend via Remote auf ihre Desktops im Office mussten - und dann kam hier mal nen Reboot, da nen Update und boing, waren die Kisten weg und nicht mehr erreichbar. Und dann mach mal überall nen ipconfig /flushdns, resette ggf. noch Windows AD DNS usw usf. Nerv.

Ja es tut weh wenn man mal plötzlich zig Rechner anlegt. Aber schafft Probleme vom Hals. Und dann geht "radek-desktop" eben immer und nicht nur >90% der Zeit und fertig ist der Lack. :)

> Was ich damit sagen will: alle Clients haben korrespondierende DNS Einträge (=Hostname.domäne).

Glückwunsch du hast eine MICROSOFT DOMAIN. Warum sind die Clients und Server wohl da mit Namen erreichbar? Tipp: es ist nicht nur wegen dem DHCP ;) sondern weil du den Rechner und User im AD hast und die sich beim Einloggen/Booten im AD refreshen. Darum bekommt der AD DNS logischerweise wesentlich besser, zeitnaher und einfacher mit wenn sich am Client was ändert, was Name, IP oder sonstwas angeht. Darum kann dein Windows DNS das und Unbound nicht, weil sich Unbound/DNS Resolver der Sense überhaupt nicht für den Client interessiert. Sondern nur was vom Client erfährt, wenn der DHCP ihm die IP/Namens Kombination reindrömelt. dazu kommt, dass es vorkommen kann (nicht muss), dass ein Client mal keine korrekte ID beim DHCP mitgibt und dann der Name nicht korrekt im DNS steht/stehen kann. Zudem wird eben unbound meist neu gestartet bei einem neuen Eintrag und verliert daher seinen DNS Cache und ist für nen kurzen Moment nicht mehr erreichbar. Mache das also in einem Netz mit ~100 DHCP Clients mit aktivem Haken und du DOS-t deinen eigenen DNS Resolver, weil er vor lauter "neuladen, offline, online" zu nichts anderem mehr kommt.

Ist doof? Klar, wäre schön, wenn das anders implementiert wäre. Aber deshalb war meine Aussage "Funktion ausschalten, sonst tot" :)

Cheers
Title: Re: Frage zu DNS Overrides
Post by: Patrick M. Hausen on April 15, 2021, 06:51:16 pm
@JeGr Hart aber wahr ...

Schade das es in diesem Forum zwar Karma aber kein Like für einzelne Beiträge gibt. Hab ich schon öfter vermisst.
Title: Re: Frage zu DNS Overrides
Post by: kosta on April 15, 2021, 09:58:49 pm
@JeGr: spitze erklärt, danke für die Aufklärung!
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 16, 2021, 11:13:34 am

Also die Corona Karte zu ziehen, zieht hier für mich gar nicht ;) Ich kann den Schmerz verstehen, wenn man das einrichten soll/muss. Aber mal ehrlich: es gibt keinen Grund, warum volldynamische Clients (!) - lese das Wort! - einen DHCP Namen im DNS haben müssen. Wenn die plötzlich aber halbe Terminalserver sind, weil eure Leute nicht von daheim arbeiten, sondern via RDP o.ä. auf den Desktops rumschrubben müssen, dann sind das "mini Terminalserver". Und dann muss ich sie auch so behandeln und ihnen fixe IPs geben. Warum? Weil sonst Mitarbeiter XY auf die glorreiche Idee kommt "ey Windows Update juhu, YOLO!" und die Kiste bootet durch. Und dann? Upsi, bekommt ne neue IP. DNS braucht ne Weile bis es  sich wieder überall gerade gezogen und aktualisiert hat, der Client daheim hat auch nen Cache etc. etc. und plop kommen die Leute nimmer auf ihren Desktop.

Glücklicheweise unsere mitarbeiter benutzen am meinsten Ubuntu (wir sind ein Embedded Linux Firma) - und bei Ubuntu Update hat diese Problem in letztem zehn Jahren nie passiert. Aber gut zu wissen, dass man es bei Windows machen muss.

> Was ich damit sagen will: alle Clients haben korrespondierende DNS Einträge (=Hostname.domäne).

Glückwunsch du hast eine MICROSOFT DOMAIN.

Nein, wir haben keine MICROSOFT DOMAIN, aber ich verstehe, dass wir nicht ein typisches Beispiel sind und viele Firmen haben eine :)
Title: Re: Frage zu DNS Overrides
Post by: JeGr on April 20, 2021, 04:02:06 pm
> Nein, wir haben keine MICROSOFT DOMAIN, aber ich verstehe, dass wir nicht ein typisches Beispiel sind und viele Firmen haben eine :)

Damit war Kosta gemeint, der ja geschrieben hatte, dass er ne Microsoft Domain bzw. den MS DNS spezifisch genannt hatte. Das Beispiel ist eben wie beschrieben "flawed", weil der MS DNS durch die AD Einbindung immer genau weiß was ein Host/Computer Objekt macht und ob es die IP gewechselt hat. Aber selbst im MS DNS habe ich schon multiple Einträge für den gleichen Client gefunden, weil der Dienst munter andere IPs einfach eingetragen, die alten aber nie gelöscht hat. Dann hat man RoundRobin oder bekommt die falsche Adresse zurück - was dann auch irgendwie Banane ist. Darum auch meine Aussage, dass ein Client eigentlich per se volldynamisch/random sein muss bzw. es sein sollte, damit er "einfach" funktionieren kann (auch mit SLAAC bei IP6). Stellt das Ding Dienste - IP fest verknoten und besser schlafen :)

Aber trotzdem allen Dank für den Dank und fürs Verstehen. Und vor allem für den zivilisierten Umgang trotz augenzinkerndem Ton ;)
Title: Re: Frage zu DNS Overrides
Post by: Radek on April 29, 2021, 03:15:48 pm
Alles klar. Ich danke auch führ konstruktiv und zivilizierte Diskussion und besonders zum pmhausen. Wir haben vor eine Woche Seiner vorschlag implementiert und wir sind wirklich zufrieden damit. Vielen Dank!