OPNsense Forum

International Forums => German - Deutsch => Topic started by: c-mu on May 22, 2018, 08:52:41 am

Title: Probleme mit Unbound DNS + Register DHCP leases in the DNS Resolver
Post by: c-mu on May 22, 2018, 08:52:41 am

Hallo,
ich nutze diverse OpnSense Installationen an Standorten (neustes release) und möchte nun auch schrittweise den DHCP Service + unbound DNS nutzen.

Ich schaffe es allerdings nicht, dass die DHCP clients an meinem Hauptserver (Windows AD-DNS) registriert werden und habe auch eine Vermutung:

Unter System -> General -> DNS Servers sind meine DNS Server vom Head Quarter eingetragen.

Unbound DNS versucht nun via default Interface (WAN) diese Server zu erreichen, was natürlich nicht geht. Wie kann ich unbound bei bringen, über welches Interface er die DNS Server erreichen soll (VPN Tunnel)? Ich vermute, dass er das WAN interface nutzt, weil ich via TCP Dump keine Anfragen auf dem HQ DNS Server von OpenSense empfange.

Wenn ich in meinem Testnetzwerk, wo das WAN interface mit dem Hausnetz Verbunden ist, das Szenario nachbaue, funktioniert es. Daher meiner Vermutung, dass ich irgendwie die Anfragen vom Default Interface durch den VPN Tunnel routen muss.

Im VPN Tunnel ist zwischen der Site 2 Site Verbindung alles erlaubt und sämtliche NSlookup und dig Befehle auf Clientsite Richtung HQ DNS Server funktionieren.

Vielen Dank für Hilfe und Anregungen!

Title: Re: Probleme mit Unbound DNS + Register DHCP leases in the DNS Resolver
Post by: JeGr on May 27, 2018, 05:15:44 pm

> Ich schaffe es allerdings nicht, dass die DHCP clients an meinem Hauptserver (Windows AD-DNS) registriert werden und habe auch eine Vermutung:

Mal die ganz andere Frage: In welchem Szenario ist es notwendig, dass normale "dumme" Clients sich unbedingt im DHCP des Windows ADs registrieren? Nur damit die sich per Namen ansprechen können? Wann tun sie das? Und ist das notwendig? Gerade mit - ja viele winken jetzt mit blabla ab - IPv6 ist das dann komplett unsinnig, da jeder reinrassige Client durch IPv6 PE (privacy extension) mehrere Adressen zu jeder Zeit trägt.

Ich kenne selbst aus dem Unternehmensumfeld eben kaum ein Szenario in dem es unabdingbar ist, dass ein Client sich im DHCP des AD registrieren muss. Das Einzige was das bringt ist eben, dass der Windows DNS dann den Clientnamen auflösen kann. Da der aber auch berühmt berüchtigt ist dafür, seinen Krempel nicht aufzuräumen und dann Clients mit alten IPs ewig im DNS rumgammeln, ist das ein zweifelhafter Nutzen.

Wir haben statt dessen aber mehrfach Szenarien, in denen bspw. das AD in einer DMZ oder einem Servernetz läuft und mehrere Clientnetze auf den Sensen terminieren, die Sense dafür DHCP und DNS Forwarder/Resolver spielt und nur die interne AD Domain/s einfach auf die Windows Welt weitergeleitet wird, damit die sonstigen Dienste laufen. Und das klappt auch wunderbar so. Da der DNSmasq oder Unbound auf der Sense damit den DHCP für annähernd alle Clients spielt können die sich trotzdem intern auflösen und alles andere geht dann eben an den/die AD Server.

Ist gerade auch bei mehreren Standorten wesentlich angenehmer zu handeln ohne sich mit Tunneln und derlei rumzuschlagen.