Opnsense DNS Warum funktioniert es nicht so wie bei anderen Routern

Started by The_Master, November 05, 2025, 03:50:12 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
November 23, 2025, 11:10:56 PM #15
Du zitierst die Theorie der RFC und hast damit teils auch recht geht aber an dem vorbei was ich als Problem bezeichne.
In der sollte natürlich der DNS genommen werden der schneller antwortet. WILL ich aber nicht. Ich will das der Lancache die erste anfrage bekommt und sollte der nicht erreichbar sein soll die Anfrage an die OpnSense gehen.
Fakt ist das es mit ISC tadelos funktioniert hat die reihenfolge festzulegen!
Und das die Windows Clients das ALLE in meinem Netz auch so übernommen haben. DAS IST FAKT.
Es geht also nur mit KEA NICHT.
November 27, 2025, 10:26:03 PM #16
Quote from: Patrick M. Hausen on November 18, 2025, 03:55:37 PMWas ist denn die eingestellte Domain der OPNsense? Da solltest du nicht .local benutzen sondern z.B. meinedomain.lan oder so etwas. Unter dieser Domain werden die Hostnamen Test1 und Test2 dann ins DNS eingetragen.

Patrick, sag doch sowas nicht, das bleibt ewig online ;) und dann heißt es wieder "das hat aber jemand gesagt ich soll das so machen". Bitte nicht irgendwelche ausgedachten TLDs für internen Betrieb nehmen.

Für zu DNS/Domains sollte man entweder:

* eine echte Domain/TLD verwenden - dann klappt auch der ganze Geraffel rund um DNS, Zertifikate und Co gut und ist problemlos zu automatisieren
* wenn schon eine "ausgedachte" Domain, dann bitte entweder mit der TLD/Endung:
  - .test       was explizit dafür gedacht ist zu testen/ein Labor zu sein
  - .home.arpa  was explizit reserviert wurde für interne/home Domains
  - .internal   was seit Anfang des Jahres jetzt auch offiziell ratifiziert wurde, dass das ein geschützter Domain TLD Suffix ist, der NICHT öffentlich reserviert werden darf.

Gut es gibt noch .example und Co, aber das ist nicht für halbwegs produktive Home/Lab/Spielumgebungen gedacht.

Quote from: Gh0sti on November 23, 2025, 11:10:56 PMDu zitierst die Theorie der RFC und hast damit teils auch recht geht aber an dem vorbei was ich als Problem bezeichne.
In der sollte natürlich der DNS genommen werden der schneller antwortet. WILL ich aber nicht. Ich will das der Lancache die erste anfrage bekommt und sollte der nicht erreichbar sein soll die Anfrage an die OpnSense gehen.
Fakt ist das es mit ISC tadelos funktioniert hat die reihenfolge festzulegen!
Und das die Windows Clients das ALLE in meinem Netz auch so übernommen haben. DAS IST FAKT.
Es geht also nur mit KEA NICHT.

Das stimmt so leider nicht. Das mag jetzt aktuell genau für dein Windows der Fall sein. Die Auslieferung von 2 DNS Servern ist aber trotzdem Client-abhängig, wie die Auflösungs-Reihenfolge ist. Windows macht SEHR oft genau das was du denkst - es nimmt den ersten DNS und ansonten den zweiten wenn der zu lange braucht. Das ist aber Windows jetzt. Alte Windosen oder andere Systeme handeln NICHT zwingend so, denn was die tun liegt an der Art und dem Typ der DNS Konfig, die sie nutzen. Linux damals anders als Linux heute, SYSVINIT anders als SystemD und selbst bei heutigen Systemen kann man es anpassen oder anders einstellen bzw. ein Windows-Update und dann ist es plötzlich eben nicht mehr "nacheinander", sondern parallel wie es viel andere Systeme auch handeln. Du kannst dich eben genau NICHT darauf verlassen, dass die 2 DNSe in einer spezifischen Reihenfolge abgearbeitet werden, darum geht man auch immer davon aus, dass beide gleichberechtigt sind und entsprechend abgefragt werden können. Wenn man das nicht möchte, wird nur ein DNS gepusht - dann aber eben mit Risiko dass der dann tot sein kann, wenn was schief läuft.

Die einzige Art das gezielt und definiert zu 100% sicherzustellen ist es über DNS Loadbalancing zu realisieren, bei der der entsprechende LB dann prüft, welche DNSe verfügbar sind und diese dann in gezielter Reihenfolge befragt. Alles andere ist einfach ein "ja passt schon, kann klappen oder eben auch nicht". Was du als Fakt ansiehst, ist lediglich Zufall.

Cheers :)

"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
November 27, 2025, 11:49:21 PM #17
Quote from: JeGr on November 27, 2025, 10:26:03 PM
Quote from: Patrick M. Hausen on November 18, 2025, 03:55:37 PMWas ist denn die eingestellte Domain der OPNsense? Da solltest du nicht .local benutzen sondern z.B. meinedomain.lan oder so etwas. Unter dieser Domain werden die Hostnamen Test1 und Test2 dann ins DNS eingetragen.

Patrick, sag doch sowas nicht, das bleibt ewig online ;) und dann heißt es wieder "das hat aber jemand gesagt ich soll das so machen". Bitte nicht irgendwelche ausgedachten TLDs für internen Betrieb nehmen.

Du meinst, es ist nicht offensichtlich, dass "meinedomain.lan" ein Platzhalter ist? 🤯
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 12:59:46 AM #18
Das schon. Aber auch in einem Platzhalter sollte man doch Beispiele verwenden, die sich zumindest an gängigen Standards orientieren. meinedomain.internal oder meinedomain.home.arpa wären da als Platzhalter besser geeignet, finde ich 😉
Print
Go Up Pages 1 2
User actions