Lokale Domain, VPN und Unbound DNS

[zeropage]

Moin!

Ich beschäftige mich schon einige Jahre mit Netzwerkthemen und habe vor kurzem hinter meinen DSL Router eine APU mit OPNsense geschaltet. Für dessen LAN würde ich nun gerne mal eine lokale Domain verwenden. Also zum Beispiel xyz.home.arpa. Für Zugriffe aus dem Internet nutze ich bereits DynDNS und eine Domain example.de bzw. lan.example.de. Die Clients im LAN möchte ich gerne gerne mit nas.lan oder nas.lan.example.de ansprechen können.

Mir ist nicht klar, welche Angabe ich unter System: Settings: General: Domain machen muss bzw. sinnvoll ist. Und zu Unbound habe ich einiges gelesen. Aber kaum etwas zu OPNsense gefunden. 

Hinzu kommt, dass ich von außen oft VPN nutze. Mein Notebook befindet sich entweder direkt im LAN oder ich greife per OpenVPN auf Clients im LAN zu. Dazu habe ich in Bookmarks bisher die statischen IPs der Clients gespeichert (z.B. 192.168.10.10). Nun wäre die FQDN irgendwie cooler. Geht das?

Hier noch mal das Setup:

Internet -> VPN -> DynDNS -> DSL-Modem -> WAN Router -> LAN1 -> WAN OPNsense -> LAN2 -> Clients (NAS, Mediacenter etc.)

[theq86]

Hey. Ich habe zu Hause einen DNS Server am Laufen. Früher wars n bind auf nem Pi, jetzt macht das meine NAS.

Meine TLD für zu Hause habe ich einfach home genannt. Wenn ich auf meine OPNsense will tippe ich bspw. opnsense.home.

arpa als lokale TLD würde ich nicht empfehlen. Arpa ist eine TLD die für einige technische Aspekte innerhalb von Netzwerken verwendet wird, siehe https://de.wikipedia.org/wiki/.arpa. Als Beispiel wäre die Reverse DNS Auflösung zu nennen. [edit] wie ich gerade las sind home.arpa Adressen zwar tatsächlich dafür vorgesehen, ich finde sie aber nicht schön. :-D [/edit]

Mein DNS Server resolved also meine lokale .home Domain und auf meiner OPNsense habe ich für diese Domain eine Domainüberschreibung eingerichtet. So kann ich meinen Clients die Sense als DNS Server zuweisen und die Sense fragt bei allem was auf .home endet einfach meinen lokalen DNS Server.

Unbound selbst ist nur ein Resolver und hält selbst keine Zonefiles vor. Glaube aber es gibt den bind mittlerweile als OPNsense Plugin.

Einziger Nachteil daran ist, dass ich für meine .home Domain keine vom Browser vertrauten SSL Zertifikate bekomme. Ich bin aber auch kein Freund davon eine Domain sowohl extern als auch intern zu verwenden, das ist aber Geschmackssache. Du kannst natürlich auch eine meinzuhause.de Domain verwenden. Das macht aber mMn. nur dann Sinn, wenn dir diese Domain ebenfalls gehört.

[JeGr]

@theq86
.home ist eine offizielle gTLD. Ist also genauso ungeschickt zu nutzen als "meinzuhause.de". Wenn man ordentlich spielen möchte UND ggf. später noch mit LetsEncrypt offizielle Zertifikate erstellen möchte, sollte man sich eine Domain kaufen/zulegen und entweder (wenn sie extern gar nicht genutzt wird) diese nutzen oder (besser) eine Subdomain davon intern nutzen. Sowas wie "home.mydomain.de".
Was vielleicht mal erlaubt war bevor .home offiziell wurde (siehe auch das Chaos um .box, .local und andere TLDs die gern fälschlich verwendet wurden) ist inzwischen klar geregelt. Der OP hat hier völlig recht, die IANA schreibt in RFC8375 die "home.arpa" als definitiv für Heimnetze verwendbare Domain aus. Damit hat sie in etwa den gleichen Status wie ".test" auf RFC2606 allerdings wird .test eher für Labs o.ä. genutzt und liest sich dann nicht so schön.

Wenn man sich an die Domain Spielregeln hält, hat man nicht hinterher Probleme mit allerlei DNS Resolvern oder Diensten, kann hinterher ordentliche Zertifikate nutzen und lernt dabei noch was über DNS.

Wer das alles nicht will oder braucht, sollte aber statt dessen zu einer eindeutig NICHT aufzulösenden TLD greifen. Es gibt dafür bspw. in RFC2606 festgeschrieben die TLD .test. Alles was bspw. <meinname.test> ist, wird von DNS Forwardern/Resolvern extern nicht weitergeleitet oder aufgelöst, da sie per RFC dazu angehalten sind, diese Requests nicht zu bearbeiten, außer sie sind selbst SOA (also für die entsprechende Domain zuständig). Andere sind .example für Dokus, .invalid die immer negativ aufgelöst sein müssen und .localhost. Diese special use TLDs sind für interne Zwecke gedacht und werden von externen DNS Servern nie/nicht aufgelöst.

TL;DR

Setzt ihr eine Spielwiese auf und offizielle Domains oder Zertifikate sind euch wurscht?
-> {irgendeinname}.test ; Bspw. mydomain.test

Ihr wollt nur euer Heimnetz ordentlich aufbauen, spätere Zugriffe oder Zertifikate sind egal?
-> {irgendeinname}.home.arpa ; Bspw. mydomain.home.arpa

Ihr wollt das in eurem Heimnetz nutzen und ggf. später per DynDNS, IP6 o.ä. von extern drauf zugreifen oder ein ordentliches internes DNS haben?
-> {subdomain}.{eure-echte-domain}.{tld} ; Bspw.: lan.mydomain.de


=> https://tools.ietf.org/html/rfc2606 (.test, .example etc.)
=> https://tools.ietf.org/html/rfc6761 (.test, .example etc.)
=> https://tools.ietf.org/html/rfc8375 (migration from .home to .home.arpa)

[micneu]

hi, ich setze cloudflare.com als dns server für eine meiner domain ein.
und in general --> setting --> general einfach die domain eintragen.

[JeGr]

Ömm Mic? Was hat das mit ner internen Domain zu tun? Klar kann man in dem Feld "Domain" alles mögliche eintragen, es ging ja aber darum, wie man intern sauber seine eigene Home-Domain definiert/aufbaut.

[franco]

DNS als DNS Server eintragen geht zwar, aber ist nicht so gut wenn es sonst keinen DNS Server als IP gibt.


Grüsse
Franco

[zeropage]

Erstmal vielen Dank für eure ausführlichen Antworten. 

Wenn man sich an die Domain Spielregeln hält, hat man nicht hinterher Probleme mit allerlei DNS Resolvern oder Diensten, kann hinterher ordentliche Zertifikate nutzen und lernt dabei noch was über DNS.

Genau das ist es, was ich möchte. Mit Domains und Zertifikaten habe ich schon einige Erfahrungen gesammelt. Für meinen extern gehosteten VServer habe ich bereits 2 Domains und nutze Let's Encrypt mit DNS-Challange. Für mein Heimnetz habe ich bei OVH eine Domain. Wegen dem ISP Reconnect habe ich auf OPNsense und OVH DynDNS konfiguriert. Eigentlich meinte ich mit meinem Post 3 Fragen:

• Wenn ich mich Zuhause - also im LAN befinde, kann/sollte ich dort auch die öffentliche Domain (lan.mydomain.de) verwenden? Falls ja, sollte aber mein Resolver die Situation erkennen/auflösen, und die Anfrage nicht an externe DNS-Dienste weiterleiten.
• Wie muss ich das in OPNsense konfigurieren?
• Laut c't 21/2017 geht das mit Unbound. Ist das mit OPNsense auch sinnvoll?

[zeropage]

Internet -> VPN -> DynDNS -> DSL-Modem -> WAN Router -> LAN1 -> WAN OPNsense -> LAN2 -> Clients (NAS, Mediacenter etc.)

Mein Pfad hat einen kleinen Fehler. Wenn ich mich mit einem VPN-Client mit dem LAN2 verbinde, geht dies zum VPN-Server in OPNsense und nicht zum DSL-Modem oder so. Ich hätte gerne folgenden Setup:

Unterwegs:

Client (Notebook) -> kodi.lan2.example.de -> VPN {Internet -> DynDNS -> DSL-Modem -> Router -> LAN1 -> OPNsense -> LAN2 -> Mediacenter (usw.)}

Zuhause:

Client (Notebook) -> kodi.lan2.example.de (*1) -> LAN2

*1: Ist zuhause der FQDN überhaupt sinnvoll? Oder solte ich die Geräte dann nur per host.lan2 ansprechen?

[JeGr]

> 1) Wenn ich mich Zuhause - also im LAN befinde, kann/sollte ich dort auch die öffentliche Domain (lan.mydomain.de) verwenden? Falls ja, sollte aber mein Resolver die Situation erkennen/auflösen, und die Anfrage nicht an externe DNS-Dienste weiterleiten.

Ja und Ja. Du solltest durchgehend die gleiche Domain verwenden. Wenn du von extern zugreifen willst, dann löst (nach meinem Verständnis was du gebaut hast) ein externer DNS Server das Ganze bei OVH durch DynDNS auf und es kommt deine externe Adresse bei raus. Bist du intern wird dein Resolver auf der Sense das abfangen und ggf. was anderes zurückliefern (Stichwort: Host Override). Interner DNS Resolver und Host Overrides für kleine Setups oder ggf. ein echter interner Server (Bind, PowerDNS, ggf. ein Pi-Hole wäre auch denkbar) übernehmen das dankbar. Bei mir reicht bspw. das Host Override massig, da ich zusätzlich alle fix im DHCP eingetragenen (nicht die dynamischen vergebenen!) Clients/Geräte auch in den DNS mit aufnehmen lasse. Somit musste ich lediglich ein paar Geräte händisch als Host Override, die anderen als DHCP Zuweisung anlegen. Fertig.

> 2) Wie muss ich das in OPNsense konfigurieren?

Siehe oben. DNS Resolver/Unbound und gut. Alternativ wenn der Resolver an deinem Anschluß Probleme machen sollte(!) DNS Forwarder/DNSmasq nehmen. Ich finde aber Forwarding auf zentrale Server (egal ob Google, Quad9, CF etc.) selbst mit DNSoverTLS/HTTPS unschön. Ich lasse da lieber die DNS requests per Resolver direkt bei den Zielservern direkt auflösen.

> 3) Laut c't 21/2017 geht das mit Unbound. Ist das mit OPNsense auch sinnvoll?

Rate mal welchen Dienst die Sensen als DNS Resolver nutzen

> Client (Notebook) -> kodi.lan2.example.de -> VPN {Internet -> DynDNS -> DSL-Modem -> Router -> LAN1 -> OPNsense -> LAN2 -> Mediacenter (usw.)}

Nunja um unterwegs Kodi aufzurufen musst du ja eh mit VPN verbunden sein. Ohne irgendwelche Dienste einfach so ins Netz hängen wäre ja fatal. Ergo wird bei einem halbwegs vernünftigen VPN Setup (OpenVPN bspw.) dir eh dein interner DNS gepusht und somit werden die Sachen auch aufgelöst als wärst du zu Hause.

> *1: Ist zuhause der FQDN überhaupt sinnvoll? Oder solte ich die Geräte dann nur per host.lan2 ansprechen?

Es sollte beides problemlos möglich sein, wenn per DHCP die richtige Default Domain bzw. ein entsprechender Domain Search Path gepusht wird. Wenn du bspw. 2lan.example.de pushst, sollte es kein Problem sein mit "ping kodi" eine Antwort zu bekommen. Wenn du nur "example.de" machst, dann eben kodi.lan2. Ich würde aber bei FQDNs bleiben, damit hat man am wenigsten Ärger, weil es keinen Interpretationsspielraum gibt.

Wenn du Kodi bspw. mit MySQL Backend verwenden würdest, könntest du als MySQL Host auch "db.lan.example.de" angeben. Trotzdem gibts Situationen, da ist die IP besser weil die Anwendung einfach schneller wird wenn sie auf DNS verzichtet. Im Normalfall sollte das aber keine Geige spielen.

Grüße

[zeropage]

> *1: Ist zuhause der FQDN überhaupt sinnvoll? Oder solte ich die Geräte dann nur per host.lan2 ansprechen?

Es sollte beides problemlos möglich sein, wenn per DHCP die richtige Default Domain bzw. ein entsprechender Domain Search Path gepusht wird. Wenn du bspw. 2lan.example.de pushst, sollte es kein Problem sein mit "ping kodi" eine Antwort zu bekommen. Wenn du nur "example.de" machst, dann eben kodi.lan2. Ich würde aber bei FQDNs bleiben, damit hat man am wenigsten Ärger, weil es keinen Interpretationsspielraum gibt.

Ich habe das mit der lokalen Domain usw. nun aufgesetzt. Was allerdings leider noch nicht funktioniert, ist das mit dem "pushen". In OPNsense habe ich beim openVPN server u.a. folgendes konfiguriert:

DNS Default Domain: xyz.home.arpa
DNS Servers: 192.168.10.1 (IP der sense)

Im log steht u.a. folgendes:

Code: [Select]

openvpn[40932]: vpn/91.44.27.162:57768 SENT CONTROL [vpn]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 192.168.0.100 255.255.255.255,dhcp-option DOMAIN xyz.home.arpa,dhcp-option DNS 192.168.10.1,route 10.10.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.10.0.6 10.10.0.5,peer-id 0,cipher AES-256-GCM' (status=1)

Wenn ich mich nun remote per OpenVPN-Client verbinde, wird ein "dig xyz.home.arpa" mit NXDOMAIN beantwortet. Das selbe, wenn ich dyn.example.de pushe.

Bin leider etwas ratlos.  Und die Variante mit der hosts-Datei auf dem Client möchte ich eigentlich nicht mehr so gerne verwenden. 

[JeGr]

> wird ein "dig xyz.home.arpa" mit NXDOMAIN beantwortet. Das selbe, wenn ich dyn.example.de pushe.

Und wer antwortet auf deine Anfrage? Übernimmt der Client überhaupt korrekt deine Einstellung der .10.1?
Wenn ja, schau mal in die DNS Einstellungen ob da noch Rechte eingestellt werden müssen/sind, die verbieten, dass Anfragen aus dem VPN Netz gestellt werden?

Gruß

[ChrisXY]

Auch wenn das Thema schon was älter ist .. ist es das was ich auch Plane.
Ich möchte gerne diverse Dienste mit Domain aufrufen    mailserver-meinedomain.de
Ich habe hier auch schon eine externe Domain.

Mit unbound und DNS habe ich mich noch nicht so viel beschäftigt. Welche Einstellungen müsste ich den nun genau tätigen ?
also localdomain würde ich dann meinedomain.de hinterlegen ? Und im unbound DNS denke unter "/services_unbound_overrides.php"  etwas eintragen ? z.b mailserver.meinedomain.de zu 192.18.1.5 ??

Mit meinem openVPN und untern nutze ich ja als DNS server die ip von opnsense.