Weiterleitung auf andere DNS Server funktioniert nicht.

[LHBL2003]

Hallo,

ich habe aktuell die DHCP funktion von OpnSense aktiv. Das funktioniert auch schon sehr gut.
Somit bekomme ich automatisch z.B. die

IP Adresse 172.24.1.100
Subnet: 255.255.255.0
Gateway 172.24.1.1
DNS: 172.24.1.1

Ich habe in einem anderen Netzsegment 172.16.0.0\24 z.B. einen Windows Domain Server mit DNS am laufen und wollte nun das der Client über den Domain Server seine DNS anfrage macht.

Wenn ich in der DHCP Server Konfig von opnSense die IP Adresse des DNS Servers 172.16.0.0\24 eintrage und die Nezwerkkarte des Clients deaktiviere/aktiviere, dann geht das alles, da der Client die DNS Adresse kennt.

Mache ich das wieder rückgängig so das als DNS OpnSense drin steht (172.24.1.1), dann geht es nicht mehr.

Ich habe unter System --> Einstellungen --> Allgemein dien DNS Server hinzugefügt.
Ebenso habe ich unter Dienste --> Unbound DNS --> Allgemein --> DNS Abfrage-Weiterleitung = "Weiterleitungs-Modus aktivieren "
ausbrobiert.

Leider ohne erfolg. Auch alles andere was ich ausprobiert habe klappt nicht.

Wenn die Weiterleitung im OpnSense DNS Server aktiv ist, dann habe ich auch das Phänomen, das ich entweder das Office Netz hinterm Wan oder die System im Netz namendlich aufgelöst bekomme, also entwder über den DNS vom office netz oder DNS aus den Sytem Netz.

Das bekomme ich hin, mit den Optionen unter "System: Einstellungen: Allgemein" spiele:
"Erlaube das Überschreiben der DNS Serverliste durch DHCP/PPP auf WAN"
"Do not use the local DNS service as a nameserver for this system"

Allerdings interessiert dies den client kein stück.

Wie bekomme ich es hin, dass der Windows Client über den DNS von opnSense den DNS Server in einem anderen Segment nutzt und den hinter dem WAN?

Gruß

[LHBL2003]

Scheinbar liegt es an "System: Einstellungen: Verwaltung"

DNS-Rebind-Prüfung
Alternative Hostnamen

Danke erst einmal. Ich melde mich wenn es nicht so ist. Muss erst mal alle konstellationen durchtesten. Aber aktuell geht schon mal mehr als vorher.

[LHBL2003]

Hat doch nichts damit zu tun, ich bekomme nur auf einmal die eine oder andere IP Adresse zurückgemeldet. Scheinbar von der OpnSense DNS Liste. Denn mit nslookup bekomme ich nicht für alle rechner eine rückmeldung. Obwohl alle in der DNS Liste vom Windows Domain Server stehen. Ich würde behaupten das die DNS Weiterleitung von Unbound DNS nicht das macht was ich denke, was es machen müsste.

[LHBL2003]

ich glaube ich hab es gefunden.
Ich muss scheinbar unter: "Dienste: Unbound DNS: Überbrückung" --> Domainüberschreibung den Domain Server hinzufügen. Einmal die Domain Adresse z.B. test.local und die IP Adresse des Domain servers. Dann bekomme ich via nslookup eine nicht autorisierte Antwort wie es auch bei google.de der fall ist. mit der ip v6 und ipv4 adresse.

Wenn mir das noch jemand erkären kann warum das so ist fürde ich mich freuen.

[LHBL2003]

OK also alles was ich oben beschrieben habe, ist so ziemlich hinfällig.

Ich habe in den allgemeinen einstellungen von OpnSense meinen DNS Server ausgetragen. Auch generell überall wo ich etwas geändert hatte, habe ich rückgängig gemacht. Ich habe nicht einmal mehr den Weiterleitungs-Modus aktivieren.

Somit habe ich nur als Änderung in "Dienste: Unbound DNS: Überbrückung" --> Domainüberschreibung
die Domainserverüberschreibung hinterlegt und mein Windows DNS Server wird über den Unbound DNS Server befragt, wenn ich einen DNS namen abfrage.

Jetzt frage ich mich warum dies über den weg funktioniert und nicht den weg wie man es annehmen würde?

[LHBL2003]

Okay ich würde sagen ich habe das Prinzip verstanden.

- Wenn ich eine DNS Anfrage gegen die opnsense schicke, dann prüft diese in ihre eigenen Liste. Mit etwas Glück ist hier ein Eintrag vorhanden.

- Wenn keine Eintrag vorhanden ist, dann wird gegen den WAN DNS aus dem Office Netz angefragt.
  Komischerweise gibt es dann nur antworten zu öffentlichen Adressen wie „Google.de“

- wenn ich als Domainüberschreibung TestDomain.local mit der IP des DNS Servers eintrage so kann ich auch mittels einem rechnernamen eines testrechners eine namensauflösung erzielen, sofern der Rechner Mitglied der Domain ist. Andernfalls müsste ich scheinbar Testrechnername.testdomain.local schreiben also den FQDN

- zum erreichen eines Rechner aus dem Office Netz muss ich dann als Domain Überschreibung officeDomain.local mit der DNS Adresse hinterlegen. Mit dem Rechner aus der testdomain, kann ich dann einen Rechner aus der Office Domain via Rechnername.officeDomain.local FQDN erreichen.