[GELÖST] DNS & DHCP

[Emma2]

Hallo.
Ich habe aktuell ein separates Ubuntu mit DNSMASQ laufen, aber wenn ich es richtig verstehe, kann ich mir das ja "schenken" und die beiden Dienste stattdessen auf meiner OPNsense nutzen?

Da ich die OPNsense nur über die Web-GUI konfigurieren kann, habe ich dazu aber ein paar Fragen:

1. DHCP-Adressreservierungen nehme ich im unteren Teil unter "Statische DHCP-Zuweisung für diese Schnittstelle" vor?
Mich verwirrt das "diese Schnittstelle" ein bisschen, das kann an der GUI liegen oder an mir.

2. Wo trage ich für den DNS-Server die fest vergebenen IPs ein? Irgendwo in der GUI? Oder mit einer hosts-Datei (die dann wo liegen muss)? Oder ganz anders?

3. Ich habe zwei Standorte (mit Tunnel dazwischen), und hatte zuerst die beiden DNSMASQs auf meinen Ubuntus so eingerichtet, dass sie jeweils auf den anderen weiterleiteten, um auch Namen im anderen Subnetz aufzulösen. Dabei hatte ich dann das Problem, dass die beiden bei externen Adressen "Pingpong spielten" ... bis zu einem lange dauernden Timeout. Kann ich das verhindern? Wenn ja: Explizit irgendwo? Oder indem ich NICHT ankreuze "DNS-Server equentiell abfragen? Oder kann DNSMASQ das einfach niemals?

[viragomann]

Hallo,

1. DHCP-Adressreservierungen nehme ich im unteren Teil unter "Statische DHCP-Zuweisung für diese Schnittstelle" vor?
Mich verwirrt das "diese Schnittstelle" ein bisschen, das kann an der GUI liegen oder an mir.

DHCP Server wird je Netzwerk Interface (auch virtuelle) konfiguriert. Das Interface muss eine statische IP haben.
Wenn du nur ein Interface mit statischer IP, nur LAN hast, siehst du auch nur diese eine in der DHCP Konfiguration

"Diese Schnittstelle" bezieht sich jetzt nicht speziell auf die statischen Zuweisungen. Die ganze Konfigurationsseite behandelt eine einzige Schnittstelle. Eine andere wäre links auszuwählen.

2. Wo trage ich für den DNS-Server die fest vergebenen IPs ein? Irgendwo in der GUI? Oder mit einer hosts-Datei (die dann wo liegen muss)? Oder ganz anders?

Du meinst, den DNS, den der DHCP verteilen soll?
Eh auf derselben Seite, unterhalb des DHCP Bereichs. Da kann Wins Server, DNS Server und Gateway konfiguriert werden.
Wenn du den Unbound auf OPNsense als DNS nimmst und diese auch das Gateway ist, können DNS und Gateway leer bleiben. Die jeweilige Interface IP, also bspw. die LAN IP, wird dann automatisch als diese verteilt.

3. Ich habe zwei Standorte (mit Tunnel dazwischen), und hatte zuerst die beiden DNSMASQs auf meinen Ubuntus so eingerichtet, dass sie jeweils auf den anderen weiterleiteten, um auch Namen im anderen Subnetz aufzulösen. Dabei hatte ich dann das Problem, dass die beiden bei externen Adressen "Pingpong spielten" ... bis zu einem lange dauernden Timeout. Kann ich das verhindern? Wenn ja: Explizit irgendwo? Oder indem ich NICHT ankreuze "DNS-Server equentiell abfragen? Oder kann DNSMASQ das einfach niemals?

So etwas macht man mit Abfrage-Weiterleitungen für die jeweiligen Domains. Voraussetzung ist natürlich, dass beide Seiten unterschiedliche lokale Domänen verwenden. Dann kannst du die Abfragen auf den DNS-Server der anderen Seite weiterleiten.

Unter Unbound DNS findest du den Bereich "Query Forwarding", vermutlich mit "Abfrage-Weiterleitung" übersetzt. Da kannst du eine Weiterleitung hinzufügen, die lokale Domain der Remoteseite eintragen und den DNS Server der Remoteseite.
Auf der Remoteseite (nehme an, da läuft auch OPNsense) musst du unter Zugriffslisten eine Erlauben-Regel für die Quell-IP der anderen Seite erstellen.

[Emma2]

Ok, meine Fragen waren ungeschickt gestellt, deshalb noch einmal:

1. Wenn ich möchte, dass manche DHCP-Clients immer die selbe IP bekommen (Adressreservierung), wo und wie trage ich das ein? ALso nicht dort unten?

2. Hier bin ich gesprungen von DHCP zu DNS: Wie trage ich die festen IPs ein (also die Rechner im lokalen Netz, auf deren Karten eine feste Nicht-DHCP-IP eingetragen ist)? Bei dnsmasq auf meinem Ubuntu muss ich dazu die Datei hosts füllen. Ist das hier auch so? Wenn ja, wo muss diese Datei liegen?

3. Wenn beide Subnetze zur selben lokalen Domain haben, geht es also nicht? Ok, ich kann das verstehen, hatte aber die Hoffnung, dass man einstellen könnte, dass ein weitergeleiteter Aufruf nicht an den Aufrufer (zrück-)weitergeleitet wird. Aber das ist wohl zu viel verlangt.

[viragomann]

1. Wenn ich möchte, dass manche DHCP-Clients immer die selbe IP bekommen (Adressreservierung), wo und wie trage ich das ein? ALso nicht dort unten?

Wenn ich von DHCP spreche, meine ich ISC DHCP. KEA, das auch in der Services aufscheint, unterstützt, glaub ich, immer noch nicht all diese Funktionen.

In den ISC DHCP der jeweiligen Schnittstelle gibt es ganz unten den Bereich "statische Zuweisungen". Da mit "+" eine hinzufügen. MAC und IP sind Pflicht, der Rest ist optional.
Wenn du da einen Hostnamen auch angibst, wird dieser gleich ins DNS eingetragen, in Unbound DNS die "Registrierung statischer Zuweisungen" aktiviert, vorausgesetzt.

2. Hier bin ich gesprungen von DHCP zu DNS: Wie trage ich die festen IPs ein (also die Rechner im lokalen Netz, auf deren Karten eine feste Nicht-DHCP-IP eingetragen ist)?

Services: Unbound DNS: Überschreibungen
Oben unter Hosts kann nur für jede IP ein Hostname angegeben werden. Zusätzlich Hostnamen können im unteren Bereich hinzugefügt werden.

3. Wenn beide Subnetze zur selben lokalen Domain haben, geht es also nicht?

In diesem Fall würde ich Host-Überschreibung verwenden. Wenn die beiden Netze ständig verbunden sind, reicht es, die Einträge auf einer Seite zu machen und auf der anderen eine Domain-Weiterleitung einzurichten. Zuverlässiger wäre aber alle Hostnamen auf beiden Seiten zu führen, damit beide DNS sie unabhängig voneinander auflösen können.

[Emma2]

1. Ja, danke, das habe ich vermutet, war nur unsicher, weil dort "diese Schnittstelle" steht. Aber offenbar ist damit gemeint "für den DHCP-Server auf dieser Schnittstelle".

2. Dann muss ich "Unbound DNS" ANSTELLE des Dnsmasq-DNS-Diensts nutzen? Aber bei "normalem" Dnsmasq geht es, wie gesagt, ganz einfach über die Hosts-Datei, und "wer lesen kann, ist klar im Voretil": dort steht ja wörtlich "Do not read hostnames in /etc/hosts", dann passt das.

3. Ja, die festen IPs (die der Server) habe ich auch jetzt auf beiden Dnsmasq, es geht mir eher um die DHCP-Clients. Da das aber nicht so unendlich oft vorkommt, kann ich wohl damit leben.

Danke!

[viragomann]

2. Mir war gar nicht bewusst, dass Dnsmasq noch an Board ist. Hatte ich schon Jahre nicht mehr verwendet.
Unbound bietet mehr Möglichkeiten und läuft auch mit nur ein paar Konfigurationsschritten.

3. Warum haben die beiden Seiten eigentlich dieselbe lokale Domain? Gibt es einen Grund, das so weiter zu führen?
Die Domain-Weiterleitung funktioniert wunderbar und spart Konfigurationsaufwand.

Mit denselben Domains gehen eben nur Hostüberschreibungen, weil jeder der DNS Server sich dafür zuständig fühlt und damit nichts weiterleiten kann.