[GELÖST] DHCP & DNS: auf OPNsense oder lieber separat?

Started by Emma2, April 12, 2024, 11:28:42 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 12, 2024, 11:28:42 AM Last Edit: April 12, 2024, 12:12:07 PM by Emma2
Ich habe mal eine ganz grundlegende Frage und hoffe, dass Ihr mir dabei weiterhelfen könnt.

Ich setze meine OPNsense als VM auf Virtualbox ein und nutze sie natürlich als Router/Firewall und baue damit einen Tunnel zwischen zwei Standorten auf. Aktuell setze ich keinen Verzeichnisdienst ein (hatte früher MS-AD, brauche das aber zur Zeit nicht, und wenn doch würde ich etwas anders MS-freies nutzen, z.B. LDAP).

Für meine internen Zwecke habe ich ein dezidiertes Ubuntu mit dnsmasq laufen, das reicht mir für DHCP und DNS. Für die Redundanz habe ich in jedem der beiden Standorte zwei solcher Server.

Nun denke ich darüber nach, ob ich diese beiden vielleicht wieder abschaffen sollte und DHCP und DNS direkt auf der OPNsense nutzen sollte. Macht das aus Eurer Sicht Sinn? Wenn die OPNsense nicht läuft, dann kann ich sowieso nicht arbeiten, allein die Ausfallsicherheit ist also für mich kein hinreichendes Argument, die separaten DHCP/DNS-Server zu haben.

Ich bin echt unschlüssig, denn einerseits sind die Ubuntus eingerichtet und laufen, aber andererseits sind sie natürlich eine weitere VM, die auch einmal sterben könnte. Wie wäre Eure "Best Practice"?
April 12, 2024, 11:59:35 AM #1
Hallo,

Kommt also darauf an:
hier solltest du, wenn du es ganz genau machen willst, eine Risikoanalyse anfertigen.

DNS und DHCP laufen stabil (Unbound und ISC, Kea keine Ahnung) auch auf OPNsense und die Frage ist, kannst/willst du überhaupt Arbeiten, wenn die OPNsense aussteigt?

Hier sollte man Wartungsaufwand, Ausfallwahrscheinlichkeit und Effekte auf dein Netz beleuchten. Zuhause würde ich sagen: OPNsense rockt. Wenn ich ein Active Directory nutze, dann ändert sich diese Einschätzung wahrscheinlich. Aber weniger wg. Ausfallsicherheit, eher wg. Wartungsaufwand.

April 12, 2024, 12:11:50 PM #2
Hallo.

Danke für die Erläuterung. Ist zwar nicht "zu Hause" aber sehr kleine Firma, und genau deshalb tendiere ich ja dazu, DHCP und DNS auf die OPNsense zu portieren. Wenn die dort stabil laufen, und das schreibst Du ja, dann spricht da nichts dagegen.

Ich werde die vielleicht mal zusätzlich einrichten und dann meine aktiven abschalten.
April 12, 2024, 04:03:35 PM #3
Also mit DHCP (ISC) und DNS (unbound) habe ich seit Mai 2018 hier stabilen Betrieb. Auf IPv4 und IPv6 mit transparenter Zonenerweiterung und ~10 LAN Segmenten und sogar OpenVPN RoadWarrior Setup.

Und das sogar mit Realtek NICs  8)
April 12, 2024, 04:26:08 PM #4
Und bei den Realtek NIC, kannst du bitte mal schreiben welche es sind...
April 13, 2024, 05:57:56 PM #5
Nachbrenner: Könnt Ihr ein gutes Howto empfehlen, wie man DHCP und DNS auf der OPNsense am besten einrichtet? Oder ist das trivial?
Konkret habe ich in jedem der beiden Standorte zwei Subnetze (LAN und DMZ) und würde idealerweise auch Rechner finden wollen, die am jeweils anderen Standort eine Adresse per DHCP bekommen haben. Mit dnsmasq ist das misslungen, denn wenn die beiden DNS-Server jeweils auf den anderen weitergeleitet haben, haben sie bis zum Timeout Pingpong gespielt, und Externzugriffe waren damit extremst langsam...
April 14, 2024, 02:14:15 PM #6
Es handelt sich um sowas hier: (amazon link)
https://www.amazon.de/mini-PC-Barebone-quad-core-Graphics-l%C3%BCfterlos/dp/B06Y2H6G9R

Leider ist die zotac website derzeit down.
April 14, 2024, 02:35:54 PM #7
@Emma2 Du könntest für die beiden Standorte je eine eigene Subdomain verwenden und dann für diese jeweils eine DNS-Weiterleitung. Also z.B.

standorta.firma.de
standortb.firma.de

Inberhalb ein und derselben Zone würde das z.B. mit Windows Active Directory funktionieren.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 15, 2024, 10:42:08 AM #8
Dann müsste ich aber alle Namen voll qualifizieren. Geht es nicht auch anders?

  • Können sich nicht zwei OPNsense-DNSse gegenseitig synchronisieren oder replizieren?
  • Könnte man alternativ dafür sorgen, dass eine Weiterleitung nicht zurückgeworfen wird?
April 15, 2024, 10:45:17 AM #9
1. Nur in Form eines HA-Paares.
2. M.W. nicht.

Deine Clients haben doch einen Search Domain Liste. Trag da die beiden Domains für beide Standorte ein und "ping host" guckt zuerst in der einen und dann in der anderen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 15, 2024, 10:50:08 AM #10
Die Zwei-Domain-Lösung ist mir nicht so sympathisch, weil ich dann recht viel ändern müsste... dann verzichte ich zur Not auf das Auffinden entfernter DHCP-Clients (kommt nicht so oft vor).
Aber was sind HA-Paare?
April 15, 2024, 10:54:19 AM #11
High-Availability - ein Cluster aus zwei synchronisierten Firewalls an einem Standort.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 15, 2024, 11:02:31 AM #12
Ach so... als Nicht-wirklich-Experte dachte ich schon, das hätte etwas mit dem "HAProxy" zu tun...
Aber was heißt "ein Standort"? Ich kann das also nicht durch meinen Tunnel hindurch betreiben?
April 15, 2024, 11:04:54 AM #13
Nein, die beide Firewalls brauchen identische Interface-Konfiguration etc. HAproxy heißt natürlich auch HAproxy, weil er High Availability implementiert. Das Teil ist als Frontend vor einer Farm von Webservern (u.a.) gedacht.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 15, 2024, 11:22:12 AM #14
Schade. Dennoch lieben Dank für die Erläuterung.
Print
Go Up Pages1
User actions