2 DNS Probleme, mir raucht der Kopf

[ComputerKid]

Hi,
ich versuche mich nun hier im Forum. Bin zwar sehr schlecht im erklären, aber habe zu viele Nächte nach meinem Fehler gesucht, nun muss ich es zumindest probieren:

Aufbau (der wahrscheinlich hier nebensächlich ist):
Vodafone Cable <--> Fritzbox <--> OpnSense <--> mehrere interne Netze, jedes in eigenem VLAN.
Die OpnSense nutzt noch Adguard (als Plugin) auf Port 53, dafür läuft Unbound auf Port 5354. DNS Queries werden somit erst von Adguard gefiltert, der Rest dann auf Port 127.0.01:5354 als Upstreamserver weitergeleitet.
Als DHCP ist ISC DHCPv4 aktiv, Unbound registriert brav die Hosts im DHCP Server.
Das lokale DNS Suffix ist eine Subdomain einer Tld, ich nenne sie hier einfach sub.tld.de
Alle Rechner und sonstige Geräte bekommen auch ganz anständig ihren FQDN als PC1.sub.tld.de etc.

ABER: wenn ich nun Rechner im Netzwerk über den FQDN anpinge, gibt es zwei unterschiedliche Verhaltensmuster:
ping PC1.sub.tld.de ergibt die lokale IP, vereinfacht hier 192.168.5.1
Ping Server1.sub.tld.de ergibt die öffentliche IP der tld, 202.xxx.xxx.xx
Ping -a auf die lokale IP 192.168.5.200 von Server1 ergibt aber dann korrekt Server1.sub.tld.de

Scheinbar passiert das bei Geräten, die ihre IP nicht über DHCP erhalten, sondern statische IPs im Netz haben. Ich hab auch versucht, die in Unbound über Overrides zu erfassen, aber das wird einfach ignoriert.

An dieser Stelle wird es seltsam, denn ich bin fest der Meinung, dass bei meiner ersten Probeinstallation von  OpnSense vor zwei Wochen die Overrides noch gegriffen haben?!
Hint: Bei der ersten Installation hab ich einen kleinen positiven Nebeneffekt bemerkt, der mir jetzt fehlt. Der default Hostname ist ja OPNsense...ich hatte damals als override opnsense (Groß-/Kleinschreibung) genutzt, und wenn ich am PC nslookup gestartet hatte, hat er ohne Override als Standardserver "OPNsense" (ohne Suffix) und mit override "opnsense.sub.tld.de" (mit suffix) ausgespuckt, da haben die Overrides definitiv noch funktioniert...

Meine zwei Themen (eventuell doch nur eines?):
1) Eigentlich will ich ja irgendwie dem Unbound signalisieren, dass *.sub.tld.de definitiv lokal aufgelöst wird und nix im Internet zu suchen hat.
2) Warum gehen meine Overrides nicht mehr?

Vielen Dank im voraus fürs einlesen und für Ideen,
Martin

[JeGr]

Ping Server1.sub.tld.de ergibt die öffentliche IP der tld, 202.xxx.xxx.xx
Ping -a auf die lokale IP 192.168.5.200 von Server1 ergibt aber dann korrekt Server1.sub.tld.de

Scheinbar passiert das bei Geräten, die ihre IP nicht über DHCP erhalten, sondern statische IPs im Netz haben. Ich hab auch versucht, die in Unbound über Overrides zu erfassen, aber das wird einfach ignoriert.

OK das kann man recht einfach aufklären. Server, die du statisch vergibst melden sich nicht in Unbound an, ergo wird der DNS den du abfragst an die Sense geschickt und da die Default DNS Zone von unbound meist mit "transparent" konfiguriert ist, wird bei "nicht-erkennen" des Namens die Anfrage einfach an einen externen DNS weitergegeben, meist an den, auf dem sub.tld.de dann hinterlegt ist - oder an den Domain Master von tld.de. Wenn dort dann ggf. ein Wildcard DNS Eintrag existiert à la *.tld.de oder *.sub.tld.de, dann wird als Antwort die externe Antwort des externen Servers rückgemeldet.

Das haben wir schon häufiger gesehen bei Domain Setups, bei denen extern auf dem DNS Server der Domain nen Wildcard Eintrag gesetzt wurde. Je nach Anbieter und DNS gilt der dann für "einfach alles" oder nur für die definierte Ebene (*.tld.de wäre dann alles was <name>.tld.de ist aber nicht blah.name.tld.de - kommt aber stark auf den Anbieter an)

Bei einem definierten Host Override für Name: server1 Domain: sub.tld.de darf das aber eigentlich nicht passieren. Der MUSS von unbound beantwortet werdenm ansonsten hängt da was schief. Dazu müsste man dann aber mehr über die unbound/DNS Konfiguration wissen/sehen, um da konkreter zu sagen, was genau das Problem ist.

Die externe IP hängt aber an der unbound Domain Einstellung "transparent" für die von OPNsense genutzte Domain. Man kann hier auch was anderes definieren (lokal bspw., damit NUR lokale Einträge beantwortet werden und alles andere mit NXDOMAIN was er nicht kennt und somit keine internen Fragen nach außen gelangen). Aber die Overrides müssen laufen.

Cheers