Frage zu DNS Overrides

[kosta]

Hallo,
kann mich jemand bitte aufklären?
Unbound DNS Overrides:
Ein Host Override, irgendwie logisch für mich, müsste jeweilige andere Einträge "overriden". Oder?
Also zB wenn Einstellungen wie:
Register DHCP leases oder Register DHCP static mappings angehakt sind
Dann dürfte Host Override diese DNS Einträge überschreiben?

Tut's aber nicht...

Wenn die Haken oben gesetzt sind, egal was in Overrides steht, wird einfach nicht honoriert. Wenn ich aber die Haken entferne, funktionieren die Overrides.

Ist das by Design?

[Patrick M. Hausen]

Ja. Die Overrides sind gedacht für Dinge, die nicht "local" sind. Warum würdest Du auch Static DHCP in Dein DNS übernehmen, aber das dann doch nochmal ändern wollen?

[kosta]

Weil es praktisch ist, wenn DHCP die hostnames ins DNS schreibt, aber gleichzeitig ich andere IP für den HAProxy nehmen kann (als Beispiel: server ist 192.168.11.1, Override 192.168.11.254 für HAProxy). Oder, mache ich da was vollkommen falsch? (konzeptuell)

[Patrick M. Hausen]

Aber dann schreibt DHCP doch nichts für HAProxy, oder? Das koexistiert schon. Du kannst nur nichts übersteuern, was vom DHCP kommt ...

[kosta]

Mmm, verstehe nicht ganz:

Aber dann schreibt DHCP doch nichts für HAProxy, oder?

Was meinst du damit?

 HAProxy rennt "auf" der Firewall. Die IP der Firewall ist bei mir .254, egal ob LAN oder VLANs. Damit aber zB. die NAS über HAProxy geht, muss ich die IP der NAS auf die Firewall-IP umschreiben - also ist nicht mehr .101 sondern .254 im DNS. Und das funktioniert eben nicht, wenn die zwei Haken gesetzt sind, je nach dem ob es eine statische IP oder per DHCP vergeben IP ist.
Irgendwie Schade dass ich auf das eine oder das andere verzichten muss...? Mehr Sinn tät für mich ergeben wenn Override praktisch auf der obersten Ebene sitzt und überschreibt egal was im System angegeben ist. Oder nicht?

[Radek]

Wir haben ahnliche Problem. Wir haben folgende:

Register DHCP leases = Ja
Register DHCP static mappings  = Ja

Die static mapping benutzen wir für wichtege Servers - zum beispiel jenkinsserver. Falls ein Mitarbeiter jenkinsserver für Ubuntu Desktop auch benutze (hat einmal schon passiert), haben wir ein grosse Problem. Früher haben wir die DNS overrides für alle wichtige Server gemacht, aber dass hilfft nicht mehr

[kosta]

Ich bin am Thread nach wie vor abonniert, aber ich verstehe dein Problem nicht mal annährend.

[Radek]

Can I try in English - my German is not that great but unfortunately I only managed to find this thread in German.

Our problem is that we would like to use both

Register DHCP leases
Register DHCP static mappings

So peoples computers name can be resolved by DNS. For Example I install my desktop as radek-desktop and than I want to be able to do ping radek-desktop and it should work.

In addition to that we have few servers for which we have static mappings. Such as jenkinsserver. The problem is if some evil colleague installs his desktop and call it jenkinsserver, than all other colleagues will be accessing not the jenkinsserver, but computer of that evil colleague and that causes quite some problems in our company.

[kosta]

This is a German forum... you should post questions in English in English forum.
https://forum.opnsense.org/index.php?board=1.0

[Radek]

ok - habe ich gemacht: https://forum.opnsense.org/index.php?topic=22617.0

[lfirewall1243]

Aber was bringt dir der DHCP Static Eintrag im DNS, wenn du eh auf den HAProxy möchtest?

Warum nicht einfach nur der Override?

Sehe da noch nicht wirklich einen Sinn in deinem Vorhaben -  klingt er nach einem unnötigen Problem

[kosta]

Ich habe die statischen Einträge eigentlich nur als Referenz, sodass ich keine weitere Dokumentation dazu benötige. Dort sehe ich die aktuellen IP Adressen der Server, und die freien die ich vergeben kann.
Der zweite Haken ist eben entfernt, sodass nur die Overrides greifen.

[lfirewall1243]

Ich habe die statischen Einträge eigentlich nur als Referenz, sodass ich keine weitere Dokumentation dazu benötige. Dort sehe ich die aktuellen IP Adressen der Server, und die freien die ich vergeben kann.
Der zweite Haken ist eben entfernt, sodass nur die Overrides greifen.

Dann würde ich mich eine gescheite Systemdokumentation erstellen, wie es auch üblich ist.

Schon besteht das Problem nicht mehr

[kosta]

Dann würde ich mich eine gescheite Systemdokumentation erstellen, wie es auch üblich ist.

Schon besteht das Problem nicht mehr

Oh bitte hör auf... ich habe auch keinen "Problem". So lange es funktioniert, ist es meine Entscheidung wie ich es in meinem Heimnetzwerk mache, und weder das eine noch das andere ist falsch.
Aber, ich danke dir für deinen Vorschlag.

[JeGr]

Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste. WENN die einen sinnvollen Dienst anbieten, bekommen sie ne statische Adresse (ggf. vom DHCP via static mapping) und dann haben sie auch durch DHCP static registering automagisch nen DNS Namen. So weit so gut.

Dass man ein NAS bspw. nicht hintern HAproxy packen kann UND es gleichzeitig mit dem gleichen Namen logischerweise nicht mehr direkt aufrufen kann - ja klar, wie soll DNS denn das abbilden?

Dann muss man sich eben einen sinnvollen Service(!)namen einfallen lassen und DEN auf den HAproxy zeigen lassen. Wenn es ein 0815 Webservice ist, dann nenne ich den eben webserviceXY.home.arpa und mein NAS kann ich trotzdem via NAS.home.arpa aufrufen. Einfach nen DNS Override für Webservice.home.arpa im Unbound anlegen der auf die FW IP zeigt, die der HAproxy hat. Oder man nimmt sich gar eine zweite IP für den HAproxy (Alias oder CARP je nach Setup) und packt den HAproxy da drauf und lässt dann auch den DNS für den Service eben auf HAproxy zeigen.

Es hat schon seinen Grund, warum man nicht <hw-name> oder <gerätenamen> für Dienste benutzen sollte, sondern sinnvolle/sprechende Namen für die Services. Und dann ist es auch kein Problem sein Gerät (nas.home.arpa) getrennt vom Service (service123.home.arpa) aufzurufen und den Service ggf. dann einfach auf einen LB/Reverse Proxy zu verschieben und die IP anzupassen

Tada