Frage zu DNS Overrides

Started by kosta, February 25, 2021, 10:43:38 PM

Previous topic - Next topic
Print
Go Down Pages1 2 3
User actions
February 25, 2021, 10:43:38 PM
Hallo,
kann mich jemand bitte aufklären?
Unbound DNS Overrides:
Ein Host Override, irgendwie logisch für mich, müsste jeweilige andere Einträge "overriden". Oder?
Also zB wenn Einstellungen wie:
Register DHCP leases oder Register DHCP static mappings angehakt sind
Dann dürfte Host Override diese DNS Einträge überschreiben?

Tut's aber nicht...

Wenn die Haken oben gesetzt sind, egal was in Overrides steht, wird einfach nicht honoriert. Wenn ich aber die Haken entferne, funktionieren die Overrides.

Ist das by Design?
February 26, 2021, 12:04:41 AM #1
Ja. Die Overrides sind gedacht für Dinge, die nicht "local" sind. Warum würdest Du auch Static DHCP in Dein DNS übernehmen, aber das dann doch nochmal ändern wollen?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 26, 2021, 12:25:21 AM #2 Last Edit: February 26, 2021, 01:26:12 AM by kosta
Weil es praktisch ist, wenn DHCP die hostnames ins DNS schreibt, aber gleichzeitig ich andere IP für den HAProxy nehmen kann (als Beispiel: server ist 192.168.11.1, Override 192.168.11.254 für HAProxy). Oder, mache ich da was vollkommen falsch? (konzeptuell)
February 26, 2021, 10:53:42 AM #3
Aber dann schreibt DHCP doch nichts für HAProxy, oder? Das koexistiert schon. Du kannst nur nichts übersteuern, was vom DHCP kommt ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 26, 2021, 11:44:47 AM #4 Last Edit: February 26, 2021, 11:48:49 AM by kosta
Mmm, verstehe nicht ganz:
QuoteAber dann schreibt DHCP doch nichts für HAProxy, oder?
Was meinst du damit?

HAProxy rennt "auf" der Firewall. Die IP der Firewall ist bei mir .254, egal ob LAN oder VLANs. Damit aber zB. die NAS über HAProxy geht, muss ich die IP der NAS auf die Firewall-IP umschreiben - also ist nicht mehr .101 sondern .254 im DNS. Und das funktioniert eben nicht, wenn die zwei Haken gesetzt sind, je nach dem ob es eine statische IP oder per DHCP vergeben IP ist.
Irgendwie Schade dass ich auf das eine oder das andere verzichten muss...? Mehr Sinn tät für mich ergeben wenn Override praktisch auf der obersten Ebene sitzt und überschreibt egal was im System angegeben ist. Oder nicht?
April 13, 2021, 09:02:52 AM #5
Wir haben ahnliche Problem. Wir haben folgende:

Register DHCP leases = Ja
Register DHCP static mappings  = Ja

Die static mapping benutzen wir für wichtege Servers - zum beispiel jenkinsserver. Falls ein Mitarbeiter jenkinsserver für Ubuntu Desktop auch benutze (hat einmal schon passiert), haben wir ein grosse Problem. Früher haben wir die DNS overrides für alle wichtige Server gemacht, aber dass hilfft nicht mehr :(
April 13, 2021, 09:08:42 AM #6
Ich bin am Thread nach wie vor abonniert, aber ich verstehe dein Problem nicht mal annährend.
April 13, 2021, 09:19:02 AM #7
Can I try in English - my German is not that great :( but unfortunately I only managed to find this thread in German.

Our problem is that we would like to use both

Register DHCP leases
Register DHCP static mappings

So peoples computers name can be resolved by DNS. For Example I install my desktop as radek-desktop and than I want to be able to do ping radek-desktop and it should work.

In addition to that we have few servers for which we have static mappings. Such as jenkinsserver. The problem is if some evil colleague installs his desktop and call it jenkinsserver, than all other colleagues will be accessing not the jenkinsserver, but computer of that evil colleague and that causes quite some problems in our company.
April 13, 2021, 09:39:26 AM #8
This is a German forum... you should post questions in English in English forum.
https://forum.opnsense.org/index.php?board=1.0
April 13, 2021, 09:53:04 AM #9
April 13, 2021, 11:15:34 AM #10
Aber was bringt dir der DHCP Static Eintrag im DNS, wenn du eh auf den HAProxy möchtest?

Warum nicht einfach nur der Override?

Sehe da noch nicht wirklich einen Sinn in deinem Vorhaben -  klingt er nach einem unnötigen Problem
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
April 13, 2021, 11:54:36 AM #11
Ich habe die statischen Einträge eigentlich nur als Referenz, sodass ich keine weitere Dokumentation dazu benötige. Dort sehe ich die aktuellen IP Adressen der Server, und die freien die ich vergeben kann.
Der zweite Haken ist eben entfernt, sodass nur die Overrides greifen.
April 13, 2021, 11:57:19 AM #12
Quote from: kosta on April 13, 2021, 11:54:36 AM
Ich habe die statischen Einträge eigentlich nur als Referenz, sodass ich keine weitere Dokumentation dazu benötige. Dort sehe ich die aktuellen IP Adressen der Server, und die freien die ich vergeben kann.
Der zweite Haken ist eben entfernt, sodass nur die Overrides greifen.
Dann würde ich mich eine gescheite Systemdokumentation erstellen, wie es auch üblich ist.

Schon besteht das Problem nicht mehr
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
April 13, 2021, 12:19:51 PM #13
Quote from: lfirewall1243 on April 13, 2021, 11:57:19 AM
Dann würde ich mich eine gescheite Systemdokumentation erstellen, wie es auch üblich ist.

Schon besteht das Problem nicht mehr

Oh bitte hör auf... ich habe auch keinen "Problem". So lange es funktioniert, ist es meine Entscheidung wie ich es in meinem Heimnetzwerk mache, und weder das eine noch das andere ist falsch.
Aber, ich danke dir für deinen Vorschlag.
April 14, 2021, 02:27:24 PM #14
Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste. WENN die einen sinnvollen Dienst anbieten, bekommen sie ne statische Adresse (ggf. vom DHCP via static mapping) und dann haben sie auch durch DHCP static registering automagisch nen DNS Namen. So weit so gut.

Dass man ein NAS bspw. nicht hintern HAproxy packen kann UND es gleichzeitig mit dem gleichen Namen logischerweise nicht mehr direkt aufrufen kann - ja klar, wie soll DNS denn das abbilden?

Dann muss man sich eben einen sinnvollen Service(!)namen einfallen lassen und DEN auf den HAproxy zeigen lassen. Wenn es ein 0815 Webservice ist, dann nenne ich den eben webserviceXY.home.arpa und mein NAS kann ich trotzdem via NAS.home.arpa aufrufen. Einfach nen DNS Override für Webservice.home.arpa im Unbound anlegen der auf die FW IP zeigt, die der HAproxy hat. Oder man nimmt sich gar eine zweite IP für den HAproxy (Alias oder CARP je nach Setup) und packt den HAproxy da drauf und lässt dann auch den DNS für den Service eben auf HAproxy zeigen.

Es hat schon seinen Grund, warum man nicht <hw-name> oder <gerätenamen> für Dienste benutzen sollte, sondern sinnvolle/sprechende Namen für die Services. Und dann ist es auch kein Problem sein Gerät (nas.home.arpa) getrennt vom Service (service123.home.arpa) aufzurufen und den Service ggf. dann einfach auf einen LB/Reverse Proxy zu verschieben und die IP anzupassen :)

Tada ;)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1 2 3
User actions