Frage zu DNS Overrides

[Radek]

Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste

Unsere Grund dafür ist das normaleweise Mitarbeiter arbeiten in Büro, wo sie ein gute Desktop haben und viele Embedded Systems (die wir entwickeln) sind verbindet dazu. Jetz in Koronazeit die Mitarbeiter sind zu hause und benutzen SSH und VPN zum zu diesem desktop zu verbinden. Und es ist viel viel einfacher ssh radek-desktop machen als die IP address zu erinnern. Und ein statisch mapping für jeder Mitarbeiter zu haben ist auch keine gute Alternative.

[lfirewall1243]

Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste

Unsere Grund dafür ist das normaleweise Mitarbeiter arbeiten in Büro, wo sie ein gute Desktop haben und viele Embedded Systems (die wir entwickeln) sind verbindet dazu. Jetz in Koronazeit die Mitarbeiter sind zu hause und benutzen SSH und VPN zum zu diesem desktop zu verbinden. Und es ist viel viel einfacher ssh radek-desktop machen als die IP address zu erinnern. Und ein statisch mapping für jeder Mitarbeiter zu haben ist auch keine gute Alternative.

Okay
Dennoch wäre da, wie oben vom Kollegen geschrieben  ein zweiter DNS Name für die HAProxy Dienste sinnvollere unabhängig von Corona und Home-Office

Irgendwie sehe ich da nicht den Sinn in dem was ihr da macht

[Radek]

Okay
Dennoch wäre da, wie oben vom Kollegen geschrieben  ein zweiter DNS Name für die HAProxy Dienste sinnvollere unabhängig von Corona und Home-Office

Irgendwie sehe ich da nicht den Sinn in dem was ihr da macht

FYI: Kosta und ich können nicht ein ander. Wir haben nur ähnliche Problem, aber jeder in eine unterchidliche Netzwerk

[lfirewall1243]

Okay
Dennoch wäre da, wie oben vom Kollegen geschrieben  ein zweiter DNS Name für die HAProxy Dienste sinnvollere unabhängig von Corona und Home-Office

Irgendwie sehe ich da nicht den Sinn in dem was ihr da macht

FYI: Kosta und ich können nicht ein ander. Wir haben nur ähnliche Problem, aber jeder in eine unterchidliche Netzwerk

Aber auch für dich würde es mehr Sinn machen

Alles andere bringt nur Probleme

[Radek]

Aber auch für dich würde es mehr Sinn machen

Alles andere bringt nur Probleme

Verstehe ich richtig, das du meint, dass ich solte "DHCP Domain Override" benutzen und eine alternative Domain dort geben? Zum Beispiel: dhcp.xyz.

Dann jenkinsserver.xyz bleibt von static mappings und die Mitarbeiter mussen von radek-desktop.xyz nach radek-desktop.dhcp.xyz wechseln?

Für Detaile sehe bitte meine Englische thread: https://forum.opnsense.org/index.php?topic=22617.0

[lfirewall1243]

Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste. WENN die einen sinnvollen Dienst anbieten, bekommen sie ne statische Adresse (ggf. vom DHCP via static mapping) und dann haben sie auch durch DHCP static registering automagisch nen DNS Namen. So weit so gut.

Dass man ein NAS bspw. nicht hintern HAproxy packen kann UND es gleichzeitig mit dem gleichen Namen logischerweise nicht mehr direkt aufrufen kann - ja klar, wie soll DNS denn das abbilden?

Dann muss man sich eben einen sinnvollen Service(!)namen einfallen lassen und DEN auf den HAproxy zeigen lassen. Wenn es ein 0815 Webservice ist, dann nenne ich den eben webserviceXY.home.arpa und mein NAS kann ich trotzdem via NAS.home.arpa aufrufen. Einfach nen DNS Override für Webservice.home.arpa im Unbound anlegen der auf die FW IP zeigt, die der HAproxy hat. Oder man nimmt sich gar eine zweite IP für den HAproxy (Alias oder CARP je nach Setup) und packt den HAproxy da drauf und lässt dann auch den DNS für den Service eben auf HAproxy zeigen.

Es hat schon seinen Grund, warum man nicht <hw-name> oder <gerätenamen> für Dienste benutzen sollte, sondern sinnvolle/sprechende Namen für die Services. Und dann ist es auch kein Problem sein Gerät (nas.home.arpa) getrennt vom Service (service123.home.arpa) aufzurufen und den Service ggf. dann einfach auf einen LB/Reverse Proxy zu verschieben und die IP anzupassen

Tada

Einfach so wie hier beschrieben

[Radek]

Einfach so wie hier beschrieben

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen

[lfirewall1243]

Einfach so wie hier beschrieben

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen

Also irgendwas solltest du aber verändern
So ist es auf jeden Fall kein sauberes und ordentliches  Setup

[Patrick M. Hausen]

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen

Dann mach ein dynamisches Mapping für die ganzen Mitarbeiter und ein statisches Override in zwei getrennten Subdomains.

Mitarbeiter:

Mein-toller-Mac.lan.firma.com


Jenkins:

jenkinsserver.services.firma.com


Und dann verteilst Du per DHCP als Domain-Suchpfad erst services.firma.com und dann lan.firma.com.

[kosta]

Also vielleicht stehe ich voll auf der Leitung, aber mein Windows DNS (Win-Domäne) macht ja absolut nichts anderes als diese zwei Haken im OPNsense.
Ich habe ein Netzwerk für die Clients, eins für die Server. DHCP ist im Client-Netzwerk aktiv, und die Clients aktualisieren automatisch die DNS Einträge, sodass diese von wo auch immer per DNS Name angesprochen werden können. Ohne dem System wäre ich in den Zeiten von Home-Office regelrecht verloren.
Im Server-Netzwerk ist natürlich kein DHCP aktiv und die Einträge sind aber auch im DNS automatisch (Haken in Netzwerk-Einstellungen des jeweiligen Servers gesetzt). Und weil der Haken gesetzt ist, würde ich die IP ändern, aktualisiert sich auch der Eintrag im DNS. Manuell auch via /registerdns machbar.
Was ich damit sagen will: alle Clients haben korrespondierende DNS Einträge (=Hostname.domäne).
Und alles Clients sind auch volldynamisch, keine Reservierungen für die Clients.

Radek will ja nichts anderes machen, oder?

[Patrick M. Hausen]

Radek will verhindern, dass ein Client sich mit dem Namen eines Servers registriert, was zu zwei A-Records führen würde. Da das keine Windows-Domäne ist, ist da keinerlei Kontrolle über die Hostnamen der Clients vorhanden und jeder Client kann sich mit "Schnederpelz" oder "Meierings" registrieren, wie es ihm beliebt.

[Radek]

Dann mach ein dynamisches Mapping für die ganzen Mitarbeiter und ein statisches Override in zwei getrennten Subdomains.

Die Mitarbeiter mussen dann die neu Namen lernen was lange dauert Aber ja ich denke auch diese ist die beste Lösung. DANKE!

[JeGr]

Einfach so wie hier beschrieben

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen

Also die Corona Karte zu ziehen, zieht hier für mich gar nicht Ich kann den Schmerz verstehen, wenn man das einrichten soll/muss. Aber mal ehrlich: es gibt keinen Grund, warum volldynamische Clients (!) - lese das Wort! - einen DHCP Namen im DNS haben müssen. Wenn die plötzlich aber halbe Terminalserver sind, weil eure Leute nicht von daheim arbeiten, sondern via RDP o.ä. auf den Desktops rumschrubben müssen, dann sind das "mini Terminalserver". Und dann muss ich sie auch so behandeln und ihnen fixe IPs geben. Warum? Weil sonst Mitarbeiter XY auf die glorreiche Idee kommt "ey Windows Update juhu, YOLO!" und die Kiste bootet durch. Und dann? Upsi, bekommt ne neue IP. DNS braucht ne Weile bis es  sich wieder überall gerade gezogen und aktualisiert hat, der Client daheim hat auch nen Cache etc. etc. und plop kommen die Leute nimmer auf ihren Desktop.

Kommt nicht vor? Doch, denn GENAU den Fall hatten wir mit unserer Mutterfirma, wo auch manche Kollegen plötzlich ganz dringend via Remote auf ihre Desktops im Office mussten - und dann kam hier mal nen Reboot, da nen Update und boing, waren die Kisten weg und nicht mehr erreichbar. Und dann mach mal überall nen ipconfig /flushdns, resette ggf. noch Windows AD DNS usw usf. Nerv.

Ja es tut weh wenn man mal plötzlich zig Rechner anlegt. Aber schafft Probleme vom Hals. Und dann geht "radek-desktop" eben immer und nicht nur >90% der Zeit und fertig ist der Lack.

> Was ich damit sagen will: alle Clients haben korrespondierende DNS Einträge (=Hostname.domäne).

Glückwunsch du hast eine MICROSOFT DOMAIN. Warum sind die Clients und Server wohl da mit Namen erreichbar? Tipp: es ist nicht nur wegen dem DHCP sondern weil du den Rechner und User im AD hast und die sich beim Einloggen/Booten im AD refreshen. Darum bekommt der AD DNS logischerweise wesentlich besser, zeitnaher und einfacher mit wenn sich am Client was ändert, was Name, IP oder sonstwas angeht. Darum kann dein Windows DNS das und Unbound nicht, weil sich Unbound/DNS Resolver der Sense überhaupt nicht für den Client interessiert. Sondern nur was vom Client erfährt, wenn der DHCP ihm die IP/Namens Kombination reindrömelt. dazu kommt, dass es vorkommen kann (nicht muss), dass ein Client mal keine korrekte ID beim DHCP mitgibt und dann der Name nicht korrekt im DNS steht/stehen kann. Zudem wird eben unbound meist neu gestartet bei einem neuen Eintrag und verliert daher seinen DNS Cache und ist für nen kurzen Moment nicht mehr erreichbar. Mache das also in einem Netz mit ~100 DHCP Clients mit aktivem Haken und du DOS-t deinen eigenen DNS Resolver, weil er vor lauter "neuladen, offline, online" zu nichts anderem mehr kommt.

Ist doof? Klar, wäre schön, wenn das anders implementiert wäre. Aber deshalb war meine Aussage "Funktion ausschalten, sonst tot"

Cheers

[Patrick M. Hausen]

@JeGr Hart aber wahr ...

Schade das es in diesem Forum zwar Karma aber kein Like für einzelne Beiträge gibt. Hab ich schon öfter vermisst.

[kosta]

@JeGr: spitze erklärt, danke für die Aufklärung!