UnboundDNS und lokaler Host-/Domainname

Started by knebb, Today at 10:29:08 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 10:29:08 AM
Moin,

meine OPNSense ist Teil der lokalen Domain, nennen wir sie "beispiel.de". Im LAN steht für diese (und eine wertere "example.de") Domain ein authoritativer DNS (Bind9 auf Debian), der ALLE DNS-Einstellungen für die Domains beinhaltet.
Jetzt möchste ich, dass aber auch die OPNSense einen Teil der DNS-Anfragen übernimmt und parallel zu dem eigentlichen DNS-Anfragen beantwortet. Also haben alle LAN-Clients ZWEI DNS-Resolver Einträge;
192.168.42.1 <--- OPNSense/ Unbound
192.168.42.15 <--- Debian Bind

Klappt auch gut, die Clients können DNS-Abfragen nach öffentlichen Domains über beide Resolver erfoolgreich durchführen.

Der Unbound auf OPNSense ist so eingestellt, dass er via Forwarding die lokale Zone (beispiel.de) an den lokalen bind9 weiterleiten soll. D.h. alles was diese Zone betrifft soll der 42.15er Debian Bind9 beantworten.
Funktioniert  soweit auch prima:

Code Select
root@opnsense:~ # host -v lanhost.beispiel.de
Trying "lanhost.beispiel.de"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 642
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;lanhost.beispiel.de. IN A

;; ANSWER SECTION:
lanhost.beispiel.de. 3600 IN CNAME lanhost.example.de.
lanhost.example.de. 3600 IN A 192.168.42.114

Received 90 bytes from 127.0.0.1#53 in 1 ms
Trying "lanhost.beispiel.de"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36936
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;lanhost.beispiel.de. IN AAAA

;; AUTHORITY SECTION:
example.de. 2972 IN SOA ns.beispiel.de. admin.beispiel.de. 1763729903 3600 1800 604800 86400

Received 119 bytes from 127.0.0.1#53 in 0 ms
Trying "lanhost.beispiel.de"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36801
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;lanhost.beispiel.de. IN MX

;; AUTHORITY SECTION:
example.de. 2972 IN SOA ns.beispiel.de. admin.beispiel.de. 1763729903 3600 1800 604800 86400

Received 119 bytes from 127.0.0.1#53 in 0 ms
Einzig und allein die DNS-Sachen für den Namen der OPNSense selbst werden anhand der lokalen Interfaces aufgelöst:
Code Select
root@opnsense:~ # host opnsense.beispiel.de
opnsense.beispiel.de has address 192.168.32.254
Das ist die IP eines der OPNSense-Interfaces, aber der DNS-Server verweist nur auf das "Haupt-Interface".


Also kurz:
 
Abfrage nach irgendeinem Namen in der lokalen Domain ---> Unbound forwarded an lokalen DNS. RICHTIG.
Abfrage nach dem Namen der OPNSense.lokale.domain --> Unbound beantwortet selbst mit einer willkürzlich gewählten Interface-IP (MIST)

Das muss doch irgendwie möglich sein, dem Unbound zu sagen, dass er für diese Domain echt KEINE NAmensanfragen selbst beantwortet, sondern einfach IMMER weiterleitet, odeR?

Wie kriege ich das hin?

Danke& Grüße
/KNEBB

Today at 10:34:13 AM #1
Services > Unbound DNS > General > Do not register system A/AAAA records [X]
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 11:04:19 AM #2
Määäääääh!

Ja, ok, das hat geklappt. Wenn man im Kopf hat, dass ALLE Registrierungen aus sein müssen. Außer natürlich der Einstellung wo "KEINE" davorsteht...

Vielen Dank!

/KNEBB
Today at 01:59:30 PM #3
Die saubere Lösung ist, den Local Zone Type auf always_transparent zu stellen (Unbound DNS / General, ganz unten). Dann werden Anfragen für die lokale Zone immer weitergeleitet, auch wenn Unbound dazu selbst Daten hat.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages1
User actions