immer zwei namserver abfragen

minimike

minimike

Berufsrevolutionär
Hi

Ich habe ein etwas "spezielleres" Setup mit FreeBSD 10.3 Puppet 4 und r10k. Das wird jeweils nach staging und production mit OpenStack in einem abgeschotteten Netzwerk ohne Internet betrieben. Bis auf den Puppetmaster bekommt kein Server direkt Zugriff an irgend ein anderes Netz oder anders herum. Der Puppetmaster muss ins Intranet und Internet um Git-Repositories abzugleichen. Darum darf der ärgerlicherweise in andere Netze.
Wenn ich jetzt in der /etc/resolv.conf zwei Nameserver eintrage wird aber immer nur der Nameserver abgefragt der zuerst zu Erreichen ist. In dem Fall der Namserver der als erstes konfiguriert wurde. Das bedeutet das ich dns im Internet auflösen kann aber nicht mehr im abgeschotteten Netzwerk. Das ist halt nichts neues und halt seit Jahzehnten der Standard.

gibt es eine Möglichkeit doch zwei Nameserver abzufragen? Ich habe schon angefangen mit Unbound rumzuspielen aber da komm ich auch nicht wirklich mit weiter.
 
So mach ichs, ich nutze jedoch dnscrypt-proxy:

/etc/rc.local
Code: 
###
# dnscrypt listening on 127.0.0.1:5353
#
/usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:5353 \
-R cs-de -u _dnscrypt-proxy \
-l /dev/null -d
###
# dnscrypt listening on 127.0.0.1:5354
#
/usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:5354 \
-R cs-nl -u _dnscrypt-proxy \
-l /dev/null -d

/var/unbound/etc/unbound.conf
Code: 
server:
interface: 127.0.0.1
access-control: 127.0.0.0/24 allow
do-not-query-localhost: no
hide-version: yes
hide-identity: yes

forward-zone:
name: "."
forward-addr: 127.0.0.1@5353
forward-addr: 127.0.0.1@5354

/etc/resolv.conf
Code: 
nameserver 127.0.0.1

Sitz gerade nicht an meinem Privatrechner, hab die Configs fix aus alten Posts zusammengesetzt, stimmen evtl. nicht zu 100 %.

EDIT: hab in der unbound.conf: name: *.* zu name: "." geändert
 
Zuletzt bearbeitet:
hi

im kern benötigist du einen eigenen DNS Server mit split dns config so das du via source ip bestimmen kannst
welche antwort der dns server gibt.

holger
 
Hi

Ich habe es jetzt mit unbound hinbekommen

in der unbound.conf noch den Wert

domain-insecure: "webterrorist.local"

eingetragen und folgendes includiert
Code: 
forward-zone:
  name: "."
  forward-addr: 172.16.70.2
  forward-addr: 192.168.253.10
  forward-addr: 192.168.253.1

stub-zone:
  name: "webterrorist.local."
  stub-addr: 172.16.70.2
  stub-addr: 192.168.253.1
  stub-prime: no

Das schöne ist, ich muss nichts installieren denn es ist schon bei FreeBSD mit dabei :)
 
Ja ich habe drei :/ und jetzt vier

Unbound auf OPNsense, OpenStack Designate mit Bind-Backend (192.168.253.10), und im abeschlossenen Bereich werkelt Openstack Neutron mit dnsmasq. Das Konstrukt ist merkwürdig aber funktioniert. Und ich kann auch mal ohne OpenStack leben, denn ich habe immer noch einen DNS-Server unabhängig von OpenStack auf meinem Router. Wenn mal was bei OpenStack im Argen ist oder große Umbauten anstehen, genieße ich enspannt meinen WLAN-Router
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben