DNS-Auflösung zwischen LAN und DMZ sauber trennen
Moin zusammen!
Ich habe mir vorgenommen, die DNS-Auflösung im Netzwerk wegen anstehender Erweiterungen einmal zu überarbeiten und zu optimieren.
Hier komme ich jedoch nicht wirklich weiter.
Folgende Konstellation gibt es aktuell:
- OPNSense Firewall, zwei "lokale" Interfaces, LAN (192.168.0.0/24) und DMZ (192.168.100.0/24)
- Auf dem LAN-Interface macht die OPNSense DHCP und gibt den Clients ein DNS-Suffix mit (abc.home)
- In der DMZ gibt es keinen DHCP-Server, alle Geräte haben ihre IP statisch eingetragen, es gibt auch kein DNS Suffix
- Bei beiden Netzen wird die OPNSense als Gateway und DNS-Server verwendet, in beiden Netzen jeweils die .254
Ich würde es gerne so einrichten, dass es in jedem Netz ein DNS-Suffix gibt, frage mich jedoch:
- Muss ich das gleiche DNS-Suffix verwenden, weil ich der Firewall ja auch nur einen Hostname geben kann?
- Wenn ja, wie schaffe ich es, dass der Hostname der Firewall (firewall.abc.home) dann für Geräte in der DMZ auf ihre Gateway-Adresse (192.168.100.254), und im LAN wiederum auf ihre Gateway-Adresse (192.168.0.254) aufgelöst wird?
- Falls man verschiedene Suffixe verwenden kann, z.B. lan.abc.home und dmz.abc.home, was wird dann der eigentliche Hostname der Firewall sein?
- Ist dies überhaupt möglich bzw. gäbe es noch weitere Dinge zu beachten?
Oder übersehe ich eventuell Wege und Möglichkeiten?
Aktuell ist es seltsamerweise auch so, dass ein Ping aus dem LAN auf den Namen der Firewall, in die IP-Adresse der Firewall aus der DMZ aufgelöst wird.
Vielen Dank im Voraus!
Ich habe mir vorgenommen, die DNS-Auflösung im Netzwerk wegen anstehender Erweiterungen einmal zu überarbeiten und zu optimieren.
Hier komme ich jedoch nicht wirklich weiter.
Folgende Konstellation gibt es aktuell:
- OPNSense Firewall, zwei "lokale" Interfaces, LAN (192.168.0.0/24) und DMZ (192.168.100.0/24)
- Auf dem LAN-Interface macht die OPNSense DHCP und gibt den Clients ein DNS-Suffix mit (abc.home)
- In der DMZ gibt es keinen DHCP-Server, alle Geräte haben ihre IP statisch eingetragen, es gibt auch kein DNS Suffix
- Bei beiden Netzen wird die OPNSense als Gateway und DNS-Server verwendet, in beiden Netzen jeweils die .254
Ich würde es gerne so einrichten, dass es in jedem Netz ein DNS-Suffix gibt, frage mich jedoch:
- Muss ich das gleiche DNS-Suffix verwenden, weil ich der Firewall ja auch nur einen Hostname geben kann?
- Wenn ja, wie schaffe ich es, dass der Hostname der Firewall (firewall.abc.home) dann für Geräte in der DMZ auf ihre Gateway-Adresse (192.168.100.254), und im LAN wiederum auf ihre Gateway-Adresse (192.168.0.254) aufgelöst wird?
- Falls man verschiedene Suffixe verwenden kann, z.B. lan.abc.home und dmz.abc.home, was wird dann der eigentliche Hostname der Firewall sein?
- Ist dies überhaupt möglich bzw. gäbe es noch weitere Dinge zu beachten?
Oder übersehe ich eventuell Wege und Möglichkeiten?
Aktuell ist es seltsamerweise auch so, dass ein Ping aus dem LAN auf den Namen der Firewall, in die IP-Adresse der Firewall aus der DMZ aufgelöst wird.
Vielen Dank im Voraus!
Please also mark the comments that contributed to the solution of the article
Content-ID: 668529
Url: https://administrator.de/contentid/668529
Printed on: October 15, 2024 at 07:10 o'clock
3 Comments
Latest comment
Moin
ich rätsele noch ein wenig, was Du da bezwecken willst.
Server in der DMZ mit statischer IP. Wenn die ein DNS-Suffix benötigen, dann trägt man es auf dem Gerät halt ein. Das muss ja nicht einmal für alle Server in der DMZ unbedingt identisch sein.
Vlt. gibt es ein Verständnisproblem, was überhaupt ein DNS-Suffix ist??! Oder willst Du die DMZ für Dinge nutzen, für die man sie normalerweise nicht nutzt?!
Gruß
ich rätsele noch ein wenig, was Du da bezwecken willst.
Zitat von @Nevio.sn:
Ich würde es gerne so einrichten, dass es in jedem Netz ein DNS-Suffix gibt, frage mich jedoch:
Ich rätsele noch ein wenig, was Du da bezwecken willst.Ich würde es gerne so einrichten, dass es in jedem Netz ein DNS-Suffix gibt, frage mich jedoch:
Server in der DMZ mit statischer IP. Wenn die ein DNS-Suffix benötigen, dann trägt man es auf dem Gerät halt ein. Das muss ja nicht einmal für alle Server in der DMZ unbedingt identisch sein.
Vlt. gibt es ein Verständnisproblem, was überhaupt ein DNS-Suffix ist??! Oder willst Du die DMZ für Dinge nutzen, für die man sie normalerweise nicht nutzt?!
- Wenn ja, wie schaffe ich es, dass der Hostname der Firewall (firewall.abc.home) dann für Geräte in der DMZ auf ihre Gateway-Adresse (192.168.100.254), und im LAN wiederum auf ihre Gateway-Adresse (192.168.0.254) aufgelöst wird?
Wozu soll das gut sein??? Normalerweise sollte es einem Server in der DMZ vollkommen egal sein, wie er den Namen der Firewall auflöst. Für Konfigurationen auf den Hosts der DMZ, die ins LAN gehen, nutzt man IP-Adressen und für die Kommunikation der DMZ-Hosts mit den Internet einen DNS-Server, der externe Adressen auflösen kann.Aktuell ist es seltsamerweise auch so, dass ein Ping aus dem LAN auf den Namen der Firewall, in die IP-Adresse der Firewall aus der DMZ aufgelöst wird.
Ich würde mal sagen: Konfiguration auf der OpenSense. Da ich die aber nicht wirklich kenne, musste da wohl mal auf jemanden warten, der sich mit der Konfig auskennt.Gruß
Du kannst für jedes Interface (für jedes LAN oder VLAN) einen eigenen unabhängigen DHCP Server aktivieren:
https://homenetworkguy.com/how-to/configure-dhcp-vlans-opnsense/
Dieser kann dann natürlich unterschiedliche Einstellungen haben wie z.B. Standardgateway oder DNS Suffix.
Aber, wie oben bereits Hubert erwähnt hat: Wenn die Geräte in der DMZ kein DHCP machen (wegen fester IP), dann werden sie die OPNsense nicht nach DHCP Informationen fragen und damit nichts von IP, Standardgateway, Subnetzmaske oder DNS Suffix mitbekommen. Du musst es also jedem Server der sich in der DMZ befindet, manuell eintragen. Der Sinn der DMZ ist ja die Abtrennung von internen Servern und Clients, also brauchen sie eigentlich auch gar kein DNS Suffix, da sie sich für sich alleine im DMZ Lan befinden.
https://homenetworkguy.com/how-to/configure-dhcp-vlans-opnsense/
Dieser kann dann natürlich unterschiedliche Einstellungen haben wie z.B. Standardgateway oder DNS Suffix.
Aber, wie oben bereits Hubert erwähnt hat: Wenn die Geräte in der DMZ kein DHCP machen (wegen fester IP), dann werden sie die OPNsense nicht nach DHCP Informationen fragen und damit nichts von IP, Standardgateway, Subnetzmaske oder DNS Suffix mitbekommen. Du musst es also jedem Server der sich in der DMZ befindet, manuell eintragen. Der Sinn der DMZ ist ja die Abtrennung von internen Servern und Clients, also brauchen sie eigentlich auch gar kein DNS Suffix, da sie sich für sich alleine im DMZ Lan befinden.
Ich würde vermuten, das die Firewall ein primäres Interface hat und jede DNS Auflösung mit der IP dieses Interfaces auflöst. Wenn du aber mal z.B. einen Tracert aus dem LAN und einen aus der DMZ absetzt, wird die Firewall immer nur ein Hop sein. Du dürftest keine Situation haben, wo die Firewall das Paket vom einen zum anderen Interface weiter gibt. Die Firewall-Ports gehören ein und dem selben Gerät - und das weiß die auch. Daher ist es auch unerheblich, welche IP zum DNS Namen der Firewall aufgelöst wird. Sofern die Firewall das Gateway ist, wird die Anfrage direkt beantwortet und verlässt nicht das Netz.