Jaký DNS resolver pro LAN a VPN?

[RDa]

Ahoj - mám dotaz - co za SW nasadit pro interní DNS systém, který bude resolvovat privátní adresy v lokální síti, nebo pro připojené klienty skrze VPN.

Buď jako overlay (prioritu mají pak lokální záznamy), nebo jako dedikovaný pro konkrétní subdomény.

A co není obslouženo/definováno.. tak se doptá zvenku. Plus bych čekal cachování dle TTL a nějaké to logování / statistiky.

[Reklama]

[czechsys]

Co si vyberete v ramci veskerych pozadavku, co mate.
Lokalni unbound, dnsmasq, systemd-resolved, atd.
Z centralnich ja pouzivam dlouhodobe powerdns recursor ve firemnim prostredi.

[RDa]

Co si vyberete v ramci veskerych pozadavku, co mate.
Lokalni unbound, dnsmasq, systemd-resolved, atd.

Zatim jsem mel vybran unbound, protoze knot neni rekurzivni.
Ale chci slyset treba co si zdejsi useri a admini mysli nebo provozuji - co je dnes in.

dnsmasq spis ne (v popisku baliku je to kobinace s dhcp a buhvi cim.. a to mam jiz poreseno ke spokojenosti - tj vcetne netbootu na cokoliv od legacy po uefi)

systemd-* nevedu a nebudu.

Nejake extra pozadavky dale nemam.. konfiguraci si vygeneruji, a preferuji vec napsanou v C, at se to da normalne vybuildit ze zdrojaku (gentoo).

Dival jsem se na wikipedii:
https://en.wikipedia.org/wiki/Comparison_of_DNS_server_software

tak jsem koukal treba po tom "Technitium DNS Server" (jakoze ma nejvice zelenych/yes), ale to je C# a .net .. tak to ne, dik.

Z featur je pak pro me snad zajimava jen ta split-horizon, takze by slo ridit preklad adres podle toho kdo se pta (LAN vs VPN, vs Guest vs Externi).

Z centralnich ja pouzivam dlouhodobe powerdns recursor ve firemnim prostredi.

Ten powerdns vypada taky zajimave - bych si mohl usetrit generovani configu z DB, kdyz to tam jde napojit rovnou.

[Filip Jirsák (forum)]

Zatim jsem mel vybran unbound, protoze knot neni rekurzivni.

Rekurzivní resolver od CZ.NICu se jmenuje Knot Resolver.

[RDa]

Zatim jsem mel vybran unbound, protoze knot neni rekurzivni.

Rekurzivní resolver od CZ.NICu se jmenuje Knot Resolver.

A lze to nakonfigurovat v paru na ucel ktery potrebuji? (tj idealne overlay - anebo se jedna jen o ciste reseni a deleni bude vzdy podle poddomen?)

[Reklama]

[Filip Jirsák]

Zatim jsem mel vybran unbound, protoze knot neni rekurzivni.

Rekurzivní resolver od CZ.NICu se jmenuje Knot Resolver.

A lze to nakonfigurovat v paru na ucel ktery potrebuji? (tj idealne overlay - anebo se jedna jen o ciste reseni a deleni bude vzdy podle poddomen?)

Ano, lze. Knot Resolver má docela dost možností manipulace s dotazy a odpověďmi, případně lze napsat vlastní modul.

Každopádně přepisování DNS přináší různé problémy. Nemůžete validovat DNSSEC, budete mít problémy s keší odpovědí, když uživatel přechází mezi interní sítí a venkovním světem…

[RDa]

Každopádně přepisování DNS přináší různé problémy. Nemůžete validovat DNSSEC, budete mít problémy s keší odpovědí, když uživatel přechází mezi interní sítí a venkovním světem…

Ta cache bude ale stejny problem pokud bych vyuzival "split-horizon", ne? (je jedno zda se prepisuje cela poddomena nebo jen konkretni zaznamy - pokud koncove zarizeni bude cachovat vysledky resolveru ktery nasadim).

Jinak je to celkem orisek no.. LAN je ok, kdo je doma, ten je soucasti korporatu a dane politiky.
Kdo prijde ale z VPN, tak neni uplne moralni mu ukrast DNS, jen kvuli vlozeni nasich "tajnych" zaznamu, protoze pokud by se pripojil na dvoje VPN (rekneme jako power user), tak mu timto stylem nepojede jedna z veci kam se pripojuje.

Takze reseni spis bude - verejne delegovat poddomenu tak ze jeho autoritativni server bude ve VPN rozsahu.. kdo je pripojenej ten bude videt na ta tajemstvi, kdo neni, ten nic krome existence delegace neuvidi, protoze na vpn adresy se nedostane?

(tj. pro VPN postaci nasadit "knot", a pro LAN "knot-resolver" v roli cache?)

[Filip Jirsák]

Ta cache bude ale stejny problem pokud bych vyuzival "split-horizon", ne?

Ano. Jakékoli řešení, kde poskytujete různé DNS záznamy, které nejsou navzájem zaměnitelné, je problém.

Jinak je to celkem orisek no.. LAN je ok, kdo je doma, ten je soucasti korporatu a dane politiky.
Kdo prijde ale z VPN, tak neni uplne moralni mu ukrast DNS, jen kvuli vlozeni nasich "tajnych" zaznamu, protoze pokud by se pripojil na dvoje VPN (rekneme jako power user), tak mu timto stylem nepojede jedna z veci kam se pripojuje.

Nebo se vykašlat na tajné záznamy. Za prvé nemusíte zpřístupňovat přenos celé zóny, nemusíte názvy nikde zveřejňovat – takže pak název přeloží jenom ten, kdo bude název znát. A i kdyby se někdo k názvu nějak dostal a přeloží ho – no a co? Snad nemáte síť zabezpečenou tím, že nikdo neuhádne nějakou IP adresu.

[RDa]

Jinak je to celkem orisek no.. LAN je ok, kdo je doma, ten je soucasti korporatu a dane politiky.
Kdo prijde ale z VPN, tak neni uplne moralni mu ukrast DNS, jen kvuli vlozeni nasich "tajnych" zaznamu, protoze pokud by se pripojil na dvoje VPN (rekneme jako power user), tak mu timto stylem nepojede jedna z veci kam se pripojuje.

Nebo se vykašlat na tajné záznamy. Za prvé nemusíte zpřístupňovat přenos celé zóny, nemusíte názvy nikde zveřejňovat – takže pak název přeloží jenom ten, kdo bude název znát. A i kdyby se někdo k názvu nějak dostal a přeloží ho – no a co? Snad nemáte síť zabezpečenou tím, že nikdo neuhádne nějakou IP adresu.

Opravdu nechci zverejnovat interni strukturu, topologii, technologie, sluzby, projekty - do verejne site.

Z pohledu bezpecnosti je porad to "uneseni DNS" (vnuceni vlastniho DNS, kdyz je nekdo pripojen zvenku) to nejlepsi reseni, tj. tak jak jsem to puvodne zamyslel.
A zvenku, pro verejnost - se existence ani neprizna.

[panpanika]

Jinak je to celkem orisek no.. LAN je ok, kdo je doma, ten je soucasti korporatu a dane politiky.
Kdo prijde ale z VPN, tak neni uplne moralni mu ukrast DNS, jen kvuli vlozeni nasich "tajnych" zaznamu, protoze pokud by se pripojil na dvoje VPN (rekneme jako power user), tak mu timto stylem nepojede jedna z veci kam se pripojuje.

Nebo se vykašlat na tajné záznamy. Za prvé nemusíte zpřístupňovat přenos celé zóny, nemusíte názvy nikde zveřejňovat – takže pak název přeloží jenom ten, kdo bude název znát. A i kdyby se někdo k názvu nějak dostal a přeloží ho – no a co? Snad nemáte síť zabezpečenou tím, že nikdo neuhádne nějakou IP adresu.

Opravdu nechci zverejnovat interni strukturu, topologii, technologie, sluzby, projekty - do verejne site.

Z pohledu bezpecnosti je porad to "uneseni DNS" (vnuceni vlastniho DNS, kdyz je nekdo pripojen zvenku) to nejlepsi reseni, tj. tak jak jsem to puvodne zamyslel.
A zvenku, pro verejnost - se existence ani neprizna.

navrh k zamysleni - nsec3 a nic neunaset. je to mrzeni. doporucuju knihu pavla satrapy DNS - dokonce se i zasmejes

[Wasper]

navrh k zamysleni - nsec3 a nic neunaset. je to mrzeni. doporucuju knihu pavla satrapy DNS - dokonce se i zasmejes

Obavam se, ze to resi jen tu cast, ze "to neni videt na prvni dobrou". Split-horizon DNS ma pomerne dost uziti (napr. stejny record, ktery vede na backend s NTLM vevnitr vede venku na nejakou F5-ku, ktera si tam vynuti 2FA je dost bezne pouzivane vec), takze radit OPovi aby predelal celou sit jenom aby byl resolver jednodussi neni zrovna ideal.

[Filip Jirsák]

navrh k zamysleni - nsec3 a nic neunaset. je to mrzeni. doporucuju knihu pavla satrapy DNS - dokonce se i zasmejes

Obavam se, ze to resi jen tu cast, ze "to neni videt na prvni dobrou". Split-horizon DNS ma pomerne dost uziti (napr. stejny record, ktery vede na backend s NTLM vevnitr vede venku na nejakou F5-ku, ktera si tam vynuti 2FA je dost bezne pouzivane vec), takze radit OPovi aby predelal celou sit jenom aby byl resolver jednodussi neni zrovna ideal.

Ono nejde o to, aby byl resolver jednodušší. Ve skutečnosti je kešující DNS resolver jedna z mála věcí, která si s tím poradí bez problémů.

Podstatné je to, že se postupně upouští od představy „privátní sítě, která je připojená přes jeden router do internetu“ vrací se to k původní myšlence internetu, kde je nějaká síť součástí internetu. Takže představy jako že je nějaké zařízení připojené buď v mé privátní síti nebo je mimo ni přestávají fungovat. Dnes je naprosto běžné, že je zařízení připojené do několika sítí současně. A v čase se to průběžně mění. To, že zajdu v baráku do místa, kde je horší pokrytí WiFi a mobil se přepne na mobilní síť, nebo vyjdu před barák, není důvod, aby mi nějaká aplikace přestala fungovat. (Občas má někdo pocit, že k tomu důvody jsou. A pak se hrozně diví, proč jeho uživatelé radši začnou používat Google Docs, Microsoft365 a jiné cloudové služby. Protože ty prostě fungují všude.)

[RDa]

Roaming at si poresi VPN vrstva, pokud nekdo bude pendlovat mezi wifi a mobilni siti, to me nezajima a povazuji to za vyresene.

Resim to, ze kdyz se nekdo pripoji pres VPN do chranene lokace, tak by mu mel byt zpristupnen dalsi jmenny prostor skrze DNS.
A pokud uvazuji univerzalne, tak takovych lokaci muze byt soucasne aktivni vice nez 1 zaroven - kazda s vlastnim a nekolidujicim jmennym prostorem.

Muzeme rovnou vyloucit, ze by se resolving mel konat skrze verejny/ISP/google DNS system.

Idealni pripad by byl, kdyby klientska stanice neleakovala informace ani jednim smerem (tj. dotazy na nase jmena nesli ven, ale taky nechci videt, ci zpracovavat jine dotazy a narusovat soukromi klientu, ani co se dns tyce, ani co se dat tyce).

Takze prozatim to nejlepsi reseni vypada, ze ve verejne siti budou definice delegaci subdomen podle lokaci - a OS/resolver na strane klienta tedy bude posilat verejne dotazy mimo vpn, tam kde to user mel nastaveny (isp/google), ale jakmile to chytne neco pod jmenem nasich lokaci, tak bude rekurze resolvingu probihat uz skrze konkretni VPN adresni prostor?

Pochybuji ze bych nasel vpn klienta, ktery multiplatformne dokaze poeditovat prioritu resolvingu (to by ten resolver musel byt na klientske strane od nas a dodat ho tam je snad nemoznejsi nez poresit samotnou vpn).

[Filip Jirsák (forum)]

Roaming at si poresi VPN vrstva, pokud nekdo bude pendlovat mezi wifi a mobilni siti, to me nezajima a povazuji to za vyresene.

Sice to vyřešené není a spousta věcí je rozbitá, ale OK.

Resim to, ze kdyz se nekdo pripoji pres VPN do chranene lokace, tak by mu mel byt zpristupnen dalsi jmenny prostor skrze DNS.

Což se ovšem nijak nevylučuje s tím, aby ten jmenný prostor byl dostupný odkudkoli.

Muzeme rovnou vyloucit, ze by se resolving mel konat skrze verejny/ISP/google DNS system.

To vyloučit nemůžete. Co když má uživatel ve svém systému některý z veřejných DNS serverů nastavený napevno a nedovolí jejich obcházení? Nebo to nemusí mít v systému, ale třeba jen v prohlížeči.

Idealni pripad by byl, kdyby klientska stanice neleakovala informace ani jednim smerem (tj. dotazy na nase jmena nesli ven, ale taky nechci videt, ci zpracovavat jine dotazy a narusovat soukromi klientu, ani co se dns tyce, ani co se dat tyce).

To ale nedokážete zajistit, pokud nemáte nad tím zařízením plnou kontrolu. Nastane úplně jednoduchá situace – klient se z vaší sítě odpojí, tím se zruší přesměrování na vaše DNS. Ale jména zůstanou někde nakešovaná – třeba otevřená stránka v prohlížeči. Pak bude chtít prohlížeč stránku znovu nahrát, nebo jen zavolá načtení aktuálních dat ze stránky – a prohlížeč se pokusí adresu znovu přeložit, tentokrát už mimo vaši síť a s úplně jiným DNS resolverem.

Pochybuji ze bych nasel vpn klienta, ktery multiplatformne dokaze poeditovat prioritu resolvingu (to by ten resolver musel byt na klientske strane od nas a dodat ho tam je snad nemoznejsi nez poresit samotnou vpn).

Přesně tak. Musel byste to zařízení mít plně pod kontrolou.

Samozřejmě se můžete vydat touto cestou. Ale pokoušíte se vyřešit nemožné a zaděláváte si na spoustu problémů. Když se smíříte s tím, že vaše síť je součástí internetu, budete to mít mnohem jednodušší.

[czechsys]

Idealni pripad by byl, kdyby klientska stanice neleakovala informace ani jednim smerem (tj. dotazy na nase jmena nesli ven, ale taky nechci videt, ci zpracovavat jine dotazy a narusovat soukromi klientu, ani co se dns tyce, ani co se dat tyce).

Nesmysl. DNS leakuje vsemi moznymi aplikacemi, a to i proto, ze po odpojeni/padu VPN jsou ty aplikace casto stale aktivni a pak se dotazuji verejnych rekurzoru.

Nemluve o tom, ze v dobe MFA, ZTNA apod. principu se na split-horizon muzete slusne vybodnout. Slozitost konfigurace firewallu a siti tim jen narusta. A jeste v dobe ipv6.

Pokud chcete "omezit" dotazy pres "security by obscurity" na "lan/vpn domeny", tak si pred sve verejne dns dejte balancer s acl (napr. dnsdist). Ale google/microsoft/etc uz o vasich domenach davno vi.