Jaký DNS resolver pro LAN a VPN?

[jjrsk]

Mam ten dojem nebo se od zacatku ptas uplne zcesty?

1) mas DNS server = ten je nekde vevnitr site a resolvuje interni jmena. Je uplne jedno co to bude, to muze byt widli dns, bind, knot, ... proste cokoli. Jen to musi znat ty interni nazvy.

2) ten stejny DNS typicky resolvuje i venkovni jmena, protoze ty interni stroje se chteji dostat do netu.

Kupodivu kazdy jeden dns server presne takhle funguje od prirody = jmena ktera nativne zna jako svoje, ti prelozi lokalne, bez ohledu na to, jestli stejny jmena existujou nekde venku.


Mnohem vetsi sranda je klientska strana. Typicky nejjednodussi reseni je forwardnou na ty interni DNS veskery provoz. Pokud to tak nechces, potrebujes (per konkretni system/vpn) nejak poresit prirazeni jmena ty vpnce.

Chovani cache zalezi na tuposti. Pokud se bavime o tom, ze mas corp.com a ma to jiny IPcka zvenku a jiny zevnitr. Ty ale primarne mluvis o nazvech, ktery zvenku neexistujou = zadnej problem s cache.


Jelikoz sem to celkem nedavno resil na widlich, tak jen pripodoktnu, ze na nich musis vypnout "chytristiky" ... ktery to rozbijou zcela spolehlive.

Turn off smart multi-homed name resolution Enabled 
Turn off smart protocol reordering Enabled

A pak to co chces udelas takhle.

Set-VpnConnection -Name "mojeVPN" -DnsSuffix "corp.com"

Ale pozor, jak je u MS tradici, chova se to s kazdou verzi widli jinak.

[Reklama]

[Petr Bahula]

Dovolil bych si upozornit na pdnsd: http://members.home.nl/p.a.rombouts/pdnsd/. Používáme už léta v našich systémech u zákazníků k naprosté spokojenosti.

[McFly]

tl;dr

bind a v něm views - https://kb.isc.org/docs/aa-00851?

Používáme pro resolving ve vnitřní síti/VPN a pro freewifi (guest síť) - z IP rozsahu freewifi nelze překládat záznamy hostované lokální domény (ta je dostupná jen z LAN a VPN), současně je společná cache pro všechny ( https://kb.isc.org/docs/aa-00835 ). Nebo se tazatel ptá na něco jiného, možná jsem to špatně pochopil. ;-)

[RDa]

Ptal jsem se na to, jen to pak sklouzlo k obecnejsimu obrazu a politice nasazeni / konfigurace jmen / uziti.

[Filip Jirsák]

Mam ten dojem nebo se od zacatku ptas uplne zcesty?

1) mas DNS server = ten je nekde vevnitr site a resolvuje interni jmena. Je uplne jedno co to bude, to muze byt widli dns, bind, knot, ... proste cokoli. Jen to musi znat ty interni nazvy.

2) ten stejny DNS typicky resolvuje i venkovni jmena, protoze ty interni stroje se chteji dostat do netu.

Kupodivu kazdy jeden dns server presne takhle funguje od prirody = jmena ktera nativne zna jako svoje, ti prelozi lokalne, bez ohledu na to, jestli stejny jmena existujou nekde venku.


Mnohem vetsi sranda je klientska strana. Typicky nejjednodussi reseni je forwardnou na ty interni DNS veskery provoz. Pokud to tak nechces, potrebujes (per konkretni system/vpn) nejak poresit prirazeni jmena ty vpnce.

Chovani cache zalezi na tuposti. Pokud se bavime o tom, ze mas corp.com a ma to jiny IPcka zvenku a jiny zevnitr. Ty ale primarne mluvis o nazvech, ktery zvenku neexistujou = zadnej problem s cache.


Jelikoz sem to celkem nedavno resil na widlich, tak jen pripodoktnu, ze na nich musis vypnout "chytristiky" ... ktery to rozbijou zcela spolehlive.

Turn off smart multi-homed name resolution Enabled 
Turn off smart protocol reordering Enabled

A pak to co chces udelas takhle.

Set-VpnConnection -Name "mojeVPN" -DnsSuffix "corp.com"

Ale pozor, jak je u MS tradici, chova se to s kazdou verzi widli jinak.

Provozovat v jedné instanci autoritativní server a zároveň i rekurzivní DNS resolver je velmi problematické a typicky to vede k chybám. Snažil bych se tomu vyhnout a použít to jedině v případě, kdy opravdu není zbytí (a nenapadá mne, kdy by reálně taková situace mohla nastat).

Problém je, že takový server obvykle odpovídá jako autoritativní na dotazy na zóny, o kterých si myslí, že jsou jeho – a ony přitom jeho dávno být nemusí. Typicky pak zmigrujete zónu někam jinam, ale na původním serveru ji necháte. Nejdřív kvůli souběžnému provozu, pak kvůli možnosti rychlého rollbacku. Vždyť to přece nevadí, nikdo se toho serveru na tu zónu nebude dotazovat, a že tam leží zóna navíc server nepoloží. Pak to nějakou dobu funguje, protože byl jenom přestěhován autoritativní server, ale DNS záznamy se nijak neměnily, takže i starý server odpovídá správně.
Pak se po několika měsících nějaký DNS záznam změní – a začnou se dít věci. V jedné konkrétní síti (třeba u nějakého ISP) se změna neprojeví, ani po vypršení platnosti záznamů ve všech keších. Až po složitém pátrání se ukáže, že si prostě nějaký resolver v dané síti pořád myslí, že je pro danou zónu autoritativní a odpovídá sám starými záznamy.

[Reklama]

[RDa]

Ano, ty separatni budou urcite lepsim resenim (hlavne kvuli servisovatelnosti).

Zatim tedy jako sw stack to vidim na knot + knot-resolver (a taky fajn ze to je cesky, ze)

[jjrsk]

Provozovat v jedné instanci autoritativní server a zároveň i rekurzivní DNS resolver je velmi problematické a typicky to vede k chybám. Snažil bych se tomu vyhnout a použít to jedině v případě, kdy opravdu není zbytí (a nenapadá mne, kdy by reálně taková situace mohla nastat).

Zase meles jirsaku o vecech o kterych nemas ani paru? To je zajimavy vid, ze to tvoji soudruzi z MS presne takhle delaji uplne vsude. A fakt by me zajimalo, jaka vysvetlujes klientovi, kteryho dns se ma zrovna zeptat ... pripadne jeste lip, jak tomu dns serveru vysvetlujes, porad dokola, ze na vyjmenovay seznam se nema ptat verejnych tld, ale ma je hledat jinde, to je totiz jeste mnohem lepsi ... lol.

Autoritativni dns s rekurzorem je zcela standardni, a pro neblby zcela funkcni konfigurace.

[Filip Jirsák]

Provozovat v jedné instanci autoritativní server a zároveň i rekurzivní DNS resolver je velmi problematické a typicky to vede k chybám. Snažil bych se tomu vyhnout a použít to jedině v případě, kdy opravdu není zbytí (a nenapadá mne, kdy by reálně taková situace mohla nastat).

Zase meles jirsaku o vecech o kterych nemas ani paru? To je zajimavy vid, ze to tvoji soudruzi z MS presne takhle delaji uplne vsude. A fakt by me zajimalo, jaka vysvetlujes klientovi, kteryho dns se ma zrovna zeptat ... pripadne jeste lip, jak tomu dns serveru vysvetlujes, porad dokola, ze na vyjmenovay seznam se nema ptat verejnych tld, ale ma je hledat jinde, to je totiz jeste mnohem lepsi ... lol.

Autoritativni dns s rekurzorem je zcela standardni, a pro neblby zcela funkcni konfigurace.

že tomu nerozumíte nemusíte dávat najevo nadávkami. Ono se to pozná i bez nich.

Klient se vždycky ptá rekurzivního resolveru, který má nakonfigurovaný. Klientovi tedy nemusíte vysvětlovat vůbec nic. Rekurzivní resolver se může na všechny domény doptávat standardně od kořenové domény, nebo může používat nadřazený rekurzivní resolver. Takto se nakonec může dostat k autoritativnímu serveru, který klidně může běžet na stejném zařízení, jako ten rekurzivní resolver, akorát na jiné IP adrese. A i když chcete pro některé domény používat jako autoritativní server nějaký, který není uveden v globálním stromu (třeba používáte lokální doménu nebo split horizon), pořád to znamená jenom to, že na tom jednom resolveru nakonfigurujete, pro které domény se má dotazovat jinde. Takže fakt není potřeba, aby ten rekurzivní server byl zároveň primárem pro jakoukoli doménu.

[David]

Tady má Filip Jirsak pravdu, mám to úplně stejně. Neběží to na stejném serveru, ale to je jen implementacni detail.

[McFly]

Pokud clovek vi, co dela a rozumi tomu, osobne nevidim zadny problem mit autoritativni i rekurzivni dns v jednom, a tim nemyslim instance na ruznych ip. Provozujeme to tak mnoho let, funguje to dle predstav a ocekavani.

[David]

Já jsem si zvykl na Knot DNS jako autoritativni a Knot Resolver, co ma pro vyjmenované domény ten DNS natvrdo.