Ermöglichen Sie den Zugriff auf den lokalen DNS- und Nameserver über das Internet

tag-icon tag-icon internal-dns
Ermöglichen Sie den Zugriff auf den lokalen DNS- und Nameserver über das Internet

Ich stelle den Kontext dar: Ich habe eine öffentliche feste IP, die auf mein pfsense im WAN eingestellt ist; ich habe Internet in meinem LAN; in meinem LAN habe ich einen lokalen DNS-Server (Ubuntu 22.04 mit Bind9 mit IP 10.14.14.10), wo ich die Zone mit einer tatsächlichen Domäne eingestellt habe, die ich gekauft habe (mm-it.ro); im Register (wo ich die Domäne gekauft habe). Ich habe die Domäne mm-it.ro so eingestellt, dass sie auf meine öffentliche IP (86.125.220.243) verweist; in pfsense gebe ich im allgemeinen Setup die IP des internen DNS-Servers ein und in NAT&Rules ist eingestellt, dass alles vom WAN auf Port 53 auf die IP meines lokalen DNS-Servers verweist.

Nun: Im LAN funktioniert alles; ich kann im Browser von jedem Client in meinem LAN aus Folgendes auflösen:www.mm-it.ro, mail.mm-it.ro. Aber vom Internet aus kann ich die Domain nicht erreichen. Ich warte ungefähr 72 Stunden auf die Verbreitung, nachdem ich die öffentliche IP für diese Domain auf der Registrar-Site registriert habe. Ich ändere nichts: Ich kann kein Ping an mm-it.ro oder ns1.mm-it.ro senden. In der DNS-Suche von mxtoolbox stand „DNS, keine gültigen Nameserver haben geantwortet“ und nachdem ich „Probleme suchen“ ausgewählt habe, stand dort Unable to resolve "mm-it.ro" to an IP address.

Ich weiß nicht, wo das Problem liegt: in pfsense oder in meinen DNS-Servereinstellungen, denn in meinem lokalen Netzwerk funktioniert alles? Unten finden Sie meine Einstellungen auf meinem Server

db.mm-it.ro (fw)

$TTL    604800
@       IN      SOA     ns1.mm-it.ro. admin.mm-it.ro. (
                              6         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.mm-it.ro.
        IN      MX      10      mail.mm-it.ro.
ns1     IN      A       10.14.14.10
mm-it.ro.       IN      A       10.14.14.10
www     IN      A       10.14.14.11
mail    IN      A       10.14.14.12

db.10 (rückwärts)

$TTL    604800
@       IN      SOA     ns1.mm-it.ro. admin.mm-it.ro. (
                              5         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.
10      IN      PTR     ns1.mm-it.ro.
10      IN      PTR     mm-it.ro.
11      IN      PTR     www.mm-it.ro.
12      IN      PTR     mail.mm-it.ro.

benannt.conf.local

zone "mm-it.ro" {
        type master;
        file "/etc/bind/db.mm-it.ro";
};

zone "14.14.10.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/db.10";
};

benannte.conf.optionen

acl ips {
        86.125.220.243;
        localhost;
        localnets;
        10.14.14.0/24;
};

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        recursion yes;
        allow-query { ips; };
        allow-query-cache { ips; };
        allow-recursion { ips; };

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        
        dnssec-validation auto;

        listen-on-v6 port 53 { ::1; };
        listen-on port 53 { 127.0.0.1; 10.14.14.10; };
};

Und in pfserver habe ich Regeln, dass alles, was vom WAN auf Port 53 kommt, auf Port 53 zu meinem DNS-Server auf seiner IP 10.14.14.10 umgeleitet wird. Außerdem habe ich die Dienste deaktiviert Dns Resolverund DNS Forwarder

Bitte helfen Sie mir, herauszufinden, wo das Problem liegen könnte.

Antwort1

Obwohl es, wie andere bereits vorgeschlagen haben, durchaus möglich ist, den DNS für Ihre Domäne von innerhalb der Domäne aus bereitzustellen, sofern die Glue-Records oder A-Records in einer anderen Domäne veröffentlicht sind, sollten Sie dies nicht tun. Im Ernst.

DNS-Hosting ist wirklich günstig – die meisten Registrare verschenken es bei der Registrierung. Umgekehrt erfordert der Betrieb eines Servers im Internet ein hohes Maß an Fachwissen und Investitionen in die Absicherung und laufende Überwachung/Wartung. Es besteht ein erhebliches Risiko, dass Ihr DNS-Server und möglicherweise Ihre Domain für sehr schändliche Zwecke missbraucht werden, ohne dass Sie davon etwas wissen, bis die Polizei an Ihre Tür klopft.

Antwort2

Vielen Dank an alle für die Antworten. Mir ist klar, dass ich auch eine andere Zone für das Externe/Internet (Splitview) einrichten muss. Aber am Ende habe ich Bind in pfsense installiert und dort alle Einstellungen vorgenommen und jetzt funktioniert es. Vielen Dank.

verwandte Informationen