Я представляю контекст: у меня есть публичный фиксированный IP, который установлен на моем pfsense в wan; у меня есть интернет в моей lan; в моей lan у меня есть локальный DNS-сервер (ubuntu 22.04 с bind9 с ip 10.14.14.10), где я установил зону с реальным доменом, который я купил (mm-it.ro); в реестре (где я купил домен). Я установил домен mm-it.ro так, чтобы он указывал на мой публичный IP (86.125.220.243); в pfsense, в общих настройках, я указал IP внутреннего DNS-сервера, а в NAT&Rules установлено, что все от wan на порту 53 указывает на IP моего локального DNS-сервера.
Теперь: в локальной сети все работает; я могу разрешить в браузере с любого клиента из моей локальной сети:www.mm-it.ro, mail.mm-it.ro. Но из интернета я не могу получить доступ к домену; я жду около 72 часов для распространения после того, как зарегистрировал публичный IP для этого домена на сайте регистратора; я ничего не меняю: не могу выполнить ping до mm-it.ro или ns1.mm-it.ro; в mxtoolbox при поиске DNS выдается сообщение «DNS No Valid NameServers Responded», а после того, как я выбираю «найти проблемы», выдается сообщение Unable to resolve "mm-it.ro" to an IP address.
Не знаю где проблема: в pfsense или в настройках моего dns сервера, потому что в моей локальной сети все работает? Ниже найдите мои настройки на майском сервере
db.mm-it.ro (фв)
$TTL 604800
@ IN SOA ns1.mm-it.ro. admin.mm-it.ro. (
6 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.mm-it.ro.
IN MX 10 mail.mm-it.ro.
ns1 IN A 10.14.14.10
mm-it.ro. IN A 10.14.14.10
www IN A 10.14.14.11
mail IN A 10.14.14.12
db.10 (обратный)
$TTL 604800
@ IN SOA ns1.mm-it.ro. admin.mm-it.ro. (
5 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.
10 IN PTR ns1.mm-it.ro.
10 IN PTR mm-it.ro.
11 IN PTR www.mm-it.ro.
12 IN PTR mail.mm-it.ro.
именованный.conf.local
zone "mm-it.ro" {
type master;
file "/etc/bind/db.mm-it.ro";
};
zone "14.14.10.in-addr.arpa" {
type master;
notify no;
file "/etc/bind/db.10";
};
именованные.conf.options
acl ips {
86.125.220.243;
localhost;
localnets;
10.14.14.0/24;
};
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
recursion yes;
allow-query { ips; };
allow-query-cache { ips; };
allow-recursion { ips; };
forwarders {
8.8.8.8;
8.8.4.4;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
listen-on-v6 port 53 { ::1; };
listen-on port 53 { 127.0.0.1; 10.14.14.10; };
};
А в pfserver есть правила, чтобы все, что приходит из WAN на порт 53, перенаправлялось на порт 53 на мой DNS-сервер на его IP 10.14.14.10. Также я отключил службы Dns Resolverи DNS Forwarder.
Пожалуйста, помогите мне указать, где может быть проблема.
решение1
Хотя, как предполагали другие, вполне возможно, что DNS для вашего домена будет обслуживаться изнутри домена, учитывая, что Glue Records или A Records в другом домене опубликованы, не делайте этого. Серьёзно.
DNS-хостинг действительно дешев - большинство регистраторов отдают его бесплатно при регистрации. И наоборот, запуск любого сервера в Интернете требует высокого уровня мастерства и инвестиций в укрепление и постоянный мониторинг/обслуживание. Существует значительный риск того, что ваш DNS-сервер и, возможно, ваш домен могут быть использованы в очень гнусных целях, без вашего ведома, пока полиция не постучит в вашу дверь.
решение2
Спасибо всем за ответы. Я понимаю, что мне нужно настроить еще одну зону для внешнего/интернета (splitview). Но я в итоге установил bind в pfsense и сделал все настройки там, и пока все работает. Спасибо.