linuxmuster-DNS-Server eine weitere Zone beibringen?

Server
#1

Hallo.
Die folgende Frage ist im Zusammenhang mit unserem neuen mailcow-Mailserver aufgetaucht und zwar gibt es hier im Moment das folgende Problem:

Intern heißen unsere Server alle *.linuxmuster.meine-domain.de – das sollen die Schüler aber nicht als eMail-Adresse erhalten (zu lang, zu sperrig). Daher haben alle SuS als Eintrag im Feld mail lediglich den Eintrag @kurze-domain.de

Der Mailserver hängt in der DMZ, ist aber per Namensauflösung unter dem Namen mail.linuxmuster.meine-domain.de allen Clients bekannt (auch, weil er mit seiner IP aus der DMZ in der devices.csv steht).

Wenn ich von nun von außen auf den Mailserver zugreife, wird erfolgreich von https://kurze-domain.de auf https://mail.linuxmuster.meine-domain.de umgeleitet. Es wird dann auch das richtige LE-Zertifikat für den Mailserver herausgegeben und alles ist gut.

Das Problem ergibt sich erst, wenn man es von innen (also z.B. aus dem Schul-WLAN) versucht: Dann gibt es unter https://kurze-domain.de keine Weiterleitung auf den langen Namen und es kommt zu einem Zertifikatsfehler im Browser, da das LE-Zertifikat von der OPNSense natürlich nur für den langen Namen ausgestellt wurde.

Die Frage ist nun, wie man das elegant umgehen kann? Da der mail-Server ein Teil der linuxmuster-Infrastruktur ist, sollte er auch den langen Namen mail.linuxmuster.meine-domain.de behalten, oder? Oder ist es auch möglich, dass man dem linuxmuster-DNS-Server einer weitere Zone (bei uns eben kurze-domain.de) beibringt? Falls ja: Was wäre zu tun? Oder: Besser die Finger davon lassen, da man sich ungeahnte Probleme ins Netz holt??

Viele Grüße,
Michael

#2

Hallo Michael,

so ganz klar ist mir nicht, weshalb Du dem Mailserver nicht die richtige (kurze) D9main verpasst. Er hat auch nichts in der devices. Csv zu suchen - er steht ja in der DMZ. Den DNS-Eintrag für das Schulnetz kannst Du bei der Opnsense setzen. Du brauchst dann natürlich ein Zertifikat für die kurze Domain.

Beste Grüße

Jörg

#3

Ganz genau!! Und das müsste die OPNSense erzeugen können — für eine „ ganz andere“ Domain. Bin nicht sicher, ob sie das kann/macht?

#4

Hallo Michael,

da gibt es viele Wege. Wenn Du auf dem Mailserver keinen Webserver benötigst, dann lässt Du einfach die Opnsense das zweite Zertifikat verwalten und kopierst es auf den Mailserver.

Wenn Du auf dem Mailserver einen Webserver laufen hast, z. B. einen Webmailer, dann richtest Du auf der Opnsense einen Reverse Proxy ein. Das Zertifikat benötigen dann der Reverse Proxy und der Mailserver, erzeugen kannst Du es bei beiden.

Beste Grüße

Jörg

#5

Hallo Jörg.
Theoretisch klar – aber in der Praxis ist das so bei uns leider nicht möglich, da die kurze-domain.de auf einem vServer bei HostEurope „läuft“ (mit Plesk verwaltet). Ich könnte natürlich das LE-Zertifikat für diese Domain von dort holen, doch ich weiß trotzdem leider nicht, ob dann der interne Traffic noch funktioniert.

Also konkret:
Nehmen wir an, dass der mail-Server nicht mehr mail.linuxmuster.lange-domain.de sondern mail.kurze-domain.de heißt … dann wird der v7-DNS-Server den ja wieder „im Internet“ und nicht lokal suchen, weil er ihn gar nicht lokal „vermutet/verortet“ – oder sehe ich das falsch?

Bisher dachte ich, dass der Witz am schul-internen DNS-Server (also dem v7-Server) gerade ist, dass man dort auch DMZ-Einträge machen kann/soll, damit die Namensauflösung immer aus allen Subnetzen problemlos läuft?! Unsere Nextcloud ist dort ja beispielsweise auch eingetragen – und läuft.

Unter’m Strich glaube ich mittlerweile, dass der Betrieb des Mailservers auf einem externen Server (wie z.B. so ein BBB-Server bei Hetzner den ja hier viele einsetzen) viel besser aufgehoben ist, da es diese ganzen DNS-Probleme dann nicht gibt.

Viele Grüße,
Michael

#6

Hallo Michael,

die externen Webseiten sind hierfür nicht relevant, zumindest wenn ich das richtig verstehe.

Aber so ganz ist mir Dein Setup nicht klar. Du hast doch sicher keinen externen vServer in Deiner DMZ?

Vielleicht kannst Du ja mal schreiben, welche Hostnamen im Internet bekannt sind und auf welche IPs sie zeigen.

Beste Grüße

Jörg