Ich habe es so verstanden:
-
Der Linuxmusterserver (bei uns auf 10.0.0.1) ist der interne und damit erste DNS-Server der abgefragt werden soll, daher steht er auch bei allen Clients als DNS Server
-
Die Firewall (bei uns auf 10.0.0.254) verweist daher auch direkt auf den Linusmusterserver als DNS-Server als einzigen DNS.
-
Auf dem Server beim Samba Dienst steht daher auch nur die Firewall als DNS Forwarder.
Jetzt kommt m.E. der Trick, dass es sich hier nicht um einen Auflösungsschleife handelt und so richtig eingestellt ist.
- Die Anfragen, die der interne DNS nicht auflösen kann werden über das Tool Ubound DNS der OPNSense Firewall beantwortet und bei uns auf KinderschutzDNS Server weitergeleitet.
Ich habe bei der Ersteinrichtung viele Varianten ausprobiert, diese funktioniert bei uns zuverlässig. Die größte Schwierigkeit bestand in der Zuverlässigkeit der Kerberosauthentifizierung der OPNSense für den Internetproxy der Clients, dort waren die Häkchen nur zufällig grün, in der obigen Konstellation aber durchgängig.
Bei OPNSense > Dienste > Squid Web Proxy > Einmalige Anmeldung > Kerberos-Authentifizierung
Was davon das Setup von alleine lieferte weiß ich nicht mehr, aber es lief auf jeden Fall nicht von Anfang an rund …
Wir arbeiten ausschließlich mit Windows-Clients.
Viele Grüße, Adrian