Den Loop hättest Du, wenn Du unter Dienste - Unbound DNS - Allgemein - Weiterleitungs-Modus aktivieren würdest. Dann könnten mit meiner oben geposteten Konfiguration keine externen Adressen mehr aufgelöst werden.
Viele Grüße
Klaus
Hallo Klaus. Danke für die Klärung. Heißt das dann aber auch: dort NUR den Eintrag des lmn-Servers rein und auf keinen Fall andere/zusätzliche DNS-Server??
Schöne Grüße
Michael
Hallo Michael,
wenn Du mit dem SSO dann keine Probleme hast dann kann dort auch zusätzlich der Forwarding Nameserver rein.
Viele Grüße
Klaus
OK, SSO ist bisher noch nicht aktiviert. Daher kann ich noch nix dazu sagen… Aber es steht auf der nach unten ziemlich langen To-do-Liste…
Hallo zusammen
bei mir steht da
# cat /etc/resolv.conf
domain linuxmuster.lan
nameserver 127.0.0.1
nameserver 10.16.1.1
nameserver 192.168.178.20
wie werde ich den die localhost adresse los?
das ist bei mir nämlich ein fehler im SSO
seltsamerweise steht bei mir unter den allgemeinen einstellungen nur die
10.16.1.1 und 192.168.178.20 also pihole
und unter unbound dns ist bei mir die Weiterleitung aktiviert trotzdem wird extern aufgelöst
Lg Pascal
Hallo Pascal
System - Einstellungen - Allgemein
Do not use the local DNS service as a nameserver for this system
Weil Du den 192.168.178.20 in der resolv.conf hast. Heißt, der Unbound DNS frägt den 192.168.178.20. Damit gibt es keinen Abfrage Loop.
Viele Grüße
Klaus
Hallo Pascal,
Hier bin ich anders vorgegangen. Ich will das Pi-Hole bei uns ja nur im WLAN betreiben (und nicht überall). Daher habe ich die IP des Pi-Holes auch nur bei den DHCP-Settings für das WLAN („blau“) als primären DNS Server eingetragen. In den „allgemeinen DNS Einstellungen“ taucht der hier jedenfalls nicht auf…
Daher die Rückfrage: ist das Pi-Hole bei dir überall aktiviert?
Schöne Grüße
Michael
Hallo Klaus
kann ich das so lassen oder muss ich die Adresse vom pi hole woanders eintragen ?
Damit es richtig benutzt wird und nicht in die quere mit dem anderen DNS kommt?
ja ich möchte ja auch wenn die Schüler am PC sitzen und im Internet recherchieren das ein filter aktiv ist
und bei uns in Hessen ist es sogar so das jede schule einen Schulfilter haben muss das witzige ist nur es muss einer vorhanden sein und wie gut der ist ist unwichtig 
LG Pascal
Hallo zusammen.
… also dass da alle Haken grün sind, hatte ich noch nie, glaube ich?!!
In welchem Netz läuft dein Pi-Hole? Ist das hinter einer Fritzbox – also quasi im roten Netz?
Da musstest du vermutlich zusätzliche Firewallregeln einfügen??
Schöne Grüße
Michael
doch bei mir sind jetzt alle grün nachdem ich den localhost raus genommen habe
ja zwischen fritzbox und opnsense
ja ich musste nur die ports von innen nach außen freigeben also 80 443 und 53 und noch ein paar andere für mail usw
Lg Pascal
Hallo Pascal,
Das weiß ich leider nicht. Wenn Pihole und SSO mit den Einstellungen funktioniert sollte es doch passen. Die ursprüngliche Frage ging ja darum, ob der lmn Server auf der Firewall eingetragen werden sein muß. Für SSO definitiv ja.
Viele Grüße
Klaus
Hallo zusammen,
auf eine Anfrage von mir zum Thema DNS hin hat mich Holger auf diesen Thread hingewiesen, wonach mir Manches klarer wurde. Danke dafür an dieser Stelle.
Was mir aber noch unklar ist:
Wenn eine DNS-Anfrage des client an den limu-server erfolgt, der wiederum die firewall befragt, der wiederum als DNS die IP des servers enthält, kommt es in deiner Konfiguration zu einem Abfrage-loop, wenn Unbound-DNS im der Weiterleitungs-Modus aktiviert ist.
D.h. man sollte Unbound DNS nicht im Weiterleitungs-Modus betreiben.
In dieser Konfiguration ist der limu-server der zuständige DNS-server für linuxmuster.lan.
Bloß, wenn Unbound DNS nicht auf einen anderen externen DNS server zurückgreift, wie löst er dann externe Namen auf?
Irgendwo muss doch schließlich auf einen externen DNS server verwiesen werden, um Namen außerhalb linusmuster.lan aufzulösen.
Anlass meiner Anfrage ist der für Belwue-Kunden angebotene Jugendschutzfilter, der auf DNS-basiert. Um den JSF zu nutzen, gibt man als externe DNS 129.143.4.3 ein (ohne JSF 129.143.2.1).
An welcher Stelle trage ich diese IP in deiner Konfiguration ein?
Grüße, sino
Hallo sino,
Richtig, das hatte ich so beschrieben.
Über die Root Nameserver?
Ich würde dann versuchen den DNS Forwarder in der Samba Konfiguration zu ändern. Die Clients nutzen ja den Server als DNS Resolver, welchen sie über DHCP bekommen.
/etc/samba/smb.conf.admin
[global]
dns forwarder = 129.143.4.3Klappts?
Viele Grüße
Klaus
Hallo,
die Clients müssen zwingend den LMN-Server als DNS-Server nutzen, weil sonst die Namensauflösung im Schulnetz nicht funktioniert und damit auch die Anmeldung an der Domäne etc. nicht klappt.
Der LMN-Server löst Anfragen für das lokale Netz auf und reicht den Rest an die Firewall weiter.
Auf der Firewall werden die Namen dann abhängig von der Außenanbindung aufgelöst. Entweder über den DNS des Providers oder über einen Server wie Quad9, oder die Firewall macht alles selbst rekursiv.
Bei einer anderen Konfiguration wird man sich nur Probleme einhandeln.
Beste Grüße
Jörg
Hallo Klaus,
Tausend Dank, Ja, es klappt.
Das ist genau die Stelle für den JSF (hätte ich nach gründlicherem Nachdenken auch selbst drauf kommen können, aber manchmal sieht man den Wald vor lauter Bäumen nicht…).
Bevor ich das produktiv einsetzen kann, muss ich allerdings ein weiteres Problem lösen:
Zum Testen hatte ich an Stelle der Fritzbox den Port des Cisco-Routers von Belwü (über das rote Netz der Firewall) mit dem Server verbunden.
Nun läuft aber vom Keller (wo die Cisco steht) leider nur ein Netzwerkkabel „nach oben“, was bislang für das Verwaltungsnetz genutzt wurde.
Da es keine einfache Möglichkeit gibt, mal eben ein zweites LAN-Kabel für das (vom Verwaltungsnetz zu trennende) päd. Netz zu ziehen, wollte ich mit (tagged) VLAN beide Netze über dieses eine LAN-Kabel übertragen, was auf Anhieb erst mal scheiterte.
Da VLAN an dieser Stelle etwas off topic ist, werde ich schauen, wo im Forum ich mein VLAN-Problem thematisch passend unterbringen kann.
Würde mich über jeden noch so kleinen Hinweis freuen, wenn ich mal wieder den Wald vor lauter Bäumen nicht sehe.
Grüße, sino
Hallo Sino,
wenn du einen neuen Post aufmachst, beschreibe auch gleich deine Hardware unten im Keller und am anderen Ende der Verbindung.
Beste Grüße
Thorsten
Hallo Sino,
heißt das auch, dass bei dir mit dieser Konfiguration bislang keine Authentifizierungsprobleme aufgetaucht sind?
Viele Grüße
Wilfried
Hallo Wilfried,
falls mit „Authentifizierungsprobleme“ gemeint ist, dass ein login scheitert:
bislang keine Probleme.
Finde die DNS-Konfiguration mit den wechselseitigen Verweisen zwischen Firewall und Limu-Server etwas tricky, weshalb ich anfangs nicht wusste, wo in der Konfiguration die DNS für den JSF von Belwü ohne Nebenwirkungen einzutragen ist. Vllt. kann jemand den Weg einer DNS-Anfrage vom client in einem Diagramm darstellen.
Grüße, sino
Hallo Klaus,
dann würde der samba diesen DNS als externen DNS nutzen. Die Clients fragen aber weiterhin den lmn Server, oder?
Ich will ja den DNS im Netz schon in der Hand haben…
Ich stimme Ersin zu wenn er sagt, dass das alles kompliziert und undurchsichtig ist.
Der Sachverhalt ist komplex: OK, aber wir müssen irgend wo dokumentieren, wie das mit dem DNS läuft.
Ich verstehe, warum die Firewall den Server fragen muss: sonst kennt sie die Client im Netz nicht (wenn sie direkt einen externen DNS fragt).
Ich verstehe auch dass der samba ein zentraler Dienst im Netz ist, der sehr viele Dinge in der Hand haben muss: aber warum haben wir dann noch einen bind auf dem Server?
Was ich nicht verstehe: in meinem Netz steht wirklich überall der Server als DNS drin: auch am Server selbst.
Warum schafft es dieses Sammelsurium an Schleifen externe domains auf zu lösen? Und dass seit langem?
Bei mir steht z.B. in der /etc/samba/smb.conf als dns forwarder die Firewall drin … also eine weitere Schleife.
LG
Holger
Hallo Holger
Ja, die Clients bekommen den Samba4 DNS-Server per DHCP zugewiesen.
Genau z.B. wenn man in den Firewall Aliases Hostnamen stehen hat, oder für das SingleSignOn. Wenn man in der Firewall andere Nameserver zusätzlich zum Linuxmuster Server stehen hat, dann gibt es im Kerberos Test unter Dienst - WebProxy - SingleSignOn - Kerberos-Authentifizierung immer wechselnde Fehler
Haben wir nicht. Wenn, dann kann er nicht aktiv sein, weil Port 53 für DNS der Samba belegt. Es ist nur das Paket bind9-host installiert welches das Binary „host“ beinhaltet.
Bei mir steht auch überall der Server als DNS drinnen. Der DNS Forwarder ist, wie Du schreibst per Default die Firewall in /etc/samba/smb.conf. Dort wird dann der UnboundDNS gefragt, welcher die Root Nameserver nach den externen Adressen fragt.
Zusammenfassung:
- Linuxmuster stellt mit samba4 den DNS Server für das LAN. Zugewiesen über DHCP an die Clients. Siehe /etc/dhcp/dhcpd.conf. Die Clients fragen für linuxmuster.lan(oder die konfigurierte lokale Domain) den Server und bekommen direkt die Antwort
- Für externe Adressen fragt der Server den UnboundDNS der Firewall. Konfiguriert über den Parameter „dns forwarder“ in /etc/samba/smb.conf. Der UnboundDNS der Firewall beantwortet die Anfrage, indem er die Root Nameserver befragt.
- Die Firewall selber hat als Nameserver nur den Linuxmuster Server eingetragen, damit das SSO einwandfrei funktioniert.
Will man jetzt nicht den UnboundDNS der Firewall als Forwarder nutzen, sondern einen anderen Nameserver, dann muß man das in der Samba Konfiguration machen. Wenn man kein SSO braucht, kann das Setup anders aussehen.
Das sind zumindest meine Erkenntnisse.
Viele Grüße
Klaus