Hallo,
wahrscheinlich brauchen wir 2 dokumentierte Lösungswege. Einmal für einen DNS-Eintrag, z. B. für Belwue, wobei offen ist, ob der noch lange funktioniert. Dazu hat Dominik schon einmal eine Lösung vorgeschlagen:
Und außerdem die Möglichkeit der Filterung mit Listen, z. B. der shallalist.
Viele Grüße
Wilfried
Hallo Holger,
so funktioniert es auch bei meinen Clients. Mich hat nur interessiert, ob sich da clientseitig bei der „Samba-Lösung“ etwas ändert.
Viele Grüße
Wilfrired
Hallo Michael,
nur wenn die Clients den Namen
server
nicht auf die IP des Servers auflösen können.
Aber das würde alle betreffen, nicht einzelne.
LG
Holger
Hallo,
ich habe heute mal die „Samba-Lösung“ ausprobiert:
und ein Samba-Neustart: /etc/init.d/smbd restart
Außerdem habe ich in der OPNsense wie von Dominik an anderer Stelle vorgeschlagen folgende Einstellungen geändert:
Beim Test am Client scheint nun tatsächlich gefiltert zu werden.
Viele Grüße
Wilfried
Hi.
Ich frische diesen Thread aus aktuellem Anlass nochmal auf …
Wir nutzen im Moment kein SSO – dafür aber diverse Netze, die auch unabhängig vom „grünen“ Servernetz laufen. Also z.B. eine DMZ sowie das WLAN. Nun ist es ja eigentlich so, dass man auf der OPNSense als DNS-Server den v7-Server eintragen soll (und zwar NUR den).
Daher nochmal zu den OPNSense-Einstellungen unter
Ich habe dort im Moment diese Einstellungen, frage mich aber, ob der Server 10.16.1.1 nicht an erster Stelle stehen sollte …
(Das Problem sind nicht die Clients, die der v7-Server aufgrund der devices.csv kennt – sondern alle anderen.)
Wie habt ihr das eingestellt?
Danke.
Michael
Ich hole diesen Thread nochmal nach oben … ich bin gerade nochmal alles von vorne bis hinten durchgegangen.
Hier ist es genauso wie von Klaus (@garblixa ) beschrieben: Nur wenn ich auf der OPNSense unter System → Einstellungen → Allgemein bei den DNS-Servern NUR noch die 10.16.1.1 eintrage, liefert die Kerberos-Authentifizierung sofort überall grüne Häkchen.
Trage ich hingegen einen anderen DNS-Server wie z.B. 9.9.9.9 mit ein, sind einige der Haken rot.
Andererseits funktioniert aber die DNS-Auflösung vom Server aus nicht mehr, wenn dort nur die 10.16.1.1 steht (wie das ja hier mehrfach vorgeschlagen wurde).
Also konkret:
Auf dem Server liefert dig linuxmuster.net @10.16.1.1 nichts mehr, wenn auf der OPNSense kein weiterer DNS-Server neben der 10.16.1.1 eingetragen wurde.
Daher nochmal die Frage in die Runde: Welche Einstellungen für den DNS-Server im Zusammenspiel mit dem Unbound sind richtig?
[etwas später…]
Ich glaube jetzt hab ich’s!
Im Moment ist es so: Unter System → Einstellungen → Allgemein bei den DNS-Servern steht NUR die 10.16.1.1
aber unter Dienste → Unbound → Unbound DNS → Query Forwarding ist der Haken bei [ ] Use System Nameservers NICHT mehr gesetzt. Stattdessen sind die DNS-Server darunter als Custom forwarding eingetragen, damit die 10.16.1.1 in dieser Liste nun nicht mehr mit auftaucht!!
Mit diesen Einstellungen wird auf dem Server
dig irgendein.server.im.inter.net richtig aufgelöst.
Auf der Firewall geht auch
drill ein.server
Außerdem zeigt die Kerberos-Authentifizierung jetzt überall grüne Häkchen.
Scheint also zu passen?!
Viele Grüße,
Michael
Hallo Michael,
Bei mir ist dort nichts konfiguriert. Trotzdem funktioniert die Namensauflösung vom Server mit
dig irgendein_server_im_netz
Geht auch bei mir ohne die Konfiguration.
Viele Grüße
Alois
Hallo Alois … vielleicht ist das wieder so ein Fall, wo unser Setup „intern wie extern der gleiche FQDN“ zuschlägt?
Ich hatte jedenfalls bisher noch nie alle Häkchen grün bei der Kerberos-Authentifizierung – erst seitdem ich diese Einstellung gewählt habe!
Viele Grüße,
Michael
Hallo Michael,
danke, bei mir sind die Haken grün ohne die „Dienste → Unbound → Unbound DNS → Query Forwarding“ Einstellung.
Viele Grüße
Alois
Hallo,
hole das Ding hier nochmal hoch, weil ich auch gerne wüsste, für welches Szenario man welche Lösung jetzt empfiehlt.
Und weil in der Liste alle „angeschauten“ Threads der hier sehr weit oben ist. Da wäre schon wichtig bei welchem Post jetzt der „gelöst“ Haken erscheint.
Ich habe bei mir nämlich schon mehrfach das Problem bekommen, dass gar nichts mehr ging, sobald ein Fehler im Netzwerk auftaucht.
Beispiel: Firewall bootet ohne externen Netzwerkzugang.
Dann kommt der Netzwerkzugang hoch bzw. läuft, die Firewall kann DNS auflösen, aber intern geht gar nichts. Der Samba löst nichts auf usw.
Das war nur eines (eher seltenes) von mehreren Szenarien, wo ich erst bei kompletter Netzwerkfunktionialität Firewall + Server rebooten musste, damit sie DNS wieder auflösen.
Ich habe die starke Vermutung, dass das mit dem (wg. SSO) propagierten Zirkelschluss zusammenhängt, die 10.16.1.1 als DNS-Server in der Firewall einzutragen.
Mögliche Szenarien sind:
VG, Tobias
