rekursiver DNS für VMware vCSA

[at0m]

Hallo,
ich nutze als DNS Server bisher ausschließlich den Lancom Router. Jetzt stehe ich vor dem Problem eine neue Version der vCSA installieren zu müssen.
Diese verlangt zwingend eine rekursive Namensauflösung. Das scheint aktuell nicht zu gehen:

Code: Alles auswählen

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33566
;; flags: qr aa rd ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

Gibt es dafür eine Lösung oder Workaround ?

Viele Grüße,
at0m

[GrandDixence]

Flag: AD => DNSSEC
Für DNSSEC siehe:
fragen-zur-lancom-systems-routern-und-g ... ml#p104392
und die darin verlinkten Beiträge.

[at0m]

Aber AD ist nicht mein Problem, sondern RD:

Code: Alles auswählen

WARNING: recursion requested but not available

[backslash]

Hi at0m,

das LANCOM leitet DNS-Anfragen nur an den nächgsten DNS-Server (d.h. den deines Providers) weiter - es sei denn, es würde die Anfrage selbst beantworten können, weil es die IP-Adresse kennt - statisch oder per DHCP. In dem Fall schickt es eine authorative Antwort - um anzuzeigen, daß es keine Rekursion gibt.

Die Art der DNS-Auflösung ist hier sicherlich nicht dein Problem - denn die läuft hier ja über den DNS-Server deines Poviders....

DNSSec könnte schon eher ein Problem sein - dann hat dein Provider aber einen kaputten DNS-Server oder dein PC einen kaputten DNS-Resover, denn für DNSSec mussen sowol DNS-Server als auch DNS-Resolver EDNS0 unterstützen und UDP-Pakete bis mindestens 4096 Bytes verarbeiten können. Somit funktionert DNSSec auch mit dem DNS-Forwarder des LANCOMs obwohl der nur UDP spicht

Gruß
Backslash

[at0m]

Hi Backslash,

es handelt sich bei der Adresse um eine eine interne Adresse, die ich im Lancom/DNS hinterlegt habe. Ich versuche nichts mit DNSSEC und / oder DNS Forwarding

Ich bekomme nur bei jeder Abfrage des Lancom DNS die Meldung:

Code: Alles auswählen

WARNING: recursion requested but not available

Code: Alles auswählen

test:~ # dig @10.0.0.254 test

; <<>> DiG 9.16.6 <<>> @10.0.0.254 test
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23218
;; flags: qr aa rd ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;test.                                IN      A

;; ANSWER SECTION:
test.                 60      IN      A       10.0.0.1

;; Query time: 0 msec
;; SERVER: 10.0.0.254#53(10.0.0.254)
;; WHEN: Fri Apr 16 16:43:41 CEST 2021
;; MSG SIZE  rcvd: 40

Viele Grüße,
at0m

[backslash]

Hi at0m

wie ich schon schreib: wenn das LANCOM slebst antwoirtet, dann ist es eben *KEINE* rekursive Auflösung.

und nur weil dig dir sagt, daß zwar rekursive Auflösung angefordert wurde, es aber keine gab, ist das noch lange kein Fehler. Es ist auch überhaupt kein Problem, die Auflösung als solche funktioniert ja.

Wenn das Update trotzdem nicht funktiobniert, dann hat das nicht mit dem DNS zu tun und du mußt den Fehler schon bei der Software suchen - es wird vermutlich auch nicht funktionieren, wenn du die Auflösung in die hosts-Datei des betroffenen Rechners schreibst...

Gruß
Backslash

[at0m]

Hi Backslash,

ich habe jetzt einfach Mal testhalber einen weiteren (public-)DNS (9.9.9.9) in die resolv.conf eingetragen.
Danach war die Meldung beim dig weg und ich konnte die Installation fortsetzen.

Dieselbe DNS-IP-Adresse steht sonst eigentlich auch unter den DNS-Weiterleitungen mit Routing-Tag 0 im Lancom.
Hätte das nicht auch funktionieren müssen ?

Viele Grüße,
at0m

[GrandDixence]

Bitte:
# man dig
https://linux.die.net/man/1/dig
lesen. Danke!

Und in dem Zusammenhang wäre auch:

# man nslookup
https://linux.die.net/man/1/nslookup
lesenswert.

[at0m]

Wenn ich den eigenen DNS in meinen Standard-VLAN abfrage dann bekomme ich eine korrekte Antwort

Code: Alles auswählen

nslookup 10.10.0.254 10.10.0.254
254.0.10.10.in-addr.arpa    name = router.sub.domain.com.

und der Trace sieht so aus:

Code: Alles auswählen

[DNS] 2021/04/18 09:05:47,802  Devicetime: 2021/04/18 09:05:47,542
DNS Rx (LAN): Src-IP 10.10.0.1, RtgTag 10
Transaction ID: 0x3910
Flags: 0x0100 (Standard query, No error)
Queries
  254.0.10.10.in-addr.arpa: type PTR, class IN

STD PTR for 254.0.10.10.in-addr.arpa
Name resolved to router.sub.domain.com

Aber wenn ich den eigenen DNS aus einem anderen VLAN abfrage, dann bekomme ich einen REFUSED-Fehler:

Code: Alles auswählen

nslookup 10.0.0.254 10.0.0.254
** server can't find 254.0.0.10.in-addr.arpa: REFUSED

und der Trace sieht so aus (hier die Meldung "Request filtered"):

Code: Alles auswählen

[DNS] 2021/04/18 09:05:46,088  Devicetime: 2021/04/18 09:05:45,820
DNS Rx (ESX): Src-IP 10.0.0.1, RtgTag 100
Transaction ID: 0x5b5a
Flags: 0x0100 (Standard query, No error)
Queries
  254.0.0.10.in-addr.arpa: type PTR, class IN

STD PTR for 254.0.0.10.in-addr.arpa
Request filtered

DNS-Filter sind keine angelegt.
Alle anderen Adressen in dem VLAN(ESX) lassen sich problemlos abfragen.

[backslash]

Hi at0m

Aber wenn ich den eigenen DNS aus einem anderen VLAN abfrage, dann bekomme ich einen REFUSED-Fehler:

der REFUSED-"Fehler" kommt daher, daß du unterschiediche Routing-Tags verwendest (10 und 100), es aber offnbar keine Firewallregel gibt, den eine Zugriff von der 10.0.0.1 auf die 10.10.0.254 erlaubt (incl. umtaggen). Da also die Adresse im ARF nicht erreichbar/sichtbar ist, werden anfragen auf sie im DNS-Server geblockt.

Das ist also kein Fehler in der Firmware, sondern einer in der Konfiguration

Gruß
Backslash

[at0m]

Hi Backslash,

ich versuche von der 10.0.0.1 die 10.0.0.254 und nicht die 10.10.0.254 zu erreichen (also im selben VLAN ).

Viele Grüße,
at0m

[backslash]

Hi at0m,

kann es sein, daß du zwei ARF-Netze hast, in denen das LANCOM die 10.0.0.254 hat? In dem Fall wäre die Reversauflösung nicht eindeutig und es könnte doch das Problem mit der Sichtbarkeit der ARF-Netze sein

Gruß
Backslash

[at0m]

Hi Backslash,

die 10.0.0.254 ist im VLAN 100 und die 10.10.0.254 im VLAN 10 der Lancom Router selbst.
Die Auflösung für alle andere IP-Adressen funktioniert in beiden VLANs problemlos.

Viele Grüße,
at0m

[backslash]

Hi at0m

das ist nicht die Antwort auf meine Frage. Meine Frage war, ob du ggf. mehrere ARF-Netze konfiguriert hast, in denen das LANCOM die 10.0.0.254 hat.
Das Refused kommt halt genau dann, wenn die ARF-Sichtbarkeit nicht gegeben ist

Gruß
Backslash

[at0m]

Hi Backslash,

ich wüßte nicht, wie ich wie und warum ich konfigurieren sollte, dass der Lancom in unterschiedlichen VLANs mit unterschiedlichen IP-Netzen in allen Netzen die identische IP-Adresse hat.

VLAN10
10.0.0.0/24 mit 10.0.0.254 für den Lancom
VLAN100
10.10.0.0/24 mit 10.10.0.254 für den Lancom

VIele Grüße,
at0m