Local DNS Record für Host als CNAME wird erst beim 2. DNS Lookup beachtet

**maxim.webster** · 14. Februar 2024

Moin,

ich habe wieder eine Frage: Ich habe gerade PiHole in meinem Netzwerk durch die Ad Blocking-Funktion des Network-Controllers und einen Local DNS Record für einen internen Host ersetzt.

Dieser interne Host bietet mehrere Dienste via HTTPS an. Da ich nur eine externe IP habe, wurde für jeden Service eine Sub-Domain angelegt. Jeder dieser Sub-Domains ist ein CNAME auf den gleichen A-Record:

- service1 CNAME services

- service2 CNAME services

- service3 CNAME services

- services A 172.201.x.x

Im Network Controller wurde dem internen Host der Local DNS Record "services" zugewiesen. Vorteil: Mobile Geräte besonders Mobiltelefone können die Services im WAN oder im WLAN unter dem gleichen FQDN erreichen. Gleichzeitig bleiben Anfragen aus dem WLAN intern und werden nicht durchs Internet geroutet.

Aber - beim ersten DNS Lookup auf einen Service wird immer die externe IP von "services" geliefert (172.201.x.x), erst bei folgenden Aufrufen wird die interne zurückgegeben (192.168.1.x). Im Alltag stört das nicht, aber was könnte die Ursache sein?

Code

> service1.example.com
Server:  unifi.localdomain
Address:  192.168.1.1

Nicht autorisierende Antwort:
Name:    services.example.com
Address:  178.201.x.x
Aliases:  service1.example.com

> service1.example.com
Server:  unifi.localdomain
Address:  192.168.1.1

Name:    services.example.com
Address:  192.168.1.100
Aliases:  service1.example.com

Alles anzeigen

**gierig** · 14. Februar 2024

Stehe evt. auf den Schlauch.

Aber wenn du service1.example.com abfragst, wird die anfrage weiterleitet weil du ja lokal keinen Eintrag für

service1.example.com. Der Externe DNS macht den query und zieht den voll durch den als Fullresolver will er

dir ne IP zurückgebe und löst auch den CNAME auf.

Das sollte aber IMMER passieren.

Wenn du nach der zweiten anfrage auf einmal die Interne ip für dein service.example.com zurückbekommst dann

weil dein resolver sich gemerkt hat das service1 nur nen CNAME ist is fragt gleich den Richtigen Namen an.
der wird dann natürlich vom DNSMasq auf dem Unfi abgefangen und du bekommst die Interne IP

Ich würde behaupten doofes verhalten deines DNS Tools. Um genau zu sein da ist doofes verhalten

von deinem nslookup unter windows.

hast du noch ein Nicht WINdows irgentwo laufen ? Mache da mal ein DIG oder nslookup

bin mir 99% sicher ^*1 das du dann IMMER die externe ip bekommst.

*1 - Eigentlich 100% sicher weil ich das hier grade Probiert habe und nur nslookup unter windows zeigt das

von dir verschiedene verhalten. MAC/Linux bringen die für „service1" nur die interne IP wenn du vorher

für „service" selber einen query abgesetzt hast. Weil das dann direkt auch auf den Cache kommt.

Das aber auch nicht lange (1-2 min bei mir) und dann gehts wieder auf die Externe

(wobei ich nicht sicher bin ob Local am resolver oder dann der DNSMASQ cache auf Unifi)

**maxim.webster** · 14. Februar 2024

Mit dig unter Linux kommt tatsächlich immer die externe IP, wenn ich nicht - wie Du ja schreibst- vorher service direkt abgefragt habe.

Aber - mache ich mir eigentlich umsonst Gedanken um die Performance? Selbst mit der externen IP (die meine WAN IP ist) sollte die UDM ja merken, dass es nicht zum Provider und zurück muss?

**gierig** · 15. Februar 2024

Zitat von maxim.webster

mache ich mir eigentlich umsonst Gedanken um die Performance? Selbst mit der externen IP (die meine WAN IP ist) sollte die UDM ja merken, dass es nicht zum Provider und zurück muss?

Ja merkt sie, der traffic bleibt lokal und geht nicht erst raus.

Das Einzige was zu erwähnen währe das es halt ne L3 Verbindung über den Router ist.

Genau so wie als wenn du Lokal aus einem anderen VLAN auf dein Server zugreift.

**maxim.webster** · 15. Februar 2024

Dann brauch ich den Local DNS Eintrag ja auch nicht …

**gierig** · 16. Februar 2024

Das kannst nur du wissen ob und wie.

Es funktioniert ja auch wenn SicherheitFanatiker sowas nicht gerne sehen

(also von Intern auf die Externe IP und dann noch mit Portweiterleitung wieder ins LAN

Stichwörter Security und NAT-reflection geben da genug lese Stoff)

Aber bei Unifi gehts und ist eh nicht einstellbar

Ansonsten kannst du Natührlich auch den DNS and Unfi vorbei mit einer eignen Liste

füttern für die Auflösung.

Schau mal hier, das habe ich 1 zu 1 so laufen.

Beitrag

RE: DNS Alias für UXG-(LITE)

(Zitat von pcjogi)

Gehe ich von UnifiOS aus ist DNSMASQ der DNS server der Wahl. Seit OS2.5 ist da einer default Option gesetzt das die Lokale Host ignoriert wird.

Lösung bei mir:
unter /data/myscripts:

(Quelltext, 35 Zeilen)

in
/data/myscripts/host.dns deine DNS eintrage erstellen:
(Quelltext, 5 Zeilen)

Beim Booten das script oben ausführen lassen. Es schaut ob die extra config da ist und kopiert sie sonst rüber
(TMP gerne wird neu aufgebaut nach einem reboot) und startet dnsmasq neu..
Läuft bei mir…

gierig

17. Dezember 2023

**maxim.webster** · 16. Februar 2024

Das hab ich ja bisher mit PiHole gemacht, aber diese zusätzliche Komponente in meinem Netzwerk will ich ja loswerden.

Ich werd‘ mal iPerf oder scp verwenden, um den Durchsatz via „externer IP“ zu testen. Wenn das LAN-Speed ist, dann ist alles gut und es bleibt wie es - jetzt - ist.

**jkasten** · 16. Februar 2024

Zitat von maxim.webster

Das hab ich ja bisher mit PiHole gemacht, aber diese zusätzliche Komponente in meinem Netzwerk will ich ja loswerden.

Ich werd‘ mal iPerf oder scp verwenden, um den Durchsatz via „externer IP“ zu testen. Wenn das LAN-Speed ist, dann ist alles gut und es bleibt wie es - jetzt - ist.

Ohne Split DNS (und das ist dann keiner wenn die externe IP aufgelöst wird) wirst du aber Probleme zb mit Telefonanlagen bekommen (3cx zb). Warum willst du den Pihole loswerden?

**maxim.webster** · 16. Februar 2024

Zitat von jkasten

Warum willst du den Pihole loswerden?

Um Komplexität zu reduzieren. Es handelt sich um einen Heim-Setup, der sowieso schon over-the-top ist. PiHole läuft auf einem RPi, der via PoE-Adapter mit Strom versorgt wird. Als vor kurzem ein Firmware-Update für Unifi Switche kam und im Rahmen des Reboot ein Power-Cylcle auf PoE gemacht wurde, kam der RPi nicht vernünftig an den Start.

Ergebnis: "Papaaa - das WLAN geht nicht" (gemeint war: Namensauflösung dauert, weil auf den Secondary DNS [die UDMp] zugegriffen wurde)

Wenn ich die Funktion von PiHole (AdBlock, Split-DNS) in die UDMp verlagern kann bzw. den Split DNS gar nicht brauche, dann ist das eine Komponente weniger. Und wenn die UDMp nicht geht, ist eh Essig mit Internet.

Einen Unterschied hab ich schon bemerkt: Ich komme per SSH nicht über die externe IP auf "services", nur über die interne. Das ist schonmal gut, nur weiß ich nicht warum. Das Password wird einfach nicht akzeptiert, es schein Netzwerk-Thema.

**gierig** · 16. Februar 2024

Zitat von maxim.webster

Einen Unterschied hab ich schon bemerkt: Ich komme per SSH nicht über die externe IP auf "services", nur über die interne. Das ist schonmal gut, nur weiß ich nicht warum. Das Password wird einfach nicht akzeptiert, es schein Netzwerk-Thema.

100 Gummi Punkte das du da grade versuchst dich auf der UDM anzumelden.... du nutzt also den falschen user mit den falschen Passwort

**maxim.webster** · 16. Februar 2024

Wir haben einen Gewinner! Als root mit korrektem Passwort geht es auch via externe IP.

Code

Linux dream-machine-pro 4.19.152-ui-alpine #4.19.152 SMP Fri Dec 22 14:36:05 CST 2023 aarch64

Firmware version: v3.2.9

  ___ ___      .__________.__
 |   |   |____ |__\_  ____/__|
 |   |   /    \|  ||  __) |  |   (c) 2010-2023
 |   |  |   |  \  ||  \   |  |   Ubiquiti Inc.
 |______|___|  /__||__/   |__|
            |_/                  https://www.ui.com

      Welcome to UniFi Dream Machine Pro!

Alles anzeigen

Btw: Das Copyright ist abgelaufen, ist Unifi jetzt Open Source?

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Local DNS Record für Host als CNAME wird erst beim 2. DNS Lookup beachtet

Tags

3 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 88

Wer war online 215