[SOLVED]DNS best practice?

Hi,

see Bob's RULZ post first https://www.astaro.org/gateway-products/general-discussion/49065-rulz.html

Barry

Thanks Barry, have read it before.
But my intention is to let Astaro to log the computer name instead of ip address.
i have added DNS request route like below example;
10.11.12.0 /24 ==> 12.11.10.in-addr.arpa → DNS Forwarder 
10.11.13.0 /25 ==> 13.11.10.in-addr.arpa → DNS Forwarder 

But still not showing computer name.
[:S]

Ryo_Tang, look at the instructions in Post #3 on the first page of this thread.  Instead of '12.11.10.in-addr.arpa → DNS Forwarder', you want something like '12.11.10.in-addr.arpa → DC {one that knows DHCP addresses assigned to clients}'.  Was that the issue?

Cheers - Bob

Ryo_Tang, look at the instructions in Post #3 on the first page of this thread.  Instead of '12.11.10.in-addr.arpa → DNS Forwarder', you want something like '12.11.10.in-addr.arpa → DC {one that knows DHCP addresses assigned to clients}'.  Was that the issue?

Cheers - Bob

Hi Bob,

Sorry that i did not info that we use 1 server for 3 role at once (AD, DHCP, DNS). Actually 4 for File Server (but File server will migrate out to another server by this weekend).
I am not really understand on below points;
* yourdomain.local -> {internal DNS server}
* Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers.
* The internal DNS server's first forwarder is to the Astaro DNS Proxy, then to the OpenDNS servers. (we do not have proxy and OpenDNS)

Please advice again on how to setting it.
Ever since i set the DNS Request ROuting and update our Firewall to the latest version, our Reporting log become only shown Wifi Network that we set from inside Astaro (did not show any IP address from our internal network).

Many thanks for your advice and solutions.

An example:

10.10.10.1 is the IP of the UTM's "Internal (Address)"
10.10.10.3 is our domain controller that handles internal DNS

In the UTM we have two Request Routes: 'mediasoft.local -> 10.10.10.3' and '10.10.10.in-addr.arpa -> 10.10.10.3'. The only entry in 'Forwarders' is an Availability Group containing 208.67.222.222 and 208.67.220.220.

DHCP for the internal network is handled by the domain controller and it assigns four forwarders to the clients:

1. 10.10.10.3
2. 10.10.10.1
3. 208.67.222.222
4. 208.67.220.220

DNS in the domain controller lists three forwarders:

1. 10.10.10.1
2. 208.67.222.222
3. 208.67.220.220

Cheers - Bob

Mark's method of DNS.
Method 1. (For installations with Servers with Internal DNS Servers)

All pc's and devices. Primary DNS = Internal DNS Server/s. Secondary (depends on size of organisation if large secondary Internal DNS Server) otherwise I add the UTM as last.

Internal DNS Server. Has no root DNS look ups. Has cache and clean up enabled. Is Forward to UTM.

UTM. Has Availability Groups to ISP DNS Forwarders and other Open Forwarders (Open DNS, Google or what you see fit). This is if your local ISP Forwarders goes down the AV Group will have a DNS forwarder to use. I use separate AV Groups for IPv4 and IPv6 (up to you).
Also as above I add the Request route in for local zones back to Internal DNS and Reverse Lookup.

Method Two. (For Installations without Internal DNS Servers)

Leave out Internal DNS Server settings.

Make UTM Primary source for all lookups.

Mark

In these examples where you guys are pointing to your internal DNS and it happens to be a windows server dc (server 2012 adds role +dns role)  do you guys disable recursive requests or ??  in other words is the first box under the advanced tab of your domain zone checked or unchecked?

You should not disable recursion in virtually any environment where a UTM is used.

Cheers - Bob

Hi Bob,

I have read your DNS best practics but this part was not clear to me.

In your opinion what would you recommend for a network design using domainname.com or domainname.local internally. Provided that you own domainname.com

To be clear I understand that the UTM will use UTMhostname.domainname.com that is a public resolvable FQDN.

My question is about the internal network devices like server1.domainname.?

My preference is to use .local so that you can use split DNS internally for .com.  If, for example, you were using Email Protection and sending Quarantine Reports, you would want mail.domain.com to resolve to the External IP if you were outside the office and to the Internal IP inside your LAN.

The UTM joins domain.local correctly even though its hostname is .com.

Cheers - Bob

My preference is to use .local so that you can use split DNS internally for .com.  If, for example, you were using Email Protection and sending Quarantine Reports, you would want mail.domain.com to resolve to the External IP if you were outside the office and to the Internal IP inside your LAN.

The UTM joins domain.local correctly even though its hostname is .com.

Cheers - Bob

I've been looking at pfsense lately. The setup documentation recommends not to use .local:

Do not use 'local' as a domain name. It will cause local hosts running mDNS (avahi, bonjour, etc.) to be unable to resolve local hosts not running mDNS.
e.g. mycorp.com, home, office, private, etc.