Bind9 — Управление доменом с выходом в интернет?

Question

[Александр]

Есть сервер в домашней сети.
Есть роутер Mikrotik с внешний IP.
Есть DNS сервер bind9 с внутренним IP 192.168.2.11, а так же есть отдельный web server на NGINX с внутренним IP 192.168.2.20, на нем сделаны вирт. хосты, которые давно работают - с этим проблем нет точно.

Есть домен site.ru, у регистратора в качестве NS серверов указан мой внешний IP
На роутере сделан проброс 53 порта на мой DNS сервер с IP 192.168.2.11

Настроил dns зону - site.ru
Внутри локальной сети все работает прекрасно, НО если пинговать site.ru с внешней сети интернет, то возвращается локальный адрес веб сервера 192.168.2.20 и сам сайт не открывается.

/etc/bind/named.conf

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
key rndc-key {
	algorithm hmac-md5;
	secret "PuYna7Wx/FFGcsK6VDrmbw==";
	};
controls {
	inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { rndc-key; };
	};

/etc/bind/named.conf.options

options {
directory "/var/cache/bind";

	forwarders {
		192.168.1.1;
		8.8.8.8;
		8.8.4.4;
		};
	dnssec-validation auto;
};

/etc/bind/named.conf.local

zone "site.ru" {
	type master;
	file "/var/lib/bind/site.ru.hosts";
	};

Ну и настройка самой зоны

/var/lib/bind/site.ru.hosts

$ttl 3600
site.ru.	IN	SOA	dc. admin.site.ru. (
			1600627976
			3600
			600
			1209600
			3600 )
site.ru.	IN	NS	dc.
site.ru.	IN	A	192.168.2.20

Answer 1

[Дмитрий]

Ну правильно, потому что у вас в файле зоны есть только A-запись с внутренним адресом. Нужно настроить split-dns и отдавать внутреннюю зону только внутренним клиентам, а внешнюю - внешним.

Comments

[Александр]

Направление понял... буду разбираться.
Только одного не могу понять... А как быть, если данную зону site.ru я хочу отдавать только внешним клиентам?

[Александр]

Тебе надо прописать:
site.ru. IN A <b>тут внешний IP</b>
А на своем DNS сервере создать еще одну зону site.ru.local
Где пописать
site.ru.local IN A 192.168.2.20
Не много не удобно

НО есть вероятность что и так не заработает:
1) По RFC зону должны поддерживать два ip адреса.
2) Что то мне подсказывает, что когда твой DNS будет давать ответ что у него Ip 192.168.2.11 запрашивающие DNS сервера будут такой ответ отклонять.

[Александр]

Александр, если для основной зоны site.ru я укажу свой внешний IP, то как DNS сервер поймет, на какой внутренний IP нужно направлять запрос?
Мне же хочется управлять именами своих доменов... например:
site.ru направлять на IP1
ts3.site.ru направлять на IP2,
goga.site.ru - на IP3
и.т.д
и что бы это все работало не только в внутренней, но и во внешней сети.
Если честно, то устал заморачиваться разделением по портам на микроте.

[Руслан Федосеев]

у вас много реалок? или все таки одна?
Если одна - то то, что вы разделили ваши поддомены на разные серые адреса - ничем не поможет с мира.

[Александр]

Руслан Федосеев, у меня 5 реальных доменов, гипервизор и куча сервисов на разных VM, которые я и хочу делить по именам во внешнем мире.
Можно конечно заморочиться и взять у провайдера пул внешних адресов, но... это дорого для частного сервера-( Поэтому хочется найти решение из того что имею.

[Руслан Федосеев]

ок. Имеем домен example.com. Вы имеете адрес 1.2.3.4. И сеть 192.168.100.0/24
прописываете
test1.example.com IN A 192.168.100.2
test2.example.com IN A 192.168.100.3

внимание вопрос - как вам это поможет не пробрасывать порты через микротик? )

[Александр]

Руслан Федосеев, вы наверное сам вопрос не прочитали-)
Я и хочу уйти от пробрасывания портов на микроте, поэтому на отдельной вирт. машине и поставил DNS сервер. Вот как раз на него я и сделал проброс по 53 порту.
Полагал, что полностью смогу управлять и контролировать свою зону как внутри сети, так и в интернет.

А по поводу
test1.example.com IN A 192.168.100.2
test2.example.com IN A 192.168.100.3

Так и было сделано-) но это работает только во внутренней сети

[Руслан Федосеев]

вы ответа не поняли.
Ну ок, пробросили вы зону. Что вы в ней писать будете?

[Александр]

Руслан Федосеев,
вот это и хочу написать...
test1.example.com IN A 192.168.100.2
test2.example.com IN A 192.168.100.3
но полагаю, на все подобные запросы, возвращаться должен один единственный мой внешний IP

[Руслан Федосеев]

две зоны, два view, разделение по ип клиента. Внутренним отдавать зону со внутренними адресами, внешним - с реальным адресом. От проброса портов ни разу не освобождает, автоматизации мало, поддерживать зоны придется вручную...
Проброс dns - вы и tcp и udp пробросили?

[Александр]

Руслан Федосеев, да... и tcp и udp пробросил.

От проброса портов ни разу не освобождает

Похоже на то-(

Очень хотел избавиться от proxy_pass на NGINX, но... не судьба-)

[Руслан Федосеев]

Ну вообще вам в эту сторону )
https://blog.bissquit.com/unix/nastrojka-predstavl...

[Александр]

Руслан Федосеев, спасибо, полезная статейка... впрочем образное представление по view у меня было.
К сожалению моя проблема так и не разрешена... И как я понимаю вариантов только 2:
1. Для внешних клиентов все запросы направлять на внешний IP, а уже средствами микротика по портам раскидывать на различные внутренние IP. При этом если необходимо разделять веб запросы, то без использования proxy_pass не обойтись.
2. Для каждого отдельно взятого сервера необходим отдельный внешний IP. Только в этом случае все днс запросы можно разделять по разным серверам.

[Руслан Федосеев]

да, все верно.

[Александр]

Александр,

если для основной зоны site.ru я укажу свой внешний IP, то как DNS сервер поймет, на какой внутренний IP нужно направлять запрос?

Никак. ДНС отвечает только за соответствие имен и IP адресов.

https://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D...
Серые ip адреса не транслируются в интернет. Следовательно из интернета в вашу локальную сеть никто не попадет.
Вам надо все сервера выводить в интернет - получать белые ip адреса.
ИЛИ продолжать использовать микротик и перенаправлять порты )))