Как заставить работать linux в двух DNS зонах?

Question

[ettaluni]

Доброго дня! Имеем Debian 10 network-manager и две доменные зоны, интернета и частной сети. Чтобы и меть доступ к частной сети, я настроил генерацию resolv.conf таким образом чтобы сначала спрашивался интернетовский DNS сервер, потом частный.

//resolv.conf
nameserver internet
nameserver private

Я всегда считал что если хост не найдет записи dns на первом сервере, он как настоящий джентльмен пойдет и спросит у другого и так, далее. Но не тут, то было если первый dns не знает какого либо имени, разговор будет коротким.
Второй DNS сервер указывается, как запасной, если первый не ответит, именно не ответит, а не скажет "Не знаю".
Поэтому, есть ли возможности работать в двух DNS зонах, если на первом сервере, нельзя будет указать частную зону как дополнительную? Вообще все манипуляции можно проводить только на клинской машине

Answer 1

[Дмитрий Александров]

Нужен резолвер поумнее стандартного. BIND например а в нем что то типа такого:

zone "." IN {
    type forward;
    forward only;
    forwarders {internet;};
};

zone "private-lan.corp" IN {
    type forward;
    forward only;
    forwarders {private;};
};

Похожее есть и в других, к примеру точно есть в adguard home.
Так же есть такая фича в systemd-resolved. Читал но не пробовал лично.

Comments

[ettaluni]

А он заведется с network-manager plagin? Или только статикой? Просто доступ к частной сети у меня идет через pptp vpn, который плагином для gnome настраивается.

[Валентин]

ettaluni, ну так "статика" это ж не обязательно /etc/resolv.conf руками править, обычно в этих всяких network manager'ах есть статические настройки, задашь там 127.0.0.1 и он будет брать эту настройку, а получаемый от vpn'а игнорировать. С другой стороны - у меня вот так прописано прям в resolv.conf, ну т.е. когда я без vpn захочу постучаться на адрес внутри vpn - dns сервер будет пытаться резолвить и я буду видеть в браузере ожидание, но т.к. я сам знаю, что vpn в это время не подключен - ну пойду и подключу, и всё оживёт.

Answer 2

[Alexey Dmitriev]

В частном DNS сервере настраиваете forwarder всех неизвестных доменов на DNS сервер в интернет и используете для резольвинга только частный.
Более того, он по умолчанию по root hints должен это делать.

Comments

[ettaluni]

К сожалению я частный трогать не могу

[Alexey Dmitriev]

ettaluni, а проверяли что через него nslookup google.com не отрабатывает?