Wildcard-DNS an eigene Firewall, Root-Domain an anderes Ziel

IPv64.net - Services
1

Hallo zusammen,

ich versuche aktuell folgendes DNS-Szenario umzusetzen und stoße auf folgendes Problem bei der Konfiguration:

Zielsetzung

  • Die Root-Domain example.com soll auf einen externen Webserver (z. B. Webhosting bei Anbieter A) zeigen.
  • Die Wildcard-Subdomains *.example.com sollen auf meine eigene Firewall mit statischer IPv4-Adresse zeigen.

Bisheriger DNS-Versuch

example.com.       A     203.0.113.10       ; Webhosting-Anbieter (extern)
*.example.com.     A     198.51.100.42      ; Eigene IP (lokale Firewall / Proxy)

→ Sobald ich * setze kommt automatisch ein Eintrag mit s.example.com.

EDIT: das Verhalten kann ich nicht mehr nachstellen → jetzt wird einfach ein zweiter A Eintrag ohne * gesetzt. nslookup zeigt aber beide IP’s unter example.com, auch ein Versuch mit @ macht einfach einen weiteren A Eintrag.

EDIT2: Via API setzen klappt auch nicht - er akzeptiert das @ und das * aber trägt dann nichts als Präfix ein, es kommt nur (leer)

2

Moin @xam32,

ich glaube nicht, dass das so umsetzbar ist, also mit den Wildcard-Subdomains. Was aber gehen sollte (bei IPv6 geht es ganz sicher) jede Subdomain einzeln anzulegen. Also z.B.:

example.com                 A     203.0.113.10       ; Webhosting-Anbieter (extern)
firewall.example.com        A     198.51.100.42      ; Firewall
DienstA.example.com         A     198.51.100.42      ; DienstA
DienstB.example.com         A     198.51.100.42      ; DienstB
(...)

Du solltest aber in jedem Fall das standardmäßíg gesetzte Häkchen für Wildcards bei ipv64 entfernen.

3

Vielen Dank für die Response :wink:
Aber es geht bspw. bei IONOS, Godaddy etc ohne Probleme - eben fix nochmal getestet.

Es sollte laut der Definition doch unerheblich sein, ob das CNAME oder A Record ist mit Wildcard.

Quelle: RFC 4592 - The Role of Wildcards in the Domain Name System

2.2.1. An Example

To illustrate what is meant by existence consider this complete zone:

  $ORIGIN example.
  example.                 3600 IN  SOA   <SOA RDATA>
  example.                 3600     NS    ns.example.com.
  example.                 3600     NS    ns.example.net.
  *.example.               3600     TXT   "this is a wildcard"
  *.example.               3600     MX    10 host1.example.
  sub.*.example.           3600     TXT   "this is not a wildcard"
  host1.example.           3600     A     192.0.2.1
  _ssh._tcp.host1.example. 3600     SRV   <SRV RDATA>
  _ssh._tcp.host2.example. 3600     SRV   <SRV RDATA>
  subdel.example.          3600     NS    ns.example.com.
  subdel.example.          3600     NS    ns.example.net.

A look at the domain names in a tree structure is helpful:

                              |
              -------------example------------
             /           /         \          \
            /           /           \          \
           /           /             \          \
          *          host1          host2      subdel
          |            |             |
          |            |             |
         sub         _tcp          _tcp
                       |             |
                       |             |
                     _ssh          _ssh

auch hier wird das beschrieben:

However, keep in mind that there are limitations to wildcard records. They won’t match the domain apex (example.com) or nested subdomains like “sub.sub.example.com.”

4

@Dennis_Admin Kannst du bei gelegenheit mal reinschauen bitte?
Habe es aktiv bei anderen Diensten am laufen (Ionos, Hetzner) aber ich bekomme weder über die API noch via GUI die Einträge korrekt gesetzt.

example.com.       A     203.0.113.10       ; Webhosting-Anbieter (extern)
*.example.com.     A     198.51.100.42      ; Eigene IP (lokale Firewall / Proxy)
5

Probiere es jetzt nochmal. Geh aber bitte vorher hin und lösche alle einträge, deaktiviere das häkchen bei automatic wildcard und dann mach nochmal.

6

Läuft 1A - damit kann ich alles umziehen. Danke!

1 „Gefällt mir“