Problem:
Sobald man einen beliebigen Internet-Server nach einem beliebigen Record aus der TLD .ads fragt, bekommt man IMMER als A Record die IP 127.0.53.53 zurück.
C:\002_Tools\DIG_992_D_CMD>dig @8.8.8.8 www.xyz.ads ; <<>> DiG 9.9.2 <<>> @8.8.8.8 www.xyz.ads ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60880 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;www.xyz.ads. IN A ;; ANSWER SECTION: www.xyz.ads. 3599 IN A 127.0.53.53 ;; Query time: 68 msec ;; SERVER: 8.8.8.8#53(8.8.8.8)
Das kann zum Problem werden, wenn man im internen Netz tatsächlich die TLD .ads einsetzt und zuerst die externen DNS Server befragt.
In der Praxis führte die Einstellung des Juniper Pulse Clients dazu, dass interne Ressourcen zg***t.ads nicht aufgelöst wurden, da der externe DNS Server einen „gültigen“ A Record 127.0.53.53 lieferte.
Client DNS :
benutze den dem Client durch seinen Internetprovider (z.B. Vodafone über UMTS) bereitgestellte DNS-Server
Device DNS:
benutze zuerst den von der Securebox (MAG/NSSA) bereitgestellten DNS-Server, diese Option fragt also zuerst die „internen“ DNS Server
Nachtrag Oktober 15:
Split Tunnel Search Order
Hier wird konfiguriert, wie man zu DNS Records kommt.
- Wir hatten Probleme mit “Search client DNS first, the the device”:
Client hat bei der Auflösung von einem privaten Namen myname.zgtroot.ads aus dem Internet eine Antwort 127.0.53.53 erhalten, das ist natürlich falsch. Das Internet DNS reagiert also auf Anfragen zu TLD .ads
- Haben es also in „Search the device‘s DNS first, the client” umgetauscht
Dies funktioniert, wenn der Client über eine UMTS Karte arbeitet. Hatten jedoch den Fall, dass der Client über WLAN mit einem UMTS Router verbunden war und wieder die falsche Antwort aus dem Internet erhielt. Etwas unklar ist mir, warum dies nicht klappt und der letzte Weg, s.u. schon
- Jetzt habe ich zu der letzten Möglichkeit gegriffen und nur
„Search device DNS only“
Jetzt funktioniert auch die Kombination über den UMTS Router.Ich gehe davon aus, dass mit DEVICE die Secure Box gemeint wird, stimmt es? Welche Erfahrungen haben Sie hierzu zu berichten?
Quellen:
Die „controlled interruption“ soll die Administratoren auf ein „potentieles Problem“ hinweisen.
The framework is designed to mitigate the impact of name collisions in the domain name system (DNS), which typically occur when fully qualified domain names conflict with similar domain names used in private networks. When this occurs, users can be taken to an unintended Web page or encounter an error message.
To address this issue, the framework calls for registry operators to use a technique called „controlled interruption“ to alert system administrators that there may be an issue in their network. Specifically, an IPv4 address – 127.0.53.53 – will appear in system logs, enabling a quick diagnosis and remediation
Weitere Infos hier:
http://www.computerworld.com.au/article/539336/icann_seeks_tackle_dns_namespace_collision_risks/