## Aufbau
Ich habe einige DNS Server, Bind 9: (in LXC Containern)
1 | internet -> firewall -> DNS P (Öffentlich)
|
2 | ^
|
3 | |
|
4 | 8.8.8.8 DoT <- FW <- stunnel <- DNS D (DMZ) (Kann auch auf andere DNS Server im Internet zugreifen)
|
5 | ^
|
6 | |
|
7 | DNS L (LAN) (Kann auch auf andere DNS Server im Internet zugreifen. Enthält ach werbeblocklisten.)
|
Die Server / Geräte im DMZ Netz greifen auf den DMZ DNS Server (D) zu.
Die im Lan auf den LAN DNS (L) Server. Diese können nicht auf andere
DNS Server zugreifen.
DNS L Forwardet alles nach DNS D. DNS D Forwarded die Zonen abrecht.li,
danielabrecht.ch, und dpa.li, nach DNS P, der Rest geht momentan zum
google resolver, abgesehen von eigenen Zohnen.
Ich habe eine Art Split-DNS.
Auf DNS P gibt es die Zonen abrecht.li, danielabrecht.ch, dpa.li,
lan.abrecht.li, dmz.abrecht.li (und ein paar weitere). (Ich kann vom
Browser aus von überall her auf alle Geräte zugreifen, ich habe da einen
Webserver als Proxy dazwischen, mit TLS und eigener Single Sign On
Lösung, darum die lan.abrecht.li und dmz.abrecht.li Zonen).
Auf DNS D gibt es dmz.abrecht.li und dhcp.dmz.abrecht.li. Das ist quasi
mein Split DNS. Auf DNS P sind jeweils DS Keys für beide Zonen
dmz.abrecht.li von beiden Servern in der Zone abrecht.li hinterlegt.
DNS L das selbe, für die Zonen lan.abrecht.li und dhcp.lan.abrecht.li.
## Das Problem
Bei den DNS Servern hab ich die DNSSEC Validierung eingeschalten. Das
funktioniert soweit auch einwandfrei. Nur liegt unter anderem die Zone
li. und ch. nicht in meinem eigenen Netzwerk, heisst also, wenn das
Internet ausfällt, und ich will www.abrecht.li oder so aufrufen, dann
schlägt das fehl, weil DNS D und DNS L DNSSEC für den Eintrag nicht mehr
validieren können.
Ich stehe da jetzt etwas auf dem Schlauch. Kann ich den beiden DNS
Servern irgendwie sagen, dass mein DS Key für abrecht.li gültig ist /
ausreicht, und sie da nicht alles von . auf validieren müssen?