<div dir="ltr"><div><br></div><div>* That sounds like a sadly normal implementation but yes you can do better</div>* Views is a good place to look <a href="https://kb.isc.org/docs/aa-00851">https://kb.isc.org/docs/aa-00851</a><br><div>* Make sure to investigate how the company VPN services handle DNS as it may surprise you</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Nov 3, 2023 at 9:52 AM Nick Howitt via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
I am fairly new to bind but I am thinking my company's use of it is <br>
sub-optimal. We have two bind masters (and a few slaves), one for <br>
internal use so all our internal servers point to it or its slaves as <br>
their DNS resolvers. I will call the internal one bind-internal and the <br>
external one bind-external.<br>
<br>
Bind-internal is set up as authoritative for the domain <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a>.<br>
Bind-external is also set up as authoritative for <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a>.<br>
<br>
Bind-internal has all sorts of entries resolving in the 10.30, 10.40 and <br>
other private ranges, but it also has entries resolving to our public <br>
IP's e.g. <a href="http://demo.example.com" rel="noreferrer" target="_blank">demo.example.com</a> resolves to 1.2.3.4 (terminated by an F5), <br>
which is one of our public ips (munged). As this site is externally <br>
accessible as well, we also have to put an identical entry in <br>
bind-external so we end up having many identical entries in <br>
bind-internal and bind-external. We also have some other domains covered <br>
by bind-internal with external IPs, but externally they are covered by <br>
the domain host's DNS and they have the same issue where in <br>
bind-internal we have some public IP's which are also in the domain <br>
host's DNS for external access.<br>
<br>
I have a feeling this is a sub-optimal setup, having to maintain <br>
external IPs in both bind-internal and bind-external. Does it make sense <br>
to stop bind-internal from being authoritative and make it a <br>
resolver/caching name server? This way, if it does not find an entry in <br>
bind-internal it will then go out to either bind-external or the domain <br>
host's DNS to get the answer from the authoritative servers and then <br>
there is no need to maintain external IPs in bind internal.<br>
<br>
TIA,<br>
<br>
Nick<br>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div><br clear="all"><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr">- Andrew "lathama" Latham -</div></div>