Ich dachte ich eröffne jetzt einfach mal ein GitHub issue zu diesem Thema.
Die Dokumentation ti_configuration.adoc ist sehr hilfreich, wie ich die Tage beim einrichten des eRezeptes in zwei Praxen feststellen durfte. Leider fehlt mir der Hinweis das gerade Enterprise Router/Gateways die den DNS Server zB. über den Dienst Unbound stellen, meistens auch "DNS rebind protection" aktiviert haben, dies führt dazu das die DNS records *.splitdns.ti-dienste.de
nicht aufgelöst werden bzw. dürfen, da die Zurückgegebenen IP Adressen aus dem Privaten bzw. Shared Address-raum stammen. Dies ist so für die DNS abfragen eigentlich nicht vorgesehen und aus Sicherheitsgründen durch die DNS rebind protection unterbunden.
Man erhält folgende Antwort:
>nslookup erp.zentral.erp.splitdns.ti-dienste.de
Server: OPNsense.home
Address: 192.168.1.1
*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für erp.zentral.erp.splitdns.ti-dienste.de verfügbar.
Wird der Eintrag dieser Records in den DNS Einstellung gesetzt, hier exemplarisch an einem OPNsense Gateway mit Unbound als DNS Server gezeigt =>
...funktioniert die Auflösung der DNS records ohne Probleme.
>nslookup erp.zentral.erp.splitdns.ti-dienste.de
Server: OPNsense.home
Address: 192.168.1.1
Nicht autorisierende Antwort:
Name: erp.zentral.erp.splitdns.ti-dienste.de
Addresses: 100.102.28.10
100.102.29.10
Nach setzen der Routen (wie im .adoc gezeigt, angepasst an vorhandenes Gateway) funktioniert das eRezept wie es soll.
Ein Hinweis das DNS rebind protection der Grund für das "Nicht-funktionieren" sein könnte, wäre nicht verkehrt. Gerne kann ich hierzu auch ein PR erstellen.