Pfsense + vlans + windows 2008, vous le gerer comment votre DNS ?
-
Bonjour,
N'étant pas d'accord avec mon collègue, je souhaiterais savoir comment vous feriez avec la configuration suivante :
LAN : 172.16.0.254/16 (pfsense)
vlan10 : admins (172.16.10.0/24)
vlan20 : serveurs interne + controleur de domaine windows 2008 serveur (172.16.20.0/24)
vlan30 : utilisateurs (172.16.30.0/24)Comment configuriez vous les options DNS sur pfsense (et notemment DNS forwarder, et les DNS servers) ?
Comment configuriez vous le PDC et les serveurs DNS secondaires ? -
C'est simple, pour des raisons de sécurité (il y en a plusieurs…tunneling, effet de bord lors d'attaques virales etc), le DNS active directory (donc des postes) ne devraient aucunement pouvoir résoudre des noms publiques.
Ensuite dans votre subneting il y a un souci, le LAN englobe les autres réseau ! cela voudrait-il dire que les vlan 10/20/30 ne sont pas des interfaces pfsense ?
Moi je configurerai les DC MS pour résoudre uniquement les zone privées, les postes auraient comme DNS les DC MS.
Sur pfsense je configurerai le forwarder pour résoudre les zones privées (directes et reverses) via l'AD puis en fonction de la taille de votre infrastructure j'utiliserai soit le forwarder pfsense pour les résolutions externes soit j'installerais une brique DNS cache avec gestion d'ACL pour la récursivité de type BIND. -
Effectivement, le problème de subneting m'avait échappé (vous proposez quelle solution ? changer le masque ou pourquoi pas changer de réseau ?)
Le LAN est sur l'interface re0 ainsi que tous les VLANS. A savoir que l'interface LAN ne sert que pour pfsense et nos switchs (je n'étais pas d'accord pour les switchs cela dit).WAN > em0
DMZ > vr0
LAN > re0
les vlans > re0Les switchs sont des Dlink de niveau 2 (j'aurais préféré autre chose mais je dois faire avec l'existant ;) ).
Pfsense sert également de serveur DHCP.Pour en revenir à la question du DNS, imaginons que le contrôleur de domaine (PDC) se trouve sur le VLAN20 avec ip 172.16.20.1.
Etant donné que Pfsense envoi la configuration en DHCP, par défaut il attribue comme DNS la passerelle de chaque vlans (ce qui est normal).
Si j'ai bien compris votre raisonnement :- coté pfsense : je modifie le DNS du DHCP pour 172.16.20.1 et ce pour chaques VLAN (et tant qu'à faire une règle UDP/DNS vers uniquement 172.16.20.1).
- coté PDC : je configure mes zones de recherches directes et indirectes (et ce pour chaque VLAN) ainsi que mon redirecteur vers pfsense, donc notre cas 172.16.20.254.
Il me manque l'étape de configuration du forwarder coté pfsense.
Note, l'infrastructure actuelle est de 100 postes (évolution future à 200).
Ai-je bon ?
-
Il faudrait commencer par organiser l'architecture autour du firewall en affectant une zone (interface) pfsense à chaque VLAN. ceci permettra de gérer le filtrage inter-vlan.
Sachez que pfsense supporte les interface de type Vlan (voir menu Interface/Assign), il suffit de tagger les vlan sur les ports sur lesquels est connecté pfSense. -
oui c'est le cas
l'architecture ressemble à celle ci
source : http://networktechnical.blogspot.com/2007/04/pfsense-how-to-setup-vlans.html
-
impec, vous pouvez donc faire ce que vous dites dans le post précédent. Néanmoins, ne configurez pas de redirecteur sur le DC.
-
ok merci, je vais modifier tout ca
dernière chose, concernant mon adressage et le problème de masque vous partirez sur quelle solution ?
-
un decoupage mieux réalisé, sans chevauchement.