Virtual IP et LAN

mamatov

Déjà merci chris4916 pour ton aide.

Je vais essayer d'être plus précis dans mes propos.

• Dans ma zone de DNS interne (domaine.local) j'ai les entrées suivantes :

dc01.domaine.local
dc02.domaine.local
vcenter.domaine.local

Cette zone est uniquement destiné pour un usage interne et non externe.

• Ce qui me pose problème c'est de pouvoir par exemple me connecter à la page web "web.domaine.fr" depuis un serveur de mon réseau local. Exemple :

srvweb01 : 172.16.0.20
vip sur pfsense : 68.X.X.20
NAT sur pfsense : 68.X.X.20 -> 172.16.0.20
site web : web.domaine.fr

Depuis srvweb01 je ne peux pas me connecter à http://web.domaine.fr par contre depuis l'extérieur cela fonctionne.

Comment configurer mes dns internes dans ce cas ?

Merci d'avance.

ccnet

Il vous faut une zone supplémentaire dans vote dns Microsoft, avec le domaine internet, et les ip locales en enregistrements adresse.

mamatov

Merci pour l'info.
J'ai essayé de crée une zone avec le domaine internet.

Depuis le LAN j'ai bien la bonne résolution maintenant. Le seul problème ce que je ne peux plus résoudre aucuns noms du domaine internet.
Je m'explique :

DNS externe
zone : test.fr
web-test.fr : 68.X.X.5
toto-test.fr : 68.X.X.6

DNS interne
zone : test.fr
web-test.fr : 172.X.X.5

Depuis un serveur du lan, je ne peux plus résoudre toto-test.fr. Il ne le trouve pas dans la zone du dns interne donc il ne me retourne rien.
Un idée ?  Je dois dupliquer la configuration de mon dns externe sur mon dns interne ?

Merci

chris4916

Attention aux typo, entre interne et internet, ça rend les choses assez confuses.

Je ne comprends pas pourquoi tu voudrais, depuis le LAN (test.com), résoudre les IP publiques de test.com mais peut-être que je n'ai juste pas compris le problème.

jdh

La faute de frappe (ou de compréhension), c'est plutôt

zone : test.fr
web-test.fr : 68.X.X.5
toto-test.fr : 68.X.X.6

Parce que web-test.fr n'appartient pas à une zone test.fr !!

mamatov

C'est en effet une faute de frappe.

DNS externe
zone : test.fr
web.test.fr : 68.X.X.5
toto.test.fr : 68.X.X.6

DNS interne
zone : test.fr
web.test.fr : 172.X.X.5

Le but de résoudre le domaine test.fr depuis le LAN c'est pour des questions de tests.
Je veux pouvoir me connecter à un site web de mon lan avec l'url web.test.fr pour par exemple valider le bon fonctionnement du site.

jdh

Ce n'est pas compliqué à faire : faut juste un peu de méthode !

Localement, vous DEVEZ avoir un serveur DNS (qui résout tous) de votre choix : car, la sécurité, c'est de n'avoir qu'une seule machine qui fait des résolutions DNS sur Internet.
Vous choisissez le serveur DNS qui vous convient :

• 3 micros -> pfSense
• domaine Windows -> le contrôleur de domaine
  (Dois je écrire que ce sera le serveur DNS de tout votre réseau intern, DMZ compris !)

Et si vous devez résoudre un domaine qui existe sur Internet avec des valeurs locales (donc différentes), il faut créer localement une réplique de la zone :

• toutes les définitions comme Internet
• les valeurs qui doivent être locales, définies avec la valeur locale qui va bien.

Franchement ce n'est pas un problème compliqué … (surtout avec un contrôleur de domaine, un peu plus compliqué avec pfSense).

mamatov

Ok merci jdh.

Cela semble peut être simple pour toi mais je n'ai jamais été confronté à ce type de problématique.
Je cherchais donc la bonne méthode.

J'ai en effet un domaine windows. Je vais donc déclarer une zone sur mon dns local qui sera la réplication de la zone du dns internet.

Encore merci.

chris4916

@mamatov:

J'ai en effet un domaine windows. Je vais donc déclarer une zone sur mon dns local qui sera la réplication de la zone du dns internet.

J'avoue ne rien comprendre du tout.
Tu écris "je vais donc déclarer une zone…" alors que quelques messages plus tôt, tu décris déjà avoir cette zone avec une entrée correspondant à l'IP locale.

Du coup, entre ce qui existe vraiment, ce que tu as testé et ce que tu va faire, c'est, pour moi du moins, très confus.

Probablement que c'est aussi un peu la faute de tes interlocuteurs sur ce fil car ma toute première réponse te mettait déjà sur la voie du DNS local avec un IP locale, mais tu n'as visiblement pas compris ce que cela voulait dire.
La réponse de ccnet ne dit pas autre chose, mais là encore tu n'as pas compris... et ta réponse laisse penser que tu as déjà mis en place la configuration nécessaire.
A la troisième reformulation, pour dire la même chose, de jdh, tu sembles percuter  ;) donc peut-être ce coup-ci sera t-il le le bon  :)

Lorsqu'une réponse ne te semble pas claire, n'hésite pas à le dire, ça t'évitera de perdre du temps et surtout de potentiellement faire des bêtises dans ton environnement.

mamatov

J'avoue ne rien comprendre du tout.
Tu écris "je vais donc déclarer une zone…" alors que quelques messages plus tôt, tu décris déjà avoir cette zone avec une entrée correspondant à l'IP locale.

Oui je peux comprendre la confusion. Pour l'instant je n'ai rien mis en place. j'ai juste fait quelques tests.

Lorsqu'une réponse ne te semble pas claire, n'hésite pas à le dire, ça t'évitera de perdre du temps et surtout de potentiellement faire des bêtises dans ton environnement.

Désolé en effet j'aurai demander plus d'explication. Je suis un peu sur tous les fronts en ce moment j'ai un peu de mal à me poser pour réfléchir calmement.

Dans ton premier poste tu as dis

Je suppose que tu as bien défini les IP publiques dans des DNS publiques, mais depuis le LAN, est-ce que la résolution de nom interne a bien la priorité ?

Comment gérer cette priorité de résolution ? Tu peux m'en dire un peu plus ?

Merci et encore désolé. J'ai bien conscience de ne pas avoir été clair et précis dans mes propos.

chris4916

"faire un test" comme tu dis, ça consiste simplement à t'assurer que:

• ton DNS interne contient bien une zone qui a le même nom que ton domaine publique
• que cette zone contient bien les adresses privées de tes serveurs
• que ce DNS est bien consulté en premier par les clients sur le LAN

Depuis internet, c'est le DNS publique qui contient les adresses publiques qui est consulté.
Depuis le LAN, c'est le DNS local (privé) qui contient les adresses locales, qui est consulté.

Si tu utilises un serveur DNS classique (Bind, Microsoft etc..) qui n'a pas d'option de forward, ça fonctionne comme décrit ci-dessus

Il faut juste faire attention si tu utilises des mécanismes comme ceux de pfSense: Forwarder et resolver ne fonctionnent pas de la même manière, forwarder permettant de faire des requêtes en parallèle, ce qui peut avoir un impact sur la valeur de la réponse.

mamatov

Ok merci chris4916.

Tout est bien clair pour moi maintenant.

Merci beaucoup d'avoir pris le temps et d'avoir eu la patience de me répondre.