probleme de DNS entre VLANs

zeverybest

Bonjour

j'ai encore une question stupide a propos de PfSense

avant le deploiement de mon router PfSense, j'avait un seul LAN (192.168.1.0) avec tous mes serveurs et PC, controleur wifi, ...

maintenant, j'ai créée des VLANs
VLAN admin (192.168.1.0) pour tous les serveurs et materiel reseau
VLAN users (172.16.20.0) pour tous les PC et mobiles
VLAN domotic (172.16.99.0) pour les appareils domotiques
...

precedement, je pouvais faire un PIG de tous les serveurs par leur hostname (en plus de leur IP bien sur)
il n'y a acrtuellement aucun filtrage firewall entre les VLANs
depuis le VLAN admin, je peux toujours fair un PING sur le hostname des serveurs qui sont dans ce meme VLAN
mais, depuis le VLAN users, je ne peux plus faire un PING hostname sur les serveurs du VLAN admin. Je ne peux que faire un PING IP
est ce un probleme de configuration de mon routeur
ou j'ai raté quelques chose?

Je ne sais pas trop ou chercher

Merci de votre aide

Cordialement
Je

chris4916

@zeverybest
Quel DNS est utilisé par les PC ?
Si c'est pfSnese, est-ce que le DNS de pfSense écoute bien sur l'interface du VLAN dédié aux PC ?

zeverybest

@chris4916
le serveur DNS est sur le controleur de domaine, qui est dans le VLAN d'admin
c'est probablement pour ceci que le PING hostname fonctionne dans ce VLAN
dans la config du serveur DHCP de chaque VLAN, j'ai indiqué ce serveur DNS.

mais il y a certainement un truc que je n'ai pas su faire
histoire que les autres VLAN soient capable de discuter avec ce serveur DNS

chris4916

@zeverybest
il faut au moins que sur chaque interface VLAN tu ais des règles de FW qui autorisent l'accès au DNS, port 53 etc...

zeverybest

@chris4916
actuellement, il n'y a aucune regle de filtrage, donc l'acces DNS doit pouvoir passer

Comme je suis tetu et que, malgres la question posé sur ce forum, je continue a chercher, je crois ue j'ai trouvé :
tout d'abord, j'ai activé le DNS forwarding, mais cela n'a rien changé

Ensuite, une lumiere dans mon esprit : j'ai essayer de faire un PING FQDN au lieu de faire un PING hostname, et là, ça fonctionne

Pas encore essayer de desactiver DNS forwarder pour voir si il sert a quelques chose ou non dans mon cas.

Est ce normal que le PING FQDN fonctionne mais pas le PING hostname?

jdh

Avant de créer un fil, il est préférable que des 'tests assez basiques' soient réalisés (et ils n'ont pas été faits).

Une machine, quel que soit le réseau, doit recevoir une adresse ip, un masque, une passerelle, un serveur dns. Ca c'est la base, et il faut ajouter à cette base le 'domaine par défaut' c'est à dire l'extension ajoutée à un 'nom court' (pour faire le 'nom fqdn' exact). Sous Windows, un 'ipconfig /all' donne tous ces renseignements.

Donc pas mal de tests simples peuvent être réalisés de suite ; ping d'une ip, ping d'un nom court, ping d'un nom fqdn, résolution (nslookup).

Forcément, on peut, en sus, avec pfSense faire une capture (tcpdump) pour voir le trafic échangé : avec dns, on verra même la requête effectuée (me semble-t-il).

Je vois pas l'utilité de créer un fil sans commencer par faire cela soi-même ...

zeverybest

@jdh
merci de me repondre.
Mes machines ont bien toute une IP, une masserelle, un masque et un DNS

J'ai fais differents tests avant de poster.

Je pense q'au contraire, la création de ce fils a une imortance, puisque vous m'apporter des elements de réponses en m'oriantant sur differents tests que je n'aurais pas fait

cela me permet également de comprendre (pas encore, mais je ne desespere pas) pourquoi il y a une reponse au PING avec le hostname sur le meme VLAN mais pas sur un VLAN different et que je suis obligé dans ce cas de mettre le FQDN

Cordialement

jdh

J'ai donné l"origine ... si vous avez bien lu.

Il s'agit de mécanismes (très) basiques, qui doivent être testé avant de créer un fil.

'je ping host.domaine mais pas ping host' n'est pas un problème pfSense (serveur dns ou non, entre 2 interfaces distinctes ou non) mais un problème de config d'une machine. C"est ce qui me semble ...

zeverybest

@jdh said in probleme de DNS entre VLANs:

'je ping host.domaine mais pas ping host' n'est pas un problème pfSense (serveur dns ou non, entre 2 interfaces distinctes ou non) mais un problème de config d'une machine.

c'est donc ce qu'il faut que je détermine.
Je vais donc me pencher dans cette direction.

Merci pour ces infos, ça m'aide bien a progresser

chris4916

@zeverybest
La configuration du client, souvent poussée par DHCP, donne le plus souvent, en plus de l'adresse IP, passerelle par défaut et DNS, les domaines de recherche qui seront ceux utilisés lorsque tu vas chercher un host sans préciser le fqdn
c'est l'option 119 de DHCP Wikipedia mais comme tu es dans un monde Windows, il est possible de pousser cette option via GPO.
A ne pas confondre avec le "domain-name" qui décrit à quel domaine le client est rattaché...

zeverybest

@chris4916
tres interessant
je supposes que c'est le genre d'information que l'on peut renseigner dans les "autres options" du serveur DHCP de PfSense
je vais me pencher sur la doc de cette partie

Encore merci a tous pour vos lumières. Elles me permettent de progresser

jdh

@jdh said in probleme de DNS entre VLANs:

Ca c'est la base, et il faut ajouter à cette base le 'domaine par défaut' c'est à dire l'extension ajoutée à un 'nom court' (pour faire le 'nom fqdn' exact).

Le minimum à fournir par un serveur DHCP est

adresse ip, masque, passerelle (IP),
serveur dns, domaine dns par défaut (DNS).

Le 'domaine par défaut' est cette extension qui permet de passer d'un 'nom court' à un 'nom complet'.

En sus, on peut, si plusieurs domaines dns, ajouter l'option 119 de DHCP (119=domaine de recherche) indiqué parchris1496.

Pour Windows 2016, une page sur la config du serveur DHCP et des scopes (=plusieurs réseaux) : https://www.dtonias.com/configure-dhcp-server-scope-options/

Encore une fois, cela concerne IP, DNS, DHCP mais pas spécifiquement pfSense ...

zeverybest

@jdh said in probleme de DNS entre VLANs:

https://www.dtonias.com/configure-dhcp-server-scope-options

effectivement, meme si j'utilise le serveur DHCP de PfSense, ce sont des généralités sur le DHCP

je vais donc approfondir mes connaissance sur ce sujet
En tous cas, un grand merci pour l'aide et pour les differents liens

jdh

Quand on a un 'domaine' Windows (donc en milieu pro), le DC est essentiel et doit être le serveur DHCP et DNS de référence et non pfSense, y compris en multi-lan (= utiliser le mode DHCP Relay sur pfSense).

On utilise le DHCP et le DNS de pfSense quand il n'y a pas de 'domaine' Windows.

(Faut-il rappeler que 'domaine' Windows n'est pas la même chose que domaine dns, même s'il faut un nom de domaine dns pour créer un domaine windows, souvent .local.)

zeverybest

@jdh said in probleme de DNS entre VLANs:

Quand on a un 'domaine' Windows (donc en milieu pro), le DC est essentiel et doit être le serveur DHCP et DNS de référence et non pfSense, y compris en multi-lan (= utiliser le mode DHCP Relay sur pfSense).

Actuellement, mon controleur de domaine est AD, serveur DNS, mais pas serveur DHCP
mon reseau n'est pas celui d'une entreprise, mais le mien, et a pour but d'accroitre mes connaissances.
je vais donc me pencher sur l'ajout de la fonction serveur DHCP de Windows pour plusieurs VLAN

On utilise le DHCP et le DNS de pfSense quand il n'y a pas de 'domaine' Windows.

(Faut-il rappeler que 'domaine' Windows n'est pas la même chose que domaine dns, même s'il faut un nom de domaine dns pour créer un domaine windows, souvent .local.)

Effectivement, oui, il est bon de le rappeler, surtout pour des personnes comme moi qui ont encore beaucoup a apprendre

ggpf

@jdh Quand on a un 'domaine' Windows (donc en milieu pro), le DC est essentiel et doit être le serveur DHCP et DNS

La plus belle des c.... que j'ai lu ici, dans un domaine Active Directory on peut parfaitement
utiliser des serveurs DNS et des serveurs DHCP que les services serveurs DNS et DCHP des
OS Microsoft, bien au contraire il est même recommandé pour une meilleure sécurité de
mettre ces fonctionnalités ailleurs que sur les contrôleurs de domaine.
Une des solutions les plus professionnelles a ce sujet est infoblox mais elle a un cout.
https://www.infoblox.com/
Autrement mettre les serveurs DNS sur des machines Linux utilisant Bind fonctionne
très bien, il suffit que les zones DNS AD soient correctement défini sur le serveur DNS.
Comme l'OS de pFsense est un FreeBSD il suffit de créer les zone DNS AD sur le serveur
DNS, et informer les serveurs AD qu'il doivent se servir des serveurs DNS configuré
sur l'interface réseau et de même pour le ou les serveurs DHCP.

Cdlt.
GG.

jdh

La reco que je fais est adaptée au public !
Et elle est parfaitement valable pour une PME de 50 ou 300 pers. (ETI) ... sans informaticien très expérimenté ! D'ailleurs je réponds au cas précis de ceux qui veulent utiliser le DHCP de pfSense au lieu du DHCP mise en route sur le DC (le DHCP de pfSense ne sera pas capable de mettre à jour le DNS du domaine ... sans une config dont je doute qu'elle soit accessible depuis l'interface ... ce que vous oubliez totalement de dire !)

Utiliser un autre DHCP et un autre DNS qu'un DC, est bien évidemment possible (sans toutefois assurer que cela soit plus secure) ! (Dans mon entreprise actuelle, il n'y a même pas d'AD pour environ 8000 machines actives sous Windows et Linux alors un DHCP sous Windows, la blague !)

Trouver une page décrivant comment configurer un ISC Bind et ISC Dhcp en relation avec un domaine Windows, est une autre paire de manche que de porter un jugement. A ma connaissance, il y a eu un article dans Linux Magazine sur le sujet, il y a plus de 10 ans (et au mieux avec 2003) ... mais je peux me tromper (moi).

Pas cordialement ...