Split dns - incompréhension



  • bonjour,

    j'ai un petit soucis avec le "split dns", afin d'accéder à un serveur sur mon réseau avec la même adresse en local et à distance.

    voici comment est structuré mon réseau

    livebox en mode bridge                                                    pfsense 2.3.1                                    serveur web
    ip : 192.168.2.1
    DMZ réglé sur 192.168.2.254 –---------------------------- Wan 192.168.2.254
                                                                                        LAN 192.168.1.1---------------------- 192.168.1.206

    j'ai une régle NAT qui redirige le port 80 vers mon serveur web

    et j'ai réglé le service dynamique DNS ave une adresse no-ip "monserveur.ddns.net"

    de l'extérieur, tout fonctionne nickel, je tape mon adresse "monserveur.ddns.net" et je tombe sur mon serveur derrière le pfsense.
    maintenant je veux la même chose en local (je tape le serveur local avec l'adresse 192.168.1.206, je veux y accéder avec "monserveur.ddns.net")

    donc, j'ai essayé d'utiliser le split dns comme expliqué dans la doc...

    service -> Dns Forwarder
    je coche "enable"
                "Register DHCP leases in DNS forwarder"
                  "Register DHCP static mappings in DNS forwarder"

    et dans "Host Overrides"
    host "monserveur"
    Domaine "monserveur.ddns"
    ip "192.168.1.206"

    et là, quant en local je tape mon adresse "monserveur.ddns.net", je tombe sur la page de la livebox....

    j'avoue que je ne comprend pas là où j'ai fait une erreur, si quelqu'un peut me donner une piste, àa m'aiderai bien

    cordialement
    ++



  • Avec un nslookup coté client, tu devrais être capable de voir quel DNS résout le nom monserveur.ddns.net
    Si pfSense est le dns des tes clients sur LAN et qu'il est bien configuré pour faire d'abord des recherches sur 127.0.0.1, ton conf devrait effectivement fonctionner (je ne comprends pas ce que vient faire DHCP dans l’explication du problème  :-[)

    tu devrais également vérifier sur pfSense lui même pour t'assurer que pfSense résout ce nom avec le contenu du DNS local.



  • Bonjour,

    Depuis quelques version déja pF n'utilise plus par défaut "Dns forwarder" mais "Dns resolver" (juste la ligne en dessous dans le même menu)

    1/ désactivé le "forwarder"

    2/ refaire l'entrée dans ''resolver"

    3/ par précaution seulement => redémarrer le service

    Cdt

    P.S : vider le cache des navigateurs et faire un flush  dns sur les pc AVANT de tester ^^ (c:\ipconfig /flushdns)



  • alors, j'ai fait la modif avec dns resolver

    je l'ai activé, j'ai mis l'entrée, vidé les caches et fait le flush dns, et même souci
    de l’extérieur, mon adresse monserveur.ddns.net tombe bien sur le serveur web.
    en local, je tombe sur la page web de la livebox

    en serveur dns (systeme -> general setup)  j'ai les serveur d'orange , ça peut peut être venir de là ?

    je continue à chercher.

    merci ++



  • Cris a posé la question à laquelle il faudrait que vous répondiez pour comprendre.

    Avec un nslookup coté client, tu devrais être capable de voir quel DNS résout le nom monserveur.ddns.net

    Ce qui peut être précédé d'un ipconfig /all pour une machine windows afin de vérifier le dns par défaut de la configuration. Ce doit être Pfsense pour que le split horizon fonctionne.



  • @ccnet:

    Ce doit être Pfsense pour que le split horizon fonctionne.

    Cela est si évident que je ne l'ai pas préciser ^^



  • bonjour,

    alors que je fais un nslookup (quant je suis sur mon réseau local) j'ai :

    serveur : unknown
    adresse : 192.168.1.1 (adresse du serveur pfsense)

    Nom : monserveur.ddns.net
    Adresse : 80.XX.XXX.X (adresse public de la box)

    dans les réglage général de pfsense, pour les serveur dns j'ai les serveur dns d'orange.

    que je tombe sur la page d'admin de la livebox c'est plus au moins logique puisque je pointe sur son adresse public.
    ce que je ne comprend pas, c'est que sur la box, j'ai déclaré une DMZ vers le serveur pfsense (ce qui fonctionne quant je suis pas en local)…donc là, il y a une subtilité que je ne saisi pas..



  • Vos pc DOIVENT avoir l'ip lan de pf comme DNS (fixe ou via Dhcp)

    Pf DOIT avoir lui même comme 1er Dns (localhost 127.0.0.1)
    en 2ème l'ip lan de la box (en locurance la GW de wan)
    et éventuellement en 3ème un dns du Fai



  • @baalserv:

    Vos pc DOIVENT avoir l'ip lan de pf comme DNS (fixe ou via Dhcp)

    Pf DOIT avoir lui même comme 1er Dns (localhost 127.0.0.1)
    en 2ème l'ip lan de la box (en locurance la GW de wan)
    et éventuellement en 3ème un dns du Fai

    les pc ont l'ip lan de pf comme dns (çà c'est bon)
    le pf à son 1ers et 2ème dns sur les dns orange - donc c'est là que je dois modifier

    si j'ai bien compris je règle :
    DNS 1 : 127.0.0.1
    DNS 2 : 192.168.2.1

    et sur la box je met les dns d'orange…

    ..je me demande si je n'aurai pas le même résultat en laissant les dns orange dans le "Systeme -> Générale" de pf et modifier les DNS (localhost / GW et FAI en 3) du serveur dhcp de mon interface LAN

    je test et je vous tiens au courant..
    en tout cas merci, au moins j'avance



  • @latitude:

    les pc ont l'ip lan de pf comme dns (çà c'est bon)
    le pf à son 1ers et 2ème dns sur les dns orange - donc c'est là que je dois modifier

    si j'ai bien compris je règle :
    DNS 1 : 127.0.0.1
    DNS 2 : 192.168.2.1

    et sur la box je met les dns d'orange…

    ..je me demande si je n'aurai pas le même résultat en laissant les dns orange dans le "Systeme -> Générale" de pf et modifier les DNS (localhost / GW et FAI en 3) du serveur dhcp de mon interface LAN

    Ce n'est pas exactement comme cela que ça fonctionne.

    Dans "system / general setup", il faut :

    • définir les DNS publiques que tu veux utiliser (par exemple ceux d'Orange, ou ta box, ou les 2, ce qui présente peu d'intérêt, ou encore les DNS d'OpenDNS ou autre)
    • il faut t'assurer que tu n'as pas coché la case qui désactive le fonctionnement par défaut qui fait que pfSense va utiliser le DNS forwarder local premier DNS

    Dans le serveur DHCP, il faut configurer pfSense comme seul et unique DNS pour tes clients.

    Si tes clients ont un autre DNS que pfSense, ton paramétrage consistant à réécrire l'IP d'un nom publique ne serait pas pris en compte, une fois sur 2 ou sur 3 selon le nombre de DNS définis.

    A mon sens, le mode de fonctionnement retenu par pfSense pour offrir cette fonctionnalité de résolution différente  de par et d'autre du FW n'est pas du "split-DNS horizon".

    Split-DNS, de mon point de vue, c'est la capacité du DNS à répondre de manière différencier selon la source de la requête pour fournir aux requêtes publiques l'IP publique et aux requête privées l'IP privée pour un fqdn donné. Comme le service DNS de pfSense n'est pas supposé être utilisé coté WAN, que ce n'est pas du DNS mais uniquement un "proxy" DNS, la fonctionnalité de réécriture est bien présente mais, en exagérant à peine, la même foncitonnalité pourrait être rendue en altérant le fichier hosts  ;D

    Pas exactement du split-DNS  :P



  • Si vous n'arrivez pas à faire du "split horizon" vous pouvez activé le "Nat reflexion" dans System | Advanced vous obtiendrez le résultat esconter.

    Cdt



  • Qui peut expliquer qu'un fil aussi simple et élémentaire, et dont la méthode est correcte, tel que celui là ne soit pas résolu ?
    Pourtant, il suffit de lire juste le fil initial : le, seul, paramétrage (du nom) est incorrect car incohérent.
    (Mais il faut bien sûr d'autres réglages supplémentaires …)

    Il est vrai que le test, totalement élémentaire, de nslookup n'est même pas fait (malgré 2 fois la question !).
    Plus précisément, il est fait mais aucune conclusion/action n'est tirée/corrigée !

    Vous savez ce qui faut obtenir, et pourtant pas d'actions correctrices ???
    Face à un problème, il faut mettre en doute ses propres réglages et ne faire confiance qu'à des tests et observez attentivement le résultat : est ce qui est attendu ou non ?


Log in to reply