Split dns - incompréhension

latitude

bonjour,

j'ai un petit soucis avec le "split dns", afin d'accéder à un serveur sur mon réseau avec la même adresse en local et à distance.

voici comment est structuré mon réseau

livebox en mode bridge                                                    pfsense 2.3.1                                    serveur web
ip : 192.168.2.1
DMZ réglé sur 192.168.2.254 –---------------------------- Wan 192.168.2.254
                                                                                    LAN 192.168.1.1---------------------- 192.168.1.206

j'ai une régle NAT qui redirige le port 80 vers mon serveur web

et j'ai réglé le service dynamique DNS ave une adresse no-ip "monserveur.ddns.net"

de l'extérieur, tout fonctionne nickel, je tape mon adresse "monserveur.ddns.net" et je tombe sur mon serveur derrière le pfsense.
maintenant je veux la même chose en local (je tape le serveur local avec l'adresse 192.168.1.206, je veux y accéder avec "monserveur.ddns.net")

donc, j'ai essayé d'utiliser le split dns comme expliqué dans la doc...

service -> Dns Forwarder
je coche "enable"
            "Register DHCP leases in DNS forwarder"
              "Register DHCP static mappings in DNS forwarder"

et dans "Host Overrides"
host "monserveur"
Domaine "monserveur.ddns"
ip "192.168.1.206"

et là, quant en local je tape mon adresse "monserveur.ddns.net", je tombe sur la page de la livebox....

j'avoue que je ne comprend pas là où j'ai fait une erreur, si quelqu'un peut me donner une piste, àa m'aiderai bien

cordialement
++

chris4916

Avec un nslookup coté client, tu devrais être capable de voir quel DNS résout le nom monserveur.ddns.net
Si pfSense est le dns des tes clients sur LAN et qu'il est bien configuré pour faire d'abord des recherches sur 127.0.0.1, ton conf devrait effectivement fonctionner (je ne comprends pas ce que vient faire DHCP dans l’explication du problème  :-[)

tu devrais également vérifier sur pfSense lui même pour t'assurer que pfSense résout ce nom avec le contenu du DNS local.

baalserv

Bonjour,

Depuis quelques version déja pF n'utilise plus par défaut "Dns forwarder" mais "Dns resolver" (juste la ligne en dessous dans le même menu)

1/ désactivé le "forwarder"

2/ refaire l'entrée dans ''resolver"

3/ par précaution seulement => redémarrer le service

Cdt

P.S : vider le cache des navigateurs et faire un flush  dns sur les pc AVANT de tester ^^ (c:\ipconfig /flushdns)

latitude

alors, j'ai fait la modif avec dns resolver

je l'ai activé, j'ai mis l'entrée, vidé les caches et fait le flush dns, et même souci
de l’extérieur, mon adresse monserveur.ddns.net tombe bien sur le serveur web.
en local, je tombe sur la page web de la livebox

en serveur dns (systeme -> general setup)  j'ai les serveur d'orange , ça peut peut être venir de là ?

je continue à chercher.

merci ++

ccnet

Cris a posé la question à laquelle il faudrait que vous répondiez pour comprendre.

Avec un nslookup coté client, tu devrais être capable de voir quel DNS résout le nom monserveur.ddns.net

Ce qui peut être précédé d'un ipconfig /all pour une machine windows afin de vérifier le dns par défaut de la configuration. Ce doit être Pfsense pour que le split horizon fonctionne.

baalserv

@ccnet:

Ce doit être Pfsense pour que le split horizon fonctionne.

Cela est si évident que je ne l'ai pas préciser ^^

latitude

bonjour,

alors que je fais un nslookup (quant je suis sur mon réseau local) j'ai :

serveur : unknown
adresse : 192.168.1.1 (adresse du serveur pfsense)

Nom : monserveur.ddns.net
Adresse : 80.XX.XXX.X (adresse public de la box)

dans les réglage général de pfsense, pour les serveur dns j'ai les serveur dns d'orange.

que je tombe sur la page d'admin de la livebox c'est plus au moins logique puisque je pointe sur son adresse public.
ce que je ne comprend pas, c'est que sur la box, j'ai déclaré une DMZ vers le serveur pfsense (ce qui fonctionne quant je suis pas en local)…donc là, il y a une subtilité que je ne saisi pas..

baalserv

Vos pc DOIVENT avoir l'ip lan de pf comme DNS (fixe ou via Dhcp)

Pf DOIT avoir lui même comme 1er Dns (localhost 127.0.0.1)
en 2ème l'ip lan de la box (en locurance la GW de wan)
et éventuellement en 3ème un dns du Fai

latitude

@baalserv:

Vos pc DOIVENT avoir l'ip lan de pf comme DNS (fixe ou via Dhcp)

Pf DOIT avoir lui même comme 1er Dns (localhost 127.0.0.1)
en 2ème l'ip lan de la box (en locurance la GW de wan)
et éventuellement en 3ème un dns du Fai

les pc ont l'ip lan de pf comme dns (çà c'est bon)
le pf à son 1ers et 2ème dns sur les dns orange - donc c'est là que je dois modifier

si j'ai bien compris je règle :
DNS 1 : 127.0.0.1
DNS 2 : 192.168.2.1

et sur la box je met les dns d'orange…

..je me demande si je n'aurai pas le même résultat en laissant les dns orange dans le "Systeme -> Générale" de pf et modifier les DNS (localhost / GW et FAI en 3) du serveur dhcp de mon interface LAN

je test et je vous tiens au courant..
en tout cas merci, au moins j'avance

chris4916

@latitude:

les pc ont l'ip lan de pf comme dns (çà c'est bon)
le pf à son 1ers et 2ème dns sur les dns orange - donc c'est là que je dois modifier

si j'ai bien compris je règle :
DNS 1 : 127.0.0.1
DNS 2 : 192.168.2.1

et sur la box je met les dns d'orange…

..je me demande si je n'aurai pas le même résultat en laissant les dns orange dans le "Systeme -> Générale" de pf et modifier les DNS (localhost / GW et FAI en 3) du serveur dhcp de mon interface LAN

Ce n'est pas exactement comme cela que ça fonctionne.

Dans "system / general setup", il faut :

• définir les DNS publiques que tu veux utiliser (par exemple ceux d'Orange, ou ta box, ou les 2, ce qui présente peu d'intérêt, ou encore les DNS d'OpenDNS ou autre)
• il faut t'assurer que tu n'as pas coché la case qui désactive le fonctionnement par défaut qui fait que pfSense va utiliser le DNS forwarder local premier DNS

Dans le serveur DHCP, il faut configurer pfSense comme seul et unique DNS pour tes clients.

Si tes clients ont un autre DNS que pfSense, ton paramétrage consistant à réécrire l'IP d'un nom publique ne serait pas pris en compte, une fois sur 2 ou sur 3 selon le nombre de DNS définis.

A mon sens, le mode de fonctionnement retenu par pfSense pour offrir cette fonctionnalité de résolution différente  de par et d'autre du FW n'est pas du "split-DNS horizon".

Split-DNS, de mon point de vue, c'est la capacité du DNS à répondre de manière différencier selon la source de la requête pour fournir aux requêtes publiques l'IP publique et aux requête privées l'IP privée pour un fqdn donné. Comme le service DNS de pfSense n'est pas supposé être utilisé coté WAN, que ce n'est pas du DNS mais uniquement un "proxy" DNS, la fonctionnalité de réécriture est bien présente mais, en exagérant à peine, la même foncitonnalité pourrait être rendue en altérant le fichier hosts  ;D

Pas exactement du split-DNS  :P

baalserv

Si vous n'arrivez pas à faire du "split horizon" vous pouvez activé le "Nat reflexion" dans System | Advanced vous obtiendrez le résultat esconter.

Cdt

jdh

Qui peut expliquer qu'un fil aussi simple et élémentaire, et dont la méthode est correcte, tel que celui là ne soit pas résolu ?
Pourtant, il suffit de lire juste le fil initial : le, seul, paramétrage (du nom) est incorrect car incohérent.
(Mais il faut bien sûr d'autres réglages supplémentaires …)

Il est vrai que le test, totalement élémentaire, de nslookup n'est même pas fait (malgré 2 fois la question !).
Plus précisément, il est fait mais aucune conclusion/action n'est tirée/corrigée !

Vous savez ce qui faut obtenir, et pourtant pas d'actions correctrices ???
Face à un problème, il faut mettre en doute ses propres réglages et ne faire confiance qu'à des tests et observez attentivement le résultat : est ce qui est attendu ou non ?