Split dns - incompréhension
-
Bonjour,
Depuis quelques version déja pF n'utilise plus par défaut "Dns forwarder" mais "Dns resolver" (juste la ligne en dessous dans le même menu)
1/ désactivé le "forwarder"
2/ refaire l'entrée dans ''resolver"
3/ par précaution seulement => redémarrer le service
Cdt
P.S : vider le cache des navigateurs et faire un flush dns sur les pc AVANT de tester ^^ (c:\ipconfig /flushdns)
-
alors, j'ai fait la modif avec dns resolver
je l'ai activé, j'ai mis l'entrée, vidé les caches et fait le flush dns, et même souci
de l’extérieur, mon adresse monserveur.ddns.net tombe bien sur le serveur web.
en local, je tombe sur la page web de la liveboxen serveur dns (systeme -> general setup) j'ai les serveur d'orange , ça peut peut être venir de là ?
je continue à chercher.
merci ++
-
Cris a posé la question à laquelle il faudrait que vous répondiez pour comprendre.
Avec un nslookup coté client, tu devrais être capable de voir quel DNS résout le nom monserveur.ddns.net
Ce qui peut être précédé d'un ipconfig /all pour une machine windows afin de vérifier le dns par défaut de la configuration. Ce doit être Pfsense pour que le split horizon fonctionne.
-
Ce doit être Pfsense pour que le split horizon fonctionne.
Cela est si évident que je ne l'ai pas préciser ^^
-
bonjour,
alors que je fais un nslookup (quant je suis sur mon réseau local) j'ai :
serveur : unknown
adresse : 192.168.1.1 (adresse du serveur pfsense)Nom : monserveur.ddns.net
Adresse : 80.XX.XXX.X (adresse public de la box)dans les réglage général de pfsense, pour les serveur dns j'ai les serveur dns d'orange.
que je tombe sur la page d'admin de la livebox c'est plus au moins logique puisque je pointe sur son adresse public.
ce que je ne comprend pas, c'est que sur la box, j'ai déclaré une DMZ vers le serveur pfsense (ce qui fonctionne quant je suis pas en local)…donc là, il y a une subtilité que je ne saisi pas.. -
Vos pc DOIVENT avoir l'ip lan de pf comme DNS (fixe ou via Dhcp)
Pf DOIT avoir lui même comme 1er Dns (localhost 127.0.0.1)
en 2ème l'ip lan de la box (en locurance la GW de wan)
et éventuellement en 3ème un dns du Fai -
Vos pc DOIVENT avoir l'ip lan de pf comme DNS (fixe ou via Dhcp)
Pf DOIT avoir lui même comme 1er Dns (localhost 127.0.0.1)
en 2ème l'ip lan de la box (en locurance la GW de wan)
et éventuellement en 3ème un dns du Failes pc ont l'ip lan de pf comme dns (çà c'est bon)
le pf à son 1ers et 2ème dns sur les dns orange - donc c'est là que je dois modifiersi j'ai bien compris je règle :
DNS 1 : 127.0.0.1
DNS 2 : 192.168.2.1et sur la box je met les dns d'orange…
..je me demande si je n'aurai pas le même résultat en laissant les dns orange dans le "Systeme -> Générale" de pf et modifier les DNS (localhost / GW et FAI en 3) du serveur dhcp de mon interface LAN
je test et je vous tiens au courant..
en tout cas merci, au moins j'avance -
les pc ont l'ip lan de pf comme dns (çà c'est bon)
le pf à son 1ers et 2ème dns sur les dns orange - donc c'est là que je dois modifiersi j'ai bien compris je règle :
DNS 1 : 127.0.0.1
DNS 2 : 192.168.2.1et sur la box je met les dns d'orange…
..je me demande si je n'aurai pas le même résultat en laissant les dns orange dans le "Systeme -> Générale" de pf et modifier les DNS (localhost / GW et FAI en 3) du serveur dhcp de mon interface LAN
Ce n'est pas exactement comme cela que ça fonctionne.
Dans "system / general setup", il faut :
- définir les DNS publiques que tu veux utiliser (par exemple ceux d'Orange, ou ta box, ou les 2, ce qui présente peu d'intérêt, ou encore les DNS d'OpenDNS ou autre)
- il faut t'assurer que tu n'as pas coché la case qui désactive le fonctionnement par défaut qui fait que pfSense va utiliser le DNS forwarder local premier DNS
Dans le serveur DHCP, il faut configurer pfSense comme seul et unique DNS pour tes clients.
Si tes clients ont un autre DNS que pfSense, ton paramétrage consistant à réécrire l'IP d'un nom publique ne serait pas pris en compte, une fois sur 2 ou sur 3 selon le nombre de DNS définis.
A mon sens, le mode de fonctionnement retenu par pfSense pour offrir cette fonctionnalité de résolution différente de par et d'autre du FW n'est pas du "split-DNS horizon".
Split-DNS, de mon point de vue, c'est la capacité du DNS à répondre de manière différencier selon la source de la requête pour fournir aux requêtes publiques l'IP publique et aux requête privées l'IP privée pour un fqdn donné. Comme le service DNS de pfSense n'est pas supposé être utilisé coté WAN, que ce n'est pas du DNS mais uniquement un "proxy" DNS, la fonctionnalité de réécriture est bien présente mais, en exagérant à peine, la même foncitonnalité pourrait être rendue en altérant le fichier hosts ;D
Pas exactement du split-DNS :P
-
Si vous n'arrivez pas à faire du "split horizon" vous pouvez activé le "Nat reflexion" dans System | Advanced vous obtiendrez le résultat esconter.
Cdt
-
Qui peut expliquer qu'un fil aussi simple et élémentaire, et dont la méthode est correcte, tel que celui là ne soit pas résolu ?
Pourtant, il suffit de lire juste le fil initial : le, seul, paramétrage (du nom) est incorrect car incohérent.
(Mais il faut bien sûr d'autres réglages supplémentaires …)Il est vrai que le test, totalement élémentaire, de nslookup n'est même pas fait (malgré 2 fois la question !).
Plus précisément, il est fait mais aucune conclusion/action n'est tirée/corrigée !Vous savez ce qui faut obtenir, et pourtant pas d'actions correctrices ???
Face à un problème, il faut mettre en doute ses propres réglages et ne faire confiance qu'à des tests et observez attentivement le résultat : est ce qui est attendu ou non ?