Virtual IP et LAN



  • Bonjour,

    Mon architecture :

    • Cluster Pfsense 2.3.2

    Serveurs Web

    • IP : 172.16.1.X
    • VIP: A.A.A.A

    Serveur Mail

    • IP : 172.16.1.10
    • VIP : B.B.B.B

    Problèmes :

    Depuis un  serveur Web, je ne peux pas faire un smtp sur "mail.domaine.fr"
    Par contre un smtp sur 172.16.1.10 fonctionne

    Depuis un serveur Web, je ne peux pas me connecter en HTTP sur un autre serveur mail "web.domaine.fr".

    Est-ce qu'il existe une configuration de pfsense pour autoriser ce type de trafic ?
    Est-ce que je dois configurer mon dns local (gérer par un cluster windows) pour pointer sur les ip privés quand une demande est faite sur "xxx.domaine.fr" ?

    En fait, quelles sont les recommandations dans ce genre de cas ?

    Merci



  • Si je comprends bien, ce n'est pas un problème d’autorisation mais de DNS.

    Si c'était un problème d'autorisation, tu aurais, pour autant que tu actives les logs, des messages au niveau FW.

    Quelle est ta conf DNS ?
    As-tu défini, dans un DNS interne, les IP internes de ces serveurs ?
    Je suppose que tu as bien défini les IP publiques dans des DNS publiques, mais depuis le LAN, est-ce que la résolution de nom interne a bien la priorité ?



  • Oui en effet je suppose que mon problème est lié au DNS.

    Je ne suis pas très calé en DSN. Mon architecture est la suivante :

    • Le domaine "mondomaine.fr" est géré par des DNS publiques. C'est mon hébergeur qui gère ces DNS.
    • J'ai un DNS interne avec une zone "mondomaine.local"
    • Mes DNS internes sont configurés pour rediriger vers mes DNS publiques.
    • Mes serveurs (Web, Mail, Vcenter etc ..) hébergés pointent vers mes DNS internes.

    Donc quand je fait une requête vers www.web.mondomaine.fr, c'est l'IP publique qui est résolu et non l'IP interne.

    Je précise que le LAN est une zone d'hébergement avec des serveurs Web en majorité. Il n'y a aucun "utilisateurs" sur ce segment réseau.

    Quelle est la bonne pratique dans ce cas ?

    Par exemple quand mes serveurs web envoient un mail, le MX de mon serveur mail correspond à l'adresse IP publique et non l'iP privé.

    J'espère être assez clair. Je ne maîtrise pas très bien toutes ces notions de DNS.

    Merci en tout cas de s'intéresser à mon cas.



  • @mamatov:

    • Le domaine "mondomaine.fr" est géré par des DNS publiques. C'est mon hébergeur qui gère ces DNS.

    C'est assez normal et courant

    • J'ai un DNS interne avec une zone "mondomaine.local"

    Quelles entrées as-tu dans cette zone ?

    • Mes DNS internes sont configurés pour rediriger vers mes DNS publiques.
    • Mes serveurs (Web, Mail, Vcenter etc ..) hébergés pointent vers mes DNS internes.

    Donc quand je fait une requête vers www.web.mondomaine.fr, c'est l'IP publique qui est résolu et non l'IP interne.

    Sauf si le DNS local résoud le premier avec l'IP interne.
    C'est comme ça que fonctionne, par exemple, le DNS Resolver de pfSense.

    Par exemple quand mes serveurs web envoient un mail, le MX de mon serveur mail correspond à l'adresse IP publique et non l'iP privé.

    Comme pour le DNS, pour le mail, la précision du vocabulaire est importante.
    Quand tu envoies un mail, c'est pas ton MX qui est utilisé mais l'adresse IP publique de ton MTA, qui peut tout à fait être différente de celle du MX, utilisée uniquement en réception de mail

    J'espère être assez clair. Je ne maîtrise pas très bien toutes ces notions de DNS.

    Pas trop. du coup, j'espère ne pas mal interpréter ta description  :-[



  • Déjà merci chris4916 pour ton aide.

    Je vais essayer d'être plus précis dans mes propos.

    • Dans ma zone de DNS interne (domaine.local) j'ai les entrées suivantes :

    dc01.domaine.local
    dc02.domaine.local
    vcenter.domaine.local

    Cette zone est uniquement destiné pour un usage interne et non externe.

    • Ce qui me pose problème c'est de pouvoir par exemple me connecter à la page web "web.domaine.fr" depuis un serveur de mon réseau local. Exemple :

    srvweb01 : 172.16.0.20
    vip sur pfsense : 68.X.X.20
    NAT sur pfsense : 68.X.X.20 -> 172.16.0.20
    site web : web.domaine.fr

    Depuis srvweb01 je ne peux pas me connecter à http://web.domaine.fr par contre depuis l'extérieur cela fonctionne.

    Comment configurer mes dns internes dans ce cas ?

    Merci d'avance.



  • Il vous faut une zone supplémentaire dans vote dns Microsoft, avec le domaine internet, et les ip locales en enregistrements adresse.



  • Merci pour l'info.
    J'ai essayé de crée une zone avec le domaine internet.

    Depuis le LAN j'ai bien la bonne résolution maintenant. Le seul problème ce que je ne peux plus résoudre aucuns noms du domaine internet.
    Je m'explique :

    DNS externe
    zone : test.fr
    web-test.fr : 68.X.X.5
    toto-test.fr : 68.X.X.6

    DNS interne
    zone : test.fr
    web-test.fr : 172.X.X.5

    Depuis un serveur du lan, je ne peux plus résoudre toto-test.fr. Il ne le trouve pas dans la zone du dns interne donc il ne me retourne rien.
    Un idée ?  Je dois dupliquer la configuration de mon dns externe sur mon dns interne ?

    Merci



  • Attention aux typo, entre interne et internet, ça rend les choses assez confuses.

    Je ne comprends pas pourquoi tu voudrais, depuis le LAN (test.com), résoudre les IP publiques de test.com mais peut-être que je n'ai juste pas compris le problème.



  • La faute de frappe (ou de compréhension), c'est plutôt

    zone : test.fr
    web-test.fr : 68.X.X.5
    toto-test.fr : 68.X.X.6

    Parce que web-test.fr n'appartient pas à une zone test.fr !!



  • C'est en effet une faute de frappe.

    DNS externe
    zone : test.fr
    web.test.fr : 68.X.X.5
    toto.test.fr : 68.X.X.6

    DNS interne
    zone : test.fr
    web.test.fr : 172.X.X.5

    Le but de résoudre le domaine test.fr depuis le LAN c'est pour des questions de tests.
    Je veux pouvoir me connecter à un site web de mon lan avec l'url web.test.fr pour par exemple valider le bon fonctionnement du site.



  • Ce n'est pas compliqué à faire : faut juste un peu de méthode !

    Localement, vous DEVEZ avoir un serveur DNS (qui résout tous) de votre choix : car, la sécurité, c'est de n'avoir qu'une seule machine qui fait des résolutions DNS sur Internet.
    Vous choisissez le serveur DNS qui vous convient :

    • 3 micros -> pfSense
    • domaine Windows -> le contrôleur de domaine
      (Dois je écrire que ce sera le serveur DNS de tout votre réseau intern, DMZ compris !)

    Et si vous devez résoudre un domaine qui existe sur Internet avec des valeurs locales (donc différentes), il faut créer localement une réplique de la zone :

    • toutes les définitions comme Internet
    • les valeurs qui doivent être locales, définies avec la valeur locale qui va bien.

    Franchement ce n'est pas un problème compliqué … (surtout avec un contrôleur de domaine, un peu plus compliqué avec pfSense).



  • Ok merci jdh.

    Cela semble peut être simple pour toi mais je n'ai jamais été confronté à ce type de problématique.
    Je cherchais donc la bonne méthode.

    J'ai en effet un domaine windows. Je vais donc déclarer une zone sur mon dns local qui sera la réplication de la zone du dns internet.

    Encore merci.



  • @mamatov:

    J'ai en effet un domaine windows. Je vais donc déclarer une zone sur mon dns local qui sera la réplication de la zone du dns internet.

    J'avoue ne rien comprendre du tout.
    Tu écris "je vais donc déclarer une zone…" alors que quelques messages plus tôt, tu décris déjà avoir cette zone avec une entrée correspondant à l'IP locale.

    Du coup, entre ce qui existe vraiment, ce que tu as testé et ce que tu va faire, c'est, pour moi du moins, très confus.

    Probablement que c'est aussi un peu la faute de tes interlocuteurs sur ce fil car ma toute première réponse te mettait déjà sur la voie du DNS local avec un IP locale, mais tu n'as visiblement pas compris ce que cela voulait dire.
    La réponse de ccnet ne dit pas autre chose, mais là encore tu n'as pas compris... et ta réponse laisse penser que tu as déjà mis en place la configuration nécessaire.
    A la troisième reformulation, pour dire la même chose, de jdh, tu sembles percuter  ;) donc peut-être ce coup-ci sera t-il le le bon  :)

    Lorsqu'une réponse ne te semble pas claire, n'hésite pas à le dire, ça t'évitera de perdre du temps et surtout de potentiellement faire des bêtises dans ton environnement.



  • J'avoue ne rien comprendre du tout.
    Tu écris "je vais donc déclarer une zone…" alors que quelques messages plus tôt, tu décris déjà avoir cette zone avec une entrée correspondant à l'IP locale.

    Oui je peux comprendre la confusion. Pour l'instant je n'ai rien mis en place. j'ai juste fait quelques tests.

    Lorsqu'une réponse ne te semble pas claire, n'hésite pas à le dire, ça t'évitera de perdre du temps et surtout de potentiellement faire des bêtises dans ton environnement.

    Désolé en effet j'aurai demander plus d'explication. Je suis un peu sur tous les fronts en ce moment j'ai un peu de mal à me poser pour réfléchir calmement.

    Dans ton premier poste tu as dis

    Je suppose que tu as bien défini les IP publiques dans des DNS publiques, mais depuis le LAN, est-ce que la résolution de nom interne a bien la priorité ?

    Comment gérer cette priorité de résolution ? Tu peux m'en dire un peu plus ?

    Merci et encore désolé. J'ai bien conscience de ne pas avoir été clair et précis dans mes propos.



  • "faire un test" comme tu dis, ça consiste simplement à t'assurer que:

    • ton DNS interne contient bien une zone qui a le même nom que ton domaine publique
    • que cette zone contient bien les adresses privées de tes serveurs
    • que ce DNS est bien consulté en premier par les clients sur le LAN

    Depuis internet, c'est le DNS publique qui contient les adresses publiques qui est consulté.
    Depuis le LAN, c'est le DNS local (privé) qui contient les adresses locales, qui est consulté.

    Si tu utilises un serveur DNS classique (Bind, Microsoft etc..) qui n'a pas d'option de forward, ça fonctionne comme décrit ci-dessus

    Il faut juste faire attention si tu utilises des mécanismes comme ceux de pfSense: Forwarder et resolver ne fonctionnent pas de la même manière, forwarder permettant de faire des requêtes en parallèle, ce qui peut avoir un impact sur la valeur de la réponse.



  • Ok merci chris4916.

    Tout est bien clair pour moi maintenant.

    Merci beaucoup d'avoir pris le temps et d'avoir eu la patience de me répondre.