Accès au domaine hébergés en interne depuis LAN
-
Bonjour,
Nous hébergeons plusieurs (petits) sites en interne.
Depuis l'extérieur tout fonctionne bien, les personnes accèdent au site par son url, par exemple
www.mondomaine.frwww.domaine.fr -> pointe sur une IP Virtuelle publique -> Pointe via NAT sur un serveur interne
Seulement depuis le réseau interne ces domaines ne sont pas accessibles.
J'ai essayé une règle dans RULES :
Interface : LAN Destination : Single host or alias : Ip virtuelle publiqueEt ai laissé tout le reste par défaut, sans succès.
J'ai bp cherché (pas assez me direz vous !), j'ai lu des trucs sur les DNS Forwarder, mais j'ai essayé différents trucs sans plus de succès.
Pourriez-vous m'aider à réglé cet incident ?
Merci d'avance
-
Bonjour,
Ça ressemble à un problème de DNS interne.
Je ne vois pas de problèmes du coté de pf.Il me semble que c'est sur votre serveur DNS interne qu'il vous faut configurer tout cela. (Bind …)
-
J'ai pu régler mon pb en ajoutant l'ip mon serveur DNS dans DNS forwarder, et en modifiant les dns de mon poste avec l'ip du serveur pfsense en dns primaire.
Le pb est donc réglé quand l'appel se fait depuis un domaine, mais ne l'est pas quand l'appel se fait avec un adresse ip.
Une idée ?
merci
-
Moi j'aurais fait l'inverse :
Dans Pf je configure les DNS avec les adresses de mes serveurs DNS internes.
J'utilise pas de DNS Forwarder.Du coup la résolution de nom se fait correctement.
-
Cas typique d'utilisation du "splithorizon DNS":
- quand je demande www.domaine.fr depuis internet j'obtient une IP publique
- quand je demande www.domaine.fr depuis mon LAN j'obtient une IP privée
Ceci peut être réalisé par de multiples moyens:
- DNS forwarder avec des enregistrement forcés en statiques
- DNS interne de l'enterprise configuré avec des "vues" différentes (BIND est très bien foutu pour cela, en revanche le DNS microsoft est totalement limité, il permet de créer des vues qui permettent d'obtenir des résolutions conditionnelles en fonction d'un ensemble de paramètres de la requête telles que l'IP sources de celle-ci).
-
C'est bien de poser la même question sur 2 forums différents ! Néanmoins, la conclusion reste la même !
Juve décrit la même solution que moi sur l'autre !
Vous devez gérer un "split-dns" (enfin d'abord comprendre ce que c'est que le dns en général parce c'est visiblement une confusion parmi d'autres).Très simplement un split-dns est une organisation de dns avec des valeurs différentes selon l'endroit d'où est effectué la requête.
Il suffit d'avoir 2 services dns : l'un sur Internet, l'autre interne.
(Et s'assurer qu'en interne, on utilise bien le serveur dns interne !)
Je ne pense pas qu'il faille regarder vers un serveur dns qui serve ET l'interne ET Internet.
(Gérer soi-même le serveur dns pour Internet est impensable et surement une erreur : il suffit de choisir un bon hébergeur de dns fournissant une interface web correcte) -
Merci, mais comprendre le fonctionnement des dns est une chose, et celle de pfsense une autre ;-/
Il n'a jamais été question pour moi d'intégrer un serveur DNS gérant le lan et internet.
Comme je l'ai dit, j'ai pu régler la redirection des domaines en interne grâce au DNS Relay, mais je n'ai pas trouvé le temps de creuser plus pour les ip pour l'instant.
Ensuite je n'ai pas encore compris comment faire du split dns avec serveur dns windows, mais dès que j'ai un peu plus de temps je m'y remet ! (sur nom domaine ou sur ip)
Merci
PS : Oui je post parfois sur différents forum, surtout quand je vois que les ressources et compétences dans un domaine (ici pfsense) sont principalement présentes dans 2 forums, cela augmente considérablement les chances d'obtenir de bonnes réponses (mais les posts se font le plus souvent en simultanés, en cas de non réponse, pas par manque de confiances dans les réponses).
-
Le serveur DNS Microsoft, même en 2K8R2, est loin d'être complet fonctionnellement….
-
Ce que je comprends, c'est que vous n'écoutez absolument pas ce qu'on vous écrit.
Et c'est normal, vu les confusions qui sont les vôtres : sur l'autre site, le même mot est utilisé pour 3 choses (totalement) différentes !Le rôle de pfSense en ce qui concerne le dns est presque nul dans un cas comme celui-ci !
Soit 2 serveurs web, en dmz, pour héberger les sites des domaines "domaineA.com" et "domaineB.com"
- Il faut louer les 2 domaines chez un hébergeur et créer un enregistrement A de nom www. et de valeur l'ip publique du pfSense.
- une règle NAT (et sa rule) forward le traffic http (80/tcp) vers le serveur 1 en dmz.
- un virtual host (pour Apache) (ou l'équivalent chez IIS) dirige "www.domaineA.com" vers le site situé en local,
- un autre virtual host rediriger "www.domaineB.com" vers serveur 2.
- en interne, il y a un serveur dns local dans lequel on ajoute les 2 domaines avec pour "domaineA.com" www a la valeur de l'ip du serveur 1,
et pour "domaineB.com" www la valeur de serveur 2.
Voilà c'est simple, ce n'est pas difficile, il faut juste être soigneux et savoir comment cela fonctionne.
Et je ne mentionne que peu pfSense …
Quand j'écris que la première nécessité est de poser les mains de son clavier et prendre un papier et un crayon ... -
Mais je t'assures avoir bien compris le fonctionnement des DNS !
Enfin théoriquement…
Sauf que, comme tu le soulignes à juste titre, avec la tête dans le guidon il est parfois facile de se tromper...Il est vrai qu'un adresse ip n'est pas un nom de domaine ni un nom d'hôte local...
Toujours est-il que pour mon pb j'ai été obligé d'intervenir sur pfsense en lui ajoutant l'ip interne du site hébergé en local pour les utilisateurs locaux dans le dns forwarded.
Ce n'est peut-être pas idéal, mais je n'ai pas réussi à le faire sur mon serveur 2008, ce qui me pousse à essayer de le faire sur pfsense.
Sur ma lancée après avoir solutionné le pb de dns, j'ai bêtement continué à cherché dans ce sens…Je vais fouiller un peu plus dans les rules...
Merci
-
Si des fois ça t'intéresse de faire un serveur DNS avec BIND en interne moi j'ai fait de cette façon :
http://www.pcc-services.com/sles/dyndns2.html
Mais c'est vrai que pfSense ne doit pas avoir, selon moi, ce rôle.
Bien séparer DNS pour l'interne et DNS pour le nom de domaine.Voilà.
