Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense + vlans + windows 2008, vous le gerer comment votre DNS ?

    Scheduled Pinned Locked Moved Français
    8 Posts 2 Posters 4.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hubsd
      last edited by

      Bonjour,

      N'étant pas d'accord avec mon collègue, je souhaiterais savoir comment vous feriez avec la configuration suivante :

      LAN : 172.16.0.254/16 (pfsense)
      vlan10 : admins (172.16.10.0/24)
      vlan20 : serveurs interne + controleur de domaine windows 2008 serveur (172.16.20.0/24)
      vlan30 : utilisateurs  (172.16.30.0/24)

      Comment configuriez vous les options DNS sur pfsense (et notemment DNS forwarder, et les DNS servers) ?
      Comment configuriez vous le PDC et les serveurs DNS secondaires ?

      1 Reply Last reply Reply Quote 0
      • J
        Juve
        last edited by

        C'est simple, pour des raisons de sécurité (il y en a plusieurs…tunneling, effet de bord lors d'attaques virales etc), le DNS active directory (donc des postes) ne devraient aucunement pouvoir résoudre des noms publiques.
        Ensuite dans votre subneting il y a un souci, le LAN englobe les autres réseau ! cela voudrait-il dire que les vlan 10/20/30 ne sont pas des interfaces pfsense ?
        Moi je configurerai les DC MS pour résoudre uniquement les zone privées, les postes auraient comme DNS les DC MS.
        Sur pfsense je configurerai le forwarder pour résoudre les zones privées (directes et reverses) via l'AD puis en fonction de la taille de votre infrastructure j'utiliserai soit le forwarder pfsense pour les résolutions externes soit j'installerais une brique DNS cache avec gestion d'ACL pour la récursivité de type BIND.

        1 Reply Last reply Reply Quote 0
        • H
          hubsd
          last edited by

          Effectivement, le problème de subneting m'avait échappé (vous proposez quelle solution ? changer le masque ou pourquoi pas changer de réseau ?)
          Le LAN est sur l'interface re0 ainsi que tous les VLANS. A savoir que l'interface LAN ne sert que pour pfsense et nos switchs (je n'étais pas d'accord pour les switchs cela dit).

          WAN > em0
          DMZ > vr0
          LAN > re0
          les vlans > re0

          Les switchs sont des Dlink de niveau 2 (j'aurais préféré autre chose mais je dois faire avec l'existant  ;) ).
          Pfsense sert également de serveur DHCP.

          Pour en revenir à la question du DNS, imaginons que le contrôleur de domaine (PDC) se trouve sur le VLAN20 avec ip 172.16.20.1.
          Etant donné que Pfsense envoi la configuration en DHCP, par défaut il attribue comme DNS la passerelle de chaque vlans (ce qui est normal).
          Si j'ai bien compris votre raisonnement :

          • coté pfsense : je modifie le DNS du DHCP pour 172.16.20.1 et ce pour chaques VLAN (et tant qu'à faire une règle UDP/DNS vers uniquement 172.16.20.1).
          • coté PDC : je configure mes zones de recherches directes et indirectes (et ce pour chaque VLAN) ainsi que mon redirecteur vers pfsense, donc notre cas 172.16.20.254.
            Il me manque l'étape de configuration du forwarder coté pfsense.

          Note, l'infrastructure actuelle est de 100 postes (évolution future à 200).

          Ai-je bon ?

          1 Reply Last reply Reply Quote 0
          • J
            Juve
            last edited by

            Il faudrait commencer par organiser l'architecture autour du firewall en affectant une zone (interface) pfsense à chaque VLAN. ceci permettra de gérer le filtrage inter-vlan.
            Sachez que pfsense supporte les interface de type Vlan (voir menu Interface/Assign), il suffit de tagger les vlan sur les ports sur lesquels est connecté pfSense.

            1 Reply Last reply Reply Quote 0
            • H
              hubsd
              last edited by

              oui c'est le cas

              l'architecture ressemble à celle ci

              source : http://networktechnical.blogspot.com/2007/04/pfsense-how-to-setup-vlans.html

              1 Reply Last reply Reply Quote 0
              • J
                Juve
                last edited by

                impec, vous pouvez donc faire ce que vous dites dans le post précédent. Néanmoins, ne configurez pas de redirecteur sur le DC.

                1 Reply Last reply Reply Quote 0
                • H
                  hubsd
                  last edited by

                  ok merci, je vais modifier tout ca

                  dernière chose, concernant mon adressage et le problème de masque vous partirez sur quelle solution ?

                  1 Reply Last reply Reply Quote 0
                  • J
                    Juve
                    last edited by

                    un decoupage mieux réalisé, sans chevauchement.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.