Problème DNS



  • Bonjour a tous,
    Ancien utilisateur d'IPCOP je suis passer a pfsense il y as quelque temps et je dois avouer que je suis vraiment impressionner des possibilité de ce firewall.

    Après avoir pu configurer pas mal de choses je suis confronter a un problème de DNS, comme le fonctionnement est un peux spécial chez moi je vous l'explique.

    J'ai un domaine xxx.ch chez un hébergeur j'ai configurer mes serveur dns sur deux ip dynamique xxx.dyndns.org et xxx.no-ip.org

    Jusque la pas de soucis mes deux dynamique dns sont bien enregistrer sur pfsense et coté hébergeur cela fonctionne les requêtes dns arrive bien sur mon WAN.

    Maintenant je voudrais rediriger mes requêtes DNS pour que pfsense renvoie l'adresse ip a contacter car j'ai configurer des hôtes sous DNS forwarder.
    A l’intérieur de mon réseau pas de soucis quand je fais www.xxx.ch pfsense me renvois bien sur mon serveur web (10.90.40.22), par contre lorsque je fais un nslookup depuis l’extérieur de mon réseau je retrouve l'IP locale en réponse a la place de l'IP public. Et là j'ai du mal a comprendre.
    Pouvez-vous m'expliquer comment gérer ce problème et renvoyer l'adresse IP public a la place de l'IP locale

    Je vous fais un croquis de l'install

    –> NS1 = xxx.dyndns.org -->
    xxx.ch ---> Hébergeur NETIM --|                                        |--> WAN pfsense ---> DMZ (10.90.40.1) ---> Web Server (10.90.40.22)
                                                --> NS2 = xxx.no-ip.org    -->

    Pour le principe :
    J'ai activer DNS forwarder et introduit mes noms d'hôtes.
    J'ai créer une règle NAT pour renvoyer les requêtes DNS sur WAN vers 127.0.0.1 (pfsense)
    J'ai créer une règle NAT pour renvoyer les requêtes HTTP sur le WEB Server (10.90.40.22)

    Je ne connais pas trop pfsense pour l'instant alors si j'ai oublier quelque chose demandez moi.

    Merci d'avance pour votre aide



  • Si je vous comprend bien et pour résumer la situation, le serveur dns primaire de xx.ch est Pfsense, sur l'ip Wan. Je ne suis pas certain de bien comprendre votre configuration. Mes commentaires ne s'appliquent que si (et seulement si) il s'agit bien de cette configuration.

    Vos problèmes ne sont pas directement lié à Pfsense mais à des choix inadaptés pour la gestion de dns pour votre zone.
    Tout d'abord commençons par préciser que les fonctionnalités dns présentent sur Pfsense sont celles d'un forwarder et non d'un dns complet. Le périmètre fonctionnel du dns forwarder est de fournir une résolution locale qui "surcharge" la résolution sur les dns publiques. De plus il fourni un cache pour améliorer les performances. Vous noterez que le seul type d'enregistrement possible est le type adresse. C'est tout à fait insuffisant pour un vrai dns. En conclusion le dns forwarder n'est pas du tout adapté pour être un dns publique.
    Par ailleurs la gestion d'un dns primaire (au moins deux en fait) nécessite un niveau technique beaucoup plus élevé que ne le croit le plus souvent ceux qui se lancent sur ce sujet.
    Mon conseil est donc le suivant : utilisez comme dns primaire et secondaire ceux que votre hébergeur met à votre disposition sans doute. Supprimez toutes références à votre ip wan en tant que dns. Dans le paramétrage de Pfsense renseignez les dns publique de votre FAI ou ceux de Nerim. Supprimer cette règle de nat pour dns et conservez le reste qui me semble correct. Vous mettrez ainsi en œuvre ce que l'on appelle le "split horizon" dns. Tous vos problèmes seront réglés. Résolution sur 10.90.40.22 sur le réseau interne et sur l'ip publique en externe. Le nat en place fera le travail pour accéder au serveur web.

    Votre fonctionnement est tout à fait classique.