Résolu - Résolutions de noms en local impossible
-
Bonjour à tous,
Ya quelque temps maintenant j'ai créé un portail captif et j'avais sollicité votre aide, celui-ci fonctionne par ailleurs et je vous en remercie.
Cependant il y a toujours quelque chose qui cloche, la résolution des noms en local.
Tout d'abord mon projet :
Des clients se connectent à un AP qui est liée à Pfsense, ils reçoivent leur adresses IP du DHCP de PfSense, le DNS etc… . Toute information qu'ils reçoivent est 192.168.1.254 (Gateway DNS etc...). J'ai mis en place un DNS Forwarder vers les DNS réels de l'entreprise (172.20.30.103 / 172.20.30.104).
L'entreprise dispose de deux noms de domaine : un local qui est ****.local et l'autre "en ligne" qui est ****.re
Le passage d'un réseau à l'autre se fait par du NAT dyn OUT Bound. L'interface Wan de PfSense (à droite) est en statique, je lui ai donc entré ses informations de DNS GW etc.
Le portail captif fonctionne parfaitement… sauf pour la résolution de noms en local, ils arrivent cependant à accéder à Internet. Certains clients n'arrivent pas à accéder aux serveurs locals car ils n'arrivent pas à résoudre le nom. Pour l'instant j'entre les noms de manière statique dans pfSense mais bon c'est pas très pratique.
Est-ce que vous auriez une idée ?
Merci d'avance
-
au delà du fait que je ne comprends pas cette phrase:
Le passage d'un réseau à l'autre se fait par du NAT dyn OUT Bound
il faut noter que le relais DNS de pfSense fonctionne (ou peut fonctionner) selon que tu choisi Resolver ou Forwarder, en parallèle.
Je soupçonne que tes utilisateurs ne précisent pas, lorsque tu écris "ne peuvent pas résoudre", le FQDN mais uniquement le nom du host ou même du service (sans quoi je ne comprendrais pas pourquoi ça ne marche pas, en supposant bien sûr que tu as défini le DNS interne comme premier dans ta liste)Il y a peut-être une piste à explorer avec DHCP pour forcer le nom de domaine de recherche afin de chercher d'abord en ".local" (que je n'aime pas cette extension :-)
-
Je reformule : Pour passer d'un réseau à l'autre, un nat dynamique de type OutBound sur l'adresse WAN 172.20.33.33 se fait
Je n'utilise pour le moment que le DNS Forwarder avec comme interfaces all. Du coup, s'il faut écrire entièrement le FQDN… il faut reconfigurer tous les postes clients :o
Ce sont des applications préconfigurées en réalité du genre bureau à distance, il faut donc passer sur les postes pour les changer...Bon selon mes tests :
Sur un pc totalement connecté (sans portail captif) : Accède à tout, avec ou sans FQDN
Sur un pc portail captif : N'accède à rien, avec ou sans FQDNDésolé pour l'extension, j'arrive sur un réseau déjà tout fait ;D
EDIT : Même avec le DNS Resolver, ça ne fonctionne toujours pas, Internet OK mais pas les noms locaux
-
1 - pour le .local c'était juste une remarque en l'air qui ne résout en rien ton problème ;D
2 - Comment as-tu configuré forwarder et le DNS local de pfSense ? j'avoue ne pas comprendre pourquoi le portail captif aurait un impact sur la résolution de noms car dans ma compréhension, le portail intercepte les paquets sortants et sauf utilisation d'un proxy HTTP (ce que tu ne décrits pas) ton browser devrait résoudre les noms avant même d'atteindre le portail
3 - lorsque tu écris:Sur un pc portail captif : N'accède à rien, avec ou sans FQDN
C'est accès à rien en local ou accès à rien sur le LAN et sur le WEB ?
-
1 - Bien sur, pas de soucis ;)
2 - J'ai entré les adresses des DNS dans system > general et j'ai activé le DNS Forwarder
3 - Accès à rien sur le LAN, Ils ont bien accès au webJe viens de remarquer un petit truc… Lorsque je lance un dig sur un client pour résoudre le nom google.fr, le serveur qui me répond est son DNS (soit 192.168.1.254). Mais si j'ai bien compris, avec le forwarder, la requête devrait atteindre le serveur DNS de l'ent non ?
En réalité, il n'y a strictement aucun paquet UDP qui sort de l'interface WAN (pendant l'envoi du dig), j'ai l'impression que PfSense résout lui même le nom, ce qui expliquerait que les noms locaux ne soient jamais résolus, effectivement si ils atteignent jamais le serveur DNS réel...
Je confirme, il n'y a pas de proxy
-
pfSense est le serveur DNS de tes clients.
Mais pfSense, du point de vue DNS, a 2 fonctions différentes (si je comprends bien :-[)1 - c'est initialement un relais DNS, à savoir qu'il va rerouter ta requête DNS vers les DNS configurés, en utilisant Forwerder ou Resolver. Si tu veux résoudre des noms "locaux", il est donc important que pfSense ait tes DNS "locaux" comme premiers DNS de la liste [b]ET QUE pfSese ne traite pas ces DNS de manière parallèle sans quoi un nom à la fois local et publique poureait être résolu avec son IP pulbique
2 - pfSense permet de faire un "override" localement, à savoir d'attribuer à des FQDN ou des hostnames des IP autres que celles contenues dans les DNS.
-
J'ai pas trop bien compris pour le coup si tu me demandes confirmation ou pas…
Si c'est ça, non PfSense est juste un relais, vers les réels serveurs DNS de l'entreprise, ce sont eux qui font (enfin qui devraient) faire la résolution.
-
Aussi sans même parler de FQDN, avec ou sans je veux dire, ça ne fonctionne pas depuis un client.
Je vais mettre les screens de confs concernées, si ça se trouve, je me plante totalement :
-
Mais du coup, de quoi parle t-on quand tu dis dit "interne" et "externe" car, je n'y avais as prêté attention mais sur tes schémas, "interne", c'est sur l'interface WAN de pfSense car tu es sur le r"seau interne de chaque coté, c'est bien ça ?
-
En fait j'ai besoin d'isoler des utilisateurs connectés en Wifi pour les identifier. Ces utilisateurs sont connectés sur le LAN et c'est ce que je considère comme les clients internes (ils ont comme réseau 192.168.1.X).
Enfin externe est le réseau local de l'entreprise, sur lesquels sont situés les serveurs locaux, et l'accès à Internet. C'est dans ce même réseau local que se situent les serveurs DNS 172.20.30.103 et 104.
Réseau interne sur le schéma signifie réseau interne de l'entreprise, mais externe vu du portail captif… hum, désolé ::)
EDIT 2 : Ok je pense avoir compris d'où vient le problème. Avec un DNS Lookup pour diagnostic, je vois que mes serveurs de résolution (Resolution time per server) dans l'ordre sont : localhost et mes deux DNS ensuite.
Je pense qu'il résout donc lui même, le seul souci c'est que même si il ne trouve, pourquoi il ne demande pas ensuite aux deux autres DNS. Aussi j'ai remarque qu'il ne veut pas résoudre (le serveur PfSense) sans le FQDN, mais qu'il résout bien avec le FQDN.
-
J'ai trouvé la solution, mais par contre j'ai pas compris pourquoi ça fonctionnait pas.
La configuration faite plus haut fonctionne pour aller sur Internet, mais par contre, pour utiliser des DNS internes, j'ai l'impression qu'il faut forcer la résolution, et donc pour cela ajouter dans dns forwarder ou resolver les controleurs de domaines pour le domaine concerné.
Dans la partie Domain overrides, j'ai ajouté mes deux domaines .local et .re avec les adresses ip des controlleurs de domaines qui vont bien (qui est le même pour les deux domaines pour moi).
Voilà. Comme je le disais, la notion derrière ça m'échappe un peu…
-
J'ai trouvé la solution, mais par contre j'ai pas compris pourquoi ça fonctionnait pas
La configuration faite plus haut fonctionne pour aller sur Internet, mais par contre, pour utiliser des DNS internes, j'ai l'impression qu'il faut forcer la résolution, et donc pour cela ajouter dans dns forwarder ou resolver les controleurs de domaines pour le domaine concerné.
Je ne sais pas ce que tu entends par contrôleur de domaine mais si il s'agit des DC Microsoft qui font également office de DNS, alors ça me semble assez normal.
C'est toujours compliqué avec Microsoft car la notion de domaine (au sens "Windows Domain" du terme) n'est pas exactement superposée avec la notion de domaine DNS mais il y a une vraie confusion, entretenue par la manière dont Microsoft ne communique pas sur les différences. Le contrôleur de domaine de Microsoft faisant potentiellement tout, ce n'est pas toujours évident.
-
Effectivement on a un plusieurs serveurs AD, il va falloir que je vérifie leur adresses, pour savoir si c'est le même serveur que le DNS.
Merci beaucoup en tout cas :)
C'est vrai, j'aime beaucoup Active Directory pour sa gestion, mais dès que ça entre en conflit avec les DNS au sens réseau/internet et non plus groupe de travail, là ça porte à confusion.
-
Mes serveurs DNS sont bien les AD également.
Du coup, quand un serveur DNS est aussi un contrôleur de domaine AD, et qu'on veut avec un DNS forwarder résoudre des noms locaux, il faut les ajouter manuellement dans domain Override :)
