[No posible] Resolución DNS separada por redes



  • Hola buenas,

    Llevo un tiempo trasteando con el pfSense y me parece bastante bueno, pero no soy capaz de ver si es posible hacer lo que expongo en el título.

    Básicamente lo que quiero es que si tengo dos redes distintas, pueda separar los registros DNS en cada red.

    Por poner un ejemplo, supongamos que tengo un servidor en dos redes:
    192.168.0.200
    192.168.1.200

    Lo que me gustaría es que si le pongo el mismo nombre en las dos redes y un usuario de cualquiera de las dos redes hace una petición de resolución, el servidor le responda con la IP de esa red en lugar de utilizar el método round robin.

    Principalmente lo quiero hacer para por ejemplo separar las resoluciones de DNS de varias de las redes que tengo y a ser posible de los clientes VPN.

    ¿Es posible?

    ¡Muchas gracias!



  • Creo que lo que pides requeriría levantar un servicio DNS para cada interfase. Y tal como está hay uno solo para todas las interfases en que se quiera.



  • Gracias por la respuesta.

    Podría ser una buena "feature request", ya que desde mi punto de vista es bastante útil si te creas varias redes y no quieres llamar de forma distinta al servidor en cada una (bastante usado en entornos de producción).

    ¡Un saludo!



  • Bueno, lo "normal" es que tus servidores estén en subred segura (DMZ) y autorices mediante reglas ir sólo a los servicios que deben dar.

    En ese contexto el servidor tiene IP y nombre único.

    https://es.wikipedia.org/wiki/Zona_desmilitarizada_(informática)



  • Bueno, es lo mejor, pero en mi caso se complica un poco porque generaría mucho tráfico extra entre los edificios.

    En fin, en este caso no era para hacer que el servidor se llamara igual en todas las redes, sino para hacer que por ejemplo todas las entradas DNS estuvieran disponibles para la red de usuarios, pero sólo una parte para otras redes.

    ¡Un saludo!



  • Entiendo. Pues igual se impone dotar a cada tramo de un pfSense que haga de DHCP, Gateway y DNS.



  • Es buena idea, pero supondría un gasto mayor, tendría que generar más redes y la topología no cambiaría mucho respecto a lo que voy a hacer. Además al hacer varias redes más tendría que configurar los box de pfsense para que enrutaran entre ellos, ya que me temo que los tres edificios tienen que tener conectividad entre ellos. Sería complicarme mucho la vida para separar un servidor de datos a una red aparte.

    Lo que lo mismo termino haciendo es creando un servidor de DNS con Bind y configurándolo para que dependiendo de quién haga la petición le conteste una cosa u otra. Total, un servidor DNS no genera demasiado tráfico y puedo usar uno de los PC's viejos que tengo.

    De todas formas muchas gracias por tu ayuda.

    ¡Un saludo!



  • No me mal interpreten, puede ser que yo no haya entendido bien tu duda.

    Tiene alguna utilidad practica, hacer esto que pides ?



  • En principio se me ocurren las dos que expongo arriba:

    • Cercanía: si tienes dos redes y un servidor con dos tarjetas en ambas, permitir que en cada Red la resolución de un mismo nombre tenga distinta ip según desde la Red que se solicite. Si sólo dispones de la ip de una de las redes al hacer la petición desde la otra te va a dar la IP de la primera y entonces todo el tráfico va a pasar por el pfSense

    • Independencia: tener dos redes y permitir que cada una tenga sus propias entradas dns, por ejemplo un wifi que quieras que sólo resuelva una parte de las entradas.

    Un saludo.


Log in to reply