Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora Linux 37 est disponible !

#1 25/02/2015 12:59:07

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

[Résolu] DNS et forwarders

Bonjour,

Voici mon problème : (j'ai anonymisé les informations .... vous le comprendrais, je pense !)
J'ai un réseau LAN avec un serveur DNS pour mes besoins personnelle (qui résout le domaine home.XXXXXXXXX.fr) et qui forward vers le DNS de mon FAI pour les autre domaines.
Sur mes clients dans resolv.conf, j'ai donc :

domain home.XXXXXXXXX.fr
search home.XXXXXXXXX.fr
nameserver 192.168.1.50       <== Mon serveur DNS named

Le domaine XXXXXXXXX.fr etant hébergé par un fournisseur et je forward home.XXXXXXXXX.fr vers mon IP publique.
L'ensemble fonctionne depuis 2 ans sans problèmes.

Aujourd'hui, je dois me connecté en VPN j'ai un client.
Connexion OK sans soucis (pour une fois une solution openvpn simple et efficace) mais la résolution du domaine du client ne se fait pas !
J'ai ajouter dans mon /etc/named.conf sur mon serveur DNS des forwarders vers les ip des DNS du client.

forwarders {
                X.X.X.X;    <== Routeur 
                X.X.X.X;    <= DNS FAI
                X.X.X.X;    <= DNS FAI 
                X.X.X.X;    <= DNS CLIENT
        };

Le ping IP passe, la résolution DNS non.
Si je modifie, coté client le /etc/resolv.conf 

domain <DOMAINE_CLIENT>
search <DOMAINE_CLIENT>
nameserver X.X.X.X      <== DNS du client

Dans ce cas, j'ai la résolution client mais plus mes mon domaines et mes serveurs... je voudrais juste avoir les deux en même temps !
Comment dire a mon serveur DNS de résoudre le domaine <CLIENT_DOMAINE> sur le DNS du client ?

Merci pour votre aide ....

Dernière modification par elbelo69 (25/02/2015 15:22:45)

Hors ligne

#2 25/02/2015 14:51:19

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Bonjour,

Pourrais tu completer les informations en nous donnant les IP du ou des clients VPN?

Ensuite ton named.conf tu dis de forwarder vers le DNS client? c'est à dire? Le DNS du FAI de ton client distant?

Est-ce que c'est pas juste une acl pour autoriser la résolution DNS depuis les ip de tes clients VPN (d'où ma 1ere question). As tu regardé dans les logs?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#3 25/02/2015 15:22:30

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Bonjour Madko,
J'ai créé une confusion je pense : hammer
Dans certaines phrases Client veux dire Client pour qui je travail, et d'autre client qui discute avec un serveur .... Aussi je reprends. hammer

J'ai un réseau LAN avec un serveur DNS pour mes besoins personnelle (qui résout le domaine home.XXXXXXXXX.fr) et qui forward vers le DNS de mon FAI pour les autre domaines.
Sur mes machine clientes dans resolv.conf, j'ai donc :

domain home.XXXXXXXXX.fr
search home.XXXXXXXXX.fr
nameserver 192.168.1.50       <== Mon serveur DNS named

Le domaine XXXXXXXXX.fr etant hébergé par un fournisseur et je forward home.XXXXXXXXX.fr vers mon IP publique.
L'ensemble fonctionne depuis 2 ans sans problèmes.

Aujourd'hui, je dois me connecté en VPN chez un client pour qui je travail
Connexion OK sans soucis (pour une fois une solution openvpn simple et efficace) mais la résolution de nom des machines sur le domaine clientCommercial.fr ne se fait pas.
J'ai ajouter dans mon /etc/named.conf sur mon serveur DNS des forwarders vers les ip des DNS du client pour qui je travail.

forwarders {
                X.X.X.X;    <== Routeur 
                X.X.X.X;    <= DNS FAI
                X.X.X.X;    <= DNS FAI 
                X.X.X.X;    <= DNS CLIENT
        };

Le ping IP passe, la résolution DNS non.
Si je modifie, coté machine cliente le /etc/resolv.conf

domain <DOMAINE_CLIENT>
search <DOMAINE_CLIENT>
nameserver X.X.X.X      <== DNS du client

Dans ce cas, j'ai la résolution client mais plus mes mon domaines et mes serveurs... je voudrais juste avoir les deux en même temps !
Comment dire a mon serveur DNS de résoudre le domaine <CLIENT_DOMAINE> sur le DNS du client ?
Merci pour votre aide ....

C'est plus compréhensible ? big_smile


Depuis j'ai un peu avancer, en lisant le man de resolv.conf il est possible d'ajouter "search" séparer par espace ou tab.
J'ai donc ajouter le domaine DNS (plus d’ambiguïté là ? lol) derrière mon domaine DNS local.
Sur un nslookup, mon DNS me répond

[root@vfx ~]# nslookup <MACHINE>.<DOMAINE_DNS_DU_CLIENT_POUR_QUI_JE_TRAVAIL>
Server:         192.168.1.50
Address:        192.168.1.50#53

** server can't find <MACHINE>.<DOMAINE_DNS_DU_CLIENT_POUR_QUI_JE_TRAVAIL>: NXDOMAIN

Faut t'il que je créer une Zone slave dans mon DNS pour se domaine et que je forward l'ensemble vers le serveur DNS du client pour qui je travail ?
J'ai bien l'impression que oui ?
J'ai la grippe, aussi je ne suis pas très lucide aujourd'hui ..... bossé avec 39.3° c dur !:-?

Dernière modification par elbelo69 (25/02/2015 15:27:05)

Hors ligne

#4 25/02/2015 16:34:35

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Donc si je resume le peu que j'en comprend:

- Tu as un serveur DNS pour une zone qu'on va l'appeller domaine.fr. On appelera ce serveur DNS_PUB
- Tu as sur ce même serveur une zone pour home.domaine.fr? Qui résoud des IP locale de ton LAN? Et pour ça tu passe par un serveur DNS en local sur ton LAN? (qu'on appelera DNS_LAN). Du coup DNS_LAN forward sur les DNS de ton FAI pour les requetes DNS classiques, et si c'est du home.domaine.fr vers son DNS_PUB?
- Tu as ensuite un client VPN qui se connecte depuis un autre FAI? Lui il peut donc taper sur DNS_LAN?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#5 25/02/2015 17:04:20

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

madko a écrit :

- Tu as un serveur DNS pour une zone qu'on va l'appeller domaine.fr. On appelera ce serveur DNS_PUB

Non, ce domaine, domaine.fr est hébergé par OVH. J'ai déclaré un sous domaine de type home.domaine.fr, et home.domaine.fr pointe vers mon IP publique (et statique : fibre chez Free). Un reverse proxy repond sur cet IP, et je peux ainsi accéder, depuis n'importe ou, à mes serveurs (Dolibarr, Subversion, eXo, Git ) etc .... Ces serveurs étant hébergés chez moi.

madko a écrit :

Tu as sur ce même serveur une zone pour home.domaine.fr? Qui résoud des IP locale de ton LAN? Et pour ça tu passe par un serveur DNS en local sur ton LAN? (qu'on appelera DNS_LAN). Du coup DNS_LAN forward sur les DNS de ton FAI pour les requetes DNS classiques, et si c'est du home.domaine.fr vers son DNS_PUB?

Oui, je n'ai d’ailleurs que cette zone déclarée sur ce serveur, le reste étant forwarder vers le DNS de mon FAI (en l’occurrence Free).
Enfin, j'ai la zone 127.0.0.1 et la zone inverse, mais c du classique.

zone "home.domaine.fr" IN {
        type master;
        file "named.home.domaine.fr";
        allow-update { none; };
};

Et dans le fichier named.home.domaine.fr mes serveurs locaux : par exemple

dns    IN    A        192.168.1.50

Donc quand je suis chez moi :

[root@vfx temp]# nslookup dns
Server:         192.168.1.50
Address:        192.168.1.50#53

Name:   dns.home.domaine.fr
Address: 192.168.1.50
[root@vfx temp]# 
madko a écrit :

- Tu as ensuite un client VPN qui se connecte depuis un autre FAI? Lui il peut donc taper sur DNS_LAN?

Non, c'est moi, depuis ma station de travail, qui me connecte en VPN sur le LAN d'un de mes clients (client  : au sens société). Cette société à un domaine client.fr géré par son propre DNS, on appellera ce DNS : dc1.client.fr (oui comme Domaine Contrôleur, personne n'est parfait, cette société utilise  MS Windows sad )
Si je pointe (resolv.conf) vers dns.client.fr avec search client.fr je résous bien son domaine client.fr MAIS je perds la résolution de nom des machines sur mon domaine  home.domaine.fr.
Moi je voudrais pouvoir faire
nslookup serveur1.client.fr et que ca soit résolu  mais aussi
nslookup server2.home.domaine.fr et que ça soit aussi résolu.

Plus clair ?

Hors ligne

#6 25/02/2015 17:12:22

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

ah oui c'est bien plus clair ;)

Et

zone "client.fr" IN {
  type forward;
  forward only;
  forwarders { IP DNS CLIENT; };
};

dans ton named.conf ça irait pas?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#7 25/02/2015 17:32:04

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Alors,
Déjà fait et non ça ne suffit pas :

[root@vfx ~]# nslookup machine1.client.fr
;; connection timed out; trying next origin
Server:         192.168.1.50
Address:        192.168.1.50#53

** server can't find machine1.client.fr: NXDOMAIN
[root@vfx ~]# 

Ca semble dire que le DNS de la société n'est pas up...et pourtant quand je force dans resolv.conf le DNS du client, me répond bien :
resolv.conf

search client.fr
nameserver 10.1.2.3
[root@vfx ~]# nslookup machine1.client.fr
Server:         10.1.2.3
Address:        10.1.2.3#53

Name:   machine1.client.fr
Address: 10.1.3.37

[root@vfx ~]# 

Hors ligne

#8 25/02/2015 17:33:57

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Est-ce que tu peux utiliser la commande dig plutot que nslookup qui n'est pas très informatif (en plus d'être deprecated)?

ça t'evitera de modifier tout le temps ton resolv.conf

que donne :

dig @10.1.2.3 machine1.client.fr

et

dig @ton_serveur_dns machine1.client.fr +trace

?

EDIT: je pense que le forward ne marche pas car c'est l'ip de ton serveur DNS chez OVH qui contact le DNS de ton client... Le plus simple serait que tu es un DNS (bind) local sur ta machine qui fait la connexion VPN. Avec le bout de conf que j'ai copié pour que la zone client.fr soit envoyé sur le bon DNS.

Dernière modification par madko (25/02/2015 17:38:21)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#9 25/02/2015 17:46:12

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Je ne connais pas dig enfin, pas bien (en plus d'être deprecated : comme mes compétences réseaux big_smile)

Donc :

[root@vfx ~]# dig @10.1.2.3 machine1.client.fr

; <<>> DiG 9.9.4-P2-RedHat-9.9.4-17.P2.fc20 <<>> @10.1.2.3 machine1.client.fr
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29936
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;machine1.client.fr.  IN      A

;; ANSWER SECTION:
machine1.client.fr. 1200 IN   A       10.1.3.37

;; Query time: 28 msec
;; SERVER: 10.1.2.3#53(10.1.2.3)
;; WHEN: mer. févr. 25 16:39:56 CET 2015
;; MSG SIZE  rcvd: 73
[root@vfx ~]# 

Et :

[root@vfx ~]# dig @192.168.1.50 machine1.client.fr +trace

; <<>> DiG 9.9.4-P2-RedHat-9.9.4-17.P2.fc20 <<>> @192.168.1.50 machine1.client.fr +trace
; (1 server found)
;; global options: +cmd
.                       448     IN      NS      m.root-servers.net.
.                       448     IN      NS      e.root-servers.net.
.                       448     IN      NS      l.root-servers.net.
.                       448     IN      NS      a.root-servers.net.
.                       448     IN      NS      g.root-servers.net.
.                       448     IN      NS      d.root-servers.net.
.                       448     IN      NS      f.root-servers.net.
.                       448     IN      NS      b.root-servers.net.
.                       448     IN      NS      j.root-servers.net.
.                       448     IN      NS      h.root-servers.net.
.                       448     IN      NS      i.root-servers.net.
.                       448     IN      NS      c.root-servers.net.
.                       448     IN      NS      k.root-servers.net.
.                       1406    IN      RRSIG   NS 8 0 518400 20150307050000 20150225040000 16665 . eQ+pr7Zvs5MKe7YPQzC6uJP1FPIsD//XytCCdFCCKNyO7S7UAqv5adSX ouJcmpqbNwcbbPMClEg+X1uL1byUdzKHUoR1DUanamaQbLlIZFFeuvxN vVwht/psTYYmGYJCbLyhTlIg/VeZAN+0AYV2H7WJ0/UKJjeY5daTxqBM Z/o=
$;; Received 397 bytes from 192.168.1.50#53(192.168.1.50) in 847 ms

.                       86400   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2015022500 1800 900 604800 86400
.                       86400   IN      RRSIG   SOA 8 0 86400 20150307050000 20150225040000 16665 . mBowj2KzLCWFjEp/oDLhbwPokSlS4GaC8fARtG9dd6br5ZuB9q/3sjCz HNhsVmgivR8BJ7/nr6255J5VjNRfA9KyQ4o/mGC6SKrlpOXY7+wIqgM0 SiEy7Wi+36/ZnwdWjSVAM0TyLBN24LOCI/uIu8knmzlFCtAYJFtQXf5Z nuE=
.                       86400   IN      NSEC    abogado. NS SOA RRSIG NSEC DNSKEY
.                       86400   IN      RRSIG   NSEC 8 0 86400 20150307050000 20150225040000 16665 . W5sXnMbw8oHfD2sqpBEshGa+QlR+0ZjAga1K+oFl/AWpQBooGUOgcfxL /tcV9qq4ENDeF5qGcHB3o07ZnuU6TU65BGLdIp8ZFP1R+/qzVagdvEWS JQsSyIbyAaJmktn/yD8MITi0mtPoM0xjpSbFPI5lm2PCVRrVzBVyy6o5 y20=
lacaixa.                86400   IN      NSEC    land. NS DS RRSIG NSEC
lacaixa.                86400   IN      RRSIG   NSEC 8 1 86400 20150307050000 20150225040000 16665 . zhF6tP+0mlBdlKP1CUJ/qC8Ib431ijbDD+jKJCGtSfqxbRTRuB8xk+8k lkgiwc8ia+QSCgkMpoy7jVbS/GeDzcB+2rZU4OoD1Rg8cW/TeCWuYzQB 0K+xMY8BjdLrPdhfSgLHeJpo+J2c6DL9ZKOLsfMTAq95aZymAgBaOU4z bOE=
;; Received 669 bytes from 192.5.5.241#53(f.root-servers.net) in 28 ms

[root@vfx ~]# 

Et là, clairement, je comprends pas grand chose a cette trace ....

Hors ligne

#10 25/02/2015 18:42:50

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Comme le forward ne passe pas, vu que le serveur DNS de la société distante ne doit pas l'accepter, peux tu tenter ça:

zone "client.fr." IN {
	type static-stub;
	server-addresses { IP_DNS_CLIENT; };
};

Ce qu'on essaye de faire ici, c'est de faire dire à ton serveur DNS, que pour la zone "client.fr." il faut que le client interroge plutôt IP_DNS_CLIENT comme serveur DNS...

Dernière modification par madko (25/02/2015 18:45:53)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#11 25/02/2015 19:44:15

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Merci Madko,
J'ai beau lire la doc, je ne comprends pas bien la différence entre static-stub et forward.
Donc si tu as encore deux minutes, je veux bien une petite explication ... roll

Mais, ca n'a rien changé :



[root@vfx ~]# ping machine1.client.fr
ping: unknown host machine1.client.fr
[root@vfx ~]# dig @192.168.1.50 machine1.client.fr +trace

; <<>> DiG 9.9.4-P2-RedHat-9.9.4-17.P2.fc20 <<>> @192.168.1.50 machine1.client.fr +trace
; (1 server found)
;; global options: +cmd
.                       80144   IN      NS      g.root-servers.net.
.                       80144   IN      NS      i.root-servers.net.
.                       80144   IN      NS      m.root-servers.net.
.                       80144   IN      NS      d.root-servers.net.
.                       80144   IN      NS      j.root-servers.net.
.                       80144   IN      NS      c.root-servers.net.
.                       80144   IN      NS      k.root-servers.net.
.                       80144   IN      NS      a.root-servers.net.
.                       80144   IN      NS      f.root-servers.net.
.                       80144   IN      NS      l.root-servers.net.
.                       80144   IN      NS      h.root-servers.net.
.                       80144   IN      NS      e.root-servers.net.
.                       80144   IN      NS      b.root-servers.net.
.                       80341   IN      RRSIG   NS 8 0 518400 20150307050000 20150225040000 16665 . eQ+pr7Zvs5MKe7YPQzC6uJP1FPIsD//XytCCdFCCKNyO7S7UAqv5adSX ouJcmpqbNwcbbPMClEg+X1uL1byUdzKHUoR1DUanamaQbLlIZFFeuvxN vVwht/psTYYmGYJCbLyhTlIg/VeZAN+0AYV2H7WJ0/UKJjeY5daTxqBM Z/o=
;; Received 913 bytes from 192.168.1.50#53(192.168.1.50) in 11 ms

lacaixa.                86400   IN      NSEC    land. NS DS RRSIG NSEC
lacaixa.                86400   IN      RRSIG   NSEC 8 1 86400 20150307050000 20150225040000 16665 . zhF6tP+0mlBdlKP1CUJ/qC8Ib431ijbDD+jKJCGtSfqxbRTRuB8xk+8k lkgiwc8ia+QSCgkMpoy7jVbS/GeDzcB+2rZU4OoD1Rg8cW/TeCWuYzQB 0K+xMY8BjdLrPdhfSgLHeJpo+J2c6DL9ZKOLsfMTAq95aZymAgBaOU4z bOE=
.                       86400   IN      NSEC    abogado. NS SOA RRSIG NSEC DNSKEY
.                       86400   IN      RRSIG   NSEC 8 0 86400 20150307050000 20150225040000 16665 . W5sXnMbw8oHfD2sqpBEshGa+QlR+0ZjAga1K+oFl/AWpQBooGUOgcfxL /tcV9qq4ENDeF5qGcHB3o07ZnuU6TU65BGLdIp8ZFP1R+/qzVagdvEWS JQsSyIbyAaJmktn/yD8MITi0mtPoM0xjpSbFPI5lm2PCVRrVzBVyy6o5 y20=
.                       86400   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2015022500 1800 900 604800 86400
.                       86400   IN      RRSIG   SOA 8 0 86400 20150307050000 20150225040000 16665 . mBowj2KzLCWFjEp/oDLhbwPokSlS4GaC8fARtG9dd6br5ZuB9q/3sjCz HNhsVmgivR8BJ7/nr6255J5VjNRfA9KyQ4o/mGC6SKrlpOXY7+wIqgM0 SiEy7Wi+36/ZnwdWjSVAM0TyLBN24LOCI/uIu8knmzlFCtAYJFtQXf5Z nuE=
;; Received 669 bytes from 128.63.2.53#53(h.root-servers.net) in 110 ms

[root@vfx ~]# 

Et

[root@vfx ~]# dig @10.1.2.3 machine1.client.fr +trace                     

; <<>> DiG 9.9.4-P2-RedHat-9.9.4-17.P2.fc20 <<>> @10.1.2.3 machine1.client.fr +trace
; (1 server found)
;; global options: +cmd
.                       80682   IN      NS      b.root-servers.net.
.                       80682   IN      NS      j.root-servers.net.
.                       80682   IN      NS      l.root-servers.net.
.                       80682   IN      NS      a.root-servers.net.
.                       80682   IN      NS      c.root-servers.net.
.                       80682   IN      NS      k.root-servers.net.
.                       80682   IN      NS      f.root-servers.net.
.                       80682   IN      NS      d.root-servers.net.
.                       80682   IN      NS      e.root-servers.net.
.                       80682   IN      NS      m.root-servers.net.
.                       80682   IN      NS      i.root-servers.net.
.                       80682   IN      NS      h.root-servers.net.
.                       80682   IN      NS      g.root-servers.net.
;; Received 460 bytes from 10.1.2.3#53(10.1.2.3) in 54 ms

lacaixa.                86400   IN      NSEC    land. NS DS RRSIG NSEC
lacaixa.                86400   IN      RRSIG   NSEC 8 1 86400 20150307050000 20150225040000 16665 . zhF6tP+0mlBdlKP1CUJ/qC8Ib431ijbDD+jKJCGtSfqxbRTRuB8xk+8k lkgiwc8ia+QSCgkMpoy7jVbS/GeDzcB+2rZU4OoD1Rg8cW/TeCWuYzQB 0K+xMY8BjdLrPdhfSgLHeJpo+J2c6DL9ZKOLsfMTAq95aZymAgBaOU4z bOE=
.                       86400   IN      NSEC    abogado. NS SOA RRSIG NSEC DNSKEY
.                       86400   IN      RRSIG   NSEC 8 0 86400 20150307050000 20150225040000 16665 . W5sXnMbw8oHfD2sqpBEshGa+QlR+0ZjAga1K+oFl/AWpQBooGUOgcfxL /tcV9qq4ENDeF5qGcHB3o07ZnuU6TU65BGLdIp8ZFP1R+/qzVagdvEWS JQsSyIbyAaJmktn/yD8MITi0mtPoM0xjpSbFPI5lm2PCVRrVzBVyy6o5 y20=
.                       86400   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2015022500 1800 900 604800 86400
.                       86400   IN      RRSIG   SOA 8 0 86400 20150307050000 20150225040000 16665 . mBowj2KzLCWFjEp/oDLhbwPokSlS4GaC8fARtG9dd6br5ZuB9q/3sjCz HNhsVmgivR8BJ7/nr6255J5VjNRfA9KyQ4o/mGC6SKrlpOXY7+wIqgM0 SiEy7Wi+36/ZnwdWjSVAM0TyLBN24LOCI/uIu8knmzlFCtAYJFtQXf5Z nuE=
;; Received 669 bytes from 192.203.230.10#53(e.root-servers.net) in 25 ms

[root@vfx ~]# 

Je dois pouvoir faire "bouger" les lignes chez ce client.
Comment leur expliquer que leur serveur dns ne me répond pas  ?  (je suis bien désolé, je ne le vois pas clairement dans les traces)
Que peuvent-ils changer pour que ça fonctionne ?

Dernière modification par elbelo69 (25/02/2015 19:52:04)

Hors ligne

#12 25/02/2015 23:14:07

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Non ils ont rien à changer c'est plutôt normal ce comportement.

Donc ce qu'il se passe, quand on definit la zone client.fr en forwarder sur le DNS du client:
- ton resolver sur ta machine demande client.fr à ton serveur DNS
- celui-ci est certainement en mode recursif, et vu la conf va forwarder la demande aux IP que tu as mis en forward (IP du serveur DNS du client)
- celui-ci voit une demande du net, pour un domaine surement dédié à son réseau privé, il ne répond donc pas

En mode static-stub, que je connais moins, je voulais plutôt faire en sorte que ton serveur dise à ton resolver, "ok pour client.fr, va plutôt demander directement à cette adresse là". Et donc comme le resolver est sur le poste qui à accès au VPN ça aurait du passer. Mais c'est peut être pas ça le rôle du stub c'est pas clair...

Et l'IP_DNS_CLIENT que tu met dans ton named.conf elle est joignable comment depuis ton serveur OVH?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#13 26/02/2015 17:37:10

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Salut, excuse moi pour le suivie de la discussion : grippe oblige !

madko a écrit :

Mais c'est peut être pas ça le rôle du stub c'est pas clair...

Je suis d'accord .... et j'ai beau chercher, je ne trouve pas de documentation explicite sur ce mode.

madko a écrit :

Et l'IP_DNS_CLIENT que tu met dans ton named.conf elle est joignable comment depuis ton serveur OVH?

Elle n'est pas joignable.  Mon serveur OVH a une ip avec nom de domaine etc ..
IP_DNS_CLIENT est une IP uniquement valable sur le réseau de l'entreprise. Pour être plus précis, cette ip n'a même de sens que dans un VLAN spécifique de l'entreprise. Chaque VLAN ayant un un sous nom de domaine spécifique (vlan1.client.fr, vlan2.client.fr etc ..) avec pour chque VLAN un DHCP un DNS un DC etc ... pas de routage entre les VLAN.

Mais je ne vois pas le rapport ? A quoi penses-tu ?

Dernière modification par elbelo69 (26/02/2015 17:38:23)

Hors ligne

#14 26/02/2015 18:29:25

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

C'est assez important, si IP_DNS_CLIENT n'est pas joignable, pas la peine de configurer ton serveur DNS ovh pour forwarder dessus.

Donc soit ya un truc qui permet simplement de dire au client va voir à tel IP pour tel nom de domaine, mais que ça soit pas le serveur DNS qui fasse ce boulot (vu que l'ip est pas joignable depuis ton serveur). Et ça malheureusement, c'est le cas avec le forward.

Pour rappel c'est le mode de fonctonnement classique en récursif qui nous embete ici:
resolver client => demande de resolution => SERVEUR DNS (@ovh)
SERVEUR DNS (@ovh) => forward => IP_DNS_CLIENT (qui n'est donc pas joignable)
IP_DNS_CLIENT => reponse resolution => SERVEUR_DNS (@ovh)
SERVEUR_DNS (@ovh) => reponse resolution => resolver client

Ce qui faudrait c'est que pour la zone client.fr le serveur puisse être en mode non recursif, mais j'ai pas trouvé comment:

resolver client => demande de resolution => SERVEUR DNS (@ovh)
SERVEUR DNS (@ovh) => refait ta demande sur IP_DNS_CLIENT (car faiseant autorité sur la zone demandé) => resolver client
resolver client => demande de resolution => IP_DNS_CLIENT
IP_DNS_CLIENT => reponse resolution => resolver client

Ou autre possibilité, faire une route pour que ton Serveur OVH puisse joindre le IP_DNS_CLIENT via ton VPN...

Soit tu fais comme déjà suggéré plus haut, un serveur dns local sur ton poste qui se connecte au VPN, qui lui pourra pour la zone client forwarder sur IP_DNS_CLIENT vu que là je suppose que c'est joignable via le VPN? Un petit dnsmasq voire bind si tu prefères et ça roule. Ce sera la norme avec F22 d'avoir de toute façon un serveur DNS locale (pour DNSSEC), car c'est la seul façon de sécuriser les échanges entre les resolver et un serveur DNS.

Dernière modification par madko (26/02/2015 18:37:01)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#15 27/02/2015 13:31:48

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Bonjour,

Ou autre possibilité, faire une route pour que ton Serveur OVH puisse joindre le IP_DNS_CLIENT via ton VPN...

Pas possible, ça ne passera pas la gouvernance IT de cette société...

Oui, effectivement, j'avais lu ça (sur ton excellent  blog d’ailleurs)  que F22 embarquera un cache DNS local.
Je regarde pour mettre ça en place avec dnsmasq sur ma station de travail (il faut d'abord que je migre vers f21, je suis trjs en f20).
J'en profiterais pour faire une page dans le wiki Fedora smile (que tu voudras bien relire ? )

Je te tiens informé dès que j'avance sur le sujet.
Dans tout les cas, merci beaucoup pour le temps passé et pour tes explications !

Hors ligne

#16 27/02/2015 15:56:18

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Bon idée pour le wiki, pas de soucis!
Du temps passé sur ce sujet en effet mais qui est interessant. C'est un cas de figure qu'on doit pouvoir rencontrer régulièrement et j'aimerais bien le résoudre avec bind...


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#17 06/04/2015 20:18:53

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Bonjour Madko,

Me revoilà ! :o)
J'ai installé dnsmasq mais je ne vois pas comment je peux régler mon problème initiale avec ....

Hors ligne

#18 09/04/2015 14:18:47

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Tu as utilisé server=/domain du client/dns du client et ça fonctionne?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#19 09/04/2015 14:41:14

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Bonjour Madko,
Merci de revenir ! ;o)

Oui, j'ai installé dnsmasq et j'ai poussé un fichier dans /etc/dnsmasq.d/domain.conf

#domain-needed
expand-hosts
bogus-priv

interface=em1
domain=MONDOMAINE.fr
cache-size=256

server=/MONDOMAINE.FR/192.168.1.50
server=/DOMAINEDEMONCLIENT/10.1.2.4

Ou 192.168.1.50 et l'adresse de mon serveur bind sur mon LAN
et 10.1.2.4, l'adresse du DNS de la société ou je me connecte en VPN

Dans mon /etc/resolv.conf

search MONDOMAINE.FR
nameserver 127.0.0.1
nameserver <DNSFAI>
nameserver <DNSFAI>

Avec cette configuration, une fois connecté en VPN (openvpn) j'ai accès à la résolution de nom local (les machines sur mon LAN), la résolution de machine du domaine de la société chez qui je me connecte et bien entendu au machine sur Internet.
Je ne sais pas si c'est comme cela que tu voyais les choses ? mais comme ça, ça fonctionne...

Hors ligne

#20 09/04/2015 15:09:46

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] DNS et forwarders

Oui c'est exactement ça. J'aurais aimé reussir à le faire avec bind, je savais juste que c'était plus simple sous dnsmasq.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#21 09/04/2015 16:08:41

elbelo69
Membre
Lieu : Lyon
Inscription : 03/09/2007
Messages : 358

Re : [Résolu] DNS et forwarders

Encore merci pour d'une part la solution a mon problème et pour la discussion intéressante !
Je creuse encore dnsmasq et je ferais un article sur le wiki.
Je passe le sujet en résolu.

Dernière modification par elbelo69 (09/04/2015 16:08:58)

Hors ligne

Pied de page des forums