Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

Thu, 09 Apr 2020 01:49:25 -0700

Si le serveur DNS est bind (je ne connais que lui) le même domaine peut être résolu en vue locale (le client) et vue Internet (le monde) 

Le 09/04/2020 à 10:35, Pierrick CHOVELON a écrit :

  Bonjour la liste,

Je vous expose une situation à laquelle on va être confrontés. On a des
pistes de travail (genre pistes forestières pas bien débroussaillées où on
a du mal à faire un pied devant l'autre sans se prendre une racine 🙃...).
N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils.

On déploie des applications accessibles en HTTP/S sur des infra clients.
Ces infras se trouver sur le réseau du client.
Le client va ajouter un enregistrement dans son DNS interne pour
résoudre *application.domaine.fr
<http://application.domaine.fr>* (domaine interne du client) en IP interne
(RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé
dans le certificat HTTPS. On aura également besoin d'accéder à ces appli en
web.

Arrive donc la question : comment gérer (le plus "simplement" possible 😎)
la résolution de *application.domaine.fr <http://application.domaine.fr>*
depuis chez nous en sachant que :

    - on accède aux applis à travers un VPN lan to lan, il y a donc
    peut-être du NAT si overlapping
    - on voudrait éviter de gérer deux certificats HTTPS

Nos pistes de réflexions sont :

    - Ajouter un sous-domaine en interne pour accéder à ces applications ->
    mais gestion de deux certificats côté appli
    - Récupérer les infos sur le DNS client avec une délégation -> mais se
    pose le problème du NAT
    - Déporter la résolution DNS chez le client en utilisant un proxy web
    configuré au même endroit que l'appli -> très contraignant à l'utilisation
    - Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...
    ...

On a bien fait le tour de la question, et on pense qu'il n'y aura pas de
solution magique.
Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à
maintenir.

D'avance merci pour vos retours.

Bonne journée.
______________________________
*Pierrick CHOVELON I *Ingénieur système

*Advanced Software I IT*
+33 4 77 43 27 05
<https://ligo.a-sis.eu/modules.php?op=modload&name=Annuaire&file=tel_TWSCaller&TEL=+33%204%2077%2043%2027%2005&nom=CHOVELON%20Pierrick>

pierrick.chove...@savoye.com
*SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France*
*Savoye recrute ! <https://careers.savoye.com/#!/fr/index> - *www.savoye.com

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net              sip:8...@sip.tootai.net
+41.445532...@swiss-itech.ch                tootaiNET


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à