Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Juan Isoza]

J'ai déja mis deux domaines toto.com et titi.fr sur les DNS cloudflare
(meme compte et meme clef API), et fait généré un unique certificat
wildcard par let's encrypt.
Ce certiticat fait à la fois toto.com, titi.fr, *.toto.com et *.titi.fr

Le jeu. 9 avr. 2020 à 10:36, Pierrick CHOVELON 
a écrit :

>  Bonjour la liste,
>
> Je vous expose une situation à laquelle on va être confrontés. On a des
> pistes de travail (genre pistes forestières pas bien débroussaillées où on
> a du mal à faire un pied devant l'autre sans se prendre une racine ...).
> N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils.
>
> On déploie des applications accessibles en HTTP/S sur des infra clients.
> Ces infras se trouver sur le réseau du client.
> Le client va ajouter un enregistrement dans son DNS interne pour
> résoudre *application.domaine.fr
> * (domaine interne du client) en IP interne
> (RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé
> dans le certificat HTTPS. On aura également besoin d'accéder à ces appli en
> web.
>
> Arrive donc la question : comment gérer (le plus "simplement" possible )
> la résolution de *application.domaine.fr *
> depuis chez nous en sachant que :
>
>- on accède aux applis à travers un VPN lan to lan, il y a donc
>peut-être du NAT si overlapping
>- on voudrait éviter de gérer deux certificats HTTPS
>
> Nos pistes de réflexions sont :
>
>- Ajouter un sous-domaine en interne pour accéder à ces applications ->
>mais gestion de deux certificats côté appli
>- Récupérer les infos sur le DNS client avec une délégation -> mais se
>pose le problème du NAT
>- Déporter la résolution DNS chez le client en utilisant un proxy web
>configuré au même endroit que l'appli -> très contraignant à
> l'utilisation
>- Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...
>...
>
> On a bien fait le tour de la question, et on pense qu'il n'y aura pas de
> solution magique.
> Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à
> maintenir.
>
> D'avance merci pour vos retours.
>
> Bonne journée.
> __
> *Pierrick CHOVELON I *Ingénieur système
>
> *Advanced Software I IT*
> +33 4 77 43 27 05
> <
> https://ligo.a-sis.eu/modules.php?op=modload=Annuaire=tel_TWSCaller=+33%204%2077%2043%2027%2005=CHOVELON%20Pierrick
> >
>
> pierrick.chove...@savoye.com
> *SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France*
> *Savoye recrute !  - *
> www.savoye.com
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Radu-Adrian Feurdean]

On Wed, Apr 15, 2020, at 08:51, Pierrick CHOVELON wrote:
> Oui c'est uniquement pour de l'interne. Pour la résilience, j'avais déjà ça
> en tête avec la répartition des différents serveurs dans nos DC.
> Mais pas du tout penser aux multi préfixes, à creuser donc.

Multi-DC sur un meme prefixe/subnet, si c'est un postulat de depart, il ne sert 
a rien d'aller plus loin dans la resilience.

L'idee d'avoir des DNS dans les prefixes differents, idealement dans des AS 
differents est de se premunir contre des pannes reseaux a differents niveaux. 
Si vous utilises le DNS pour resoudre les IP des services qui sont tous dans un 
immense niveau-2 inter-DC, pas la peine d'aller plus loin qu'un master et un 
slave, le plus grand SPOF (et le plus risque) c'est le L2 etendu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Pierrick CHOVELON]

Merci pour toutes vos réponses.

Ok pour la VIP.
Oui c'est uniquement pour de l'interne. Pour la résilience, j'avais déjà ça
en tête avec la répartition des différents serveurs dans nos DC.
Mais pas du tout penser aux multi préfixes, à creuser donc.

La plupart des enregistrements resteront publics effectivement.
Je ne sais pas encore en ce qui concerne les résolveurs. Faut-il mieux
avoir un slave/resolver ou alors bien distinguer les deux ?

Ok pour les outils, je vais aller voir tout ça. On utilise déjà phpIPAM.

Pierrick

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Jérôme BERTHIER via frnog]

Bonjour,

Le 14/04/2020 à 09:08, Pierrick CHOVELON a écrit :
-> 1 master avec plusieurs slaves qui partagerait une VIP histoire 
d'avoir de la redondances ?



Déjà dit par Phil Regnauld, une unique VIP sur un service DNS faisant 
autorité , c'est plutôt des contraintes inutiles à mon sens aussi.




-> 1 seul master avec 1 seul slave ?



oui par exemple (ou 1 master + n slaves sur n préfixes différents) ou un 
outil qui génère le contenu de la zone et le pousse directement sur tous 
les serveurs...


Si j'ai bien compris, ce serait une zone à visibilité purement interne 
de votre entité (pour modifier les entrées de celles proposées par le 
client).


Dans ce cas, la répartition multi-préfixes / AS parait moins critique 
mais ça reste nécessaire de cibler des infra différenciées pour avoir de 
la résilience...



-> Faut-il plutôt gérer une zone/*domaine.fr */ ou 
plutôt à chaque fois gérer la zone spéfifique /*application.domaine.fr 
*/ ? J'aurai tendance à dire la 
première. C'est ce que j'ai fait sur mes tests : j'arrivais à résoudre 
/application.domaine.fr / mais pas 
/domain.fr /. Probablement une mauvaise conf.



Je dirai que ça dépend si tout le contenu de domaine.fr est à visibilité 
interne uniquement ou si des enregistrements restent publics.


ça peut devenir ingérable d'avoir à faire le tri entre les 
enregistrements gérés par le client et d'autres par votre instance. Il 
vaut mieux cibler au plus restreint possible selon le cas.


Comment ce sera géré sur les resolvers ? ils seront slaves ? ou 
utiliseront-ils un forward ?



-> Des outils pour gérer tous les fichiers de zones ? Des astuces pour 
rendre cette gestion le plus logique/simple possible ?


PowerAdmin (ou phpIPAM par exemple) + PowerDNS pour gérer le SOA et 
alimenter le master Bind ?


ou plus simple une gestion de fichiers plat de zones orchestrée via 
puppet ou ansible par exemple ?



Bon courage

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Admin VGNETWORK]

Hello,

Pour le certificat tu peux prendre un multi-site avec plusieurs DNS dedans.
Un servername avec domaine internet
Et un serveralias avec le domaine externe
Tout cela dans le même vhost.

Jérôme

On 09/04/2020 10:35, Pierrick CHOVELON wrote:
>  Bonjour la liste,
>
> Je vous expose une situation à laquelle on va être confrontés. On a des
> pistes de travail (genre pistes forestières pas bien débroussaillées où on
> a du mal à faire un pied devant l'autre sans se prendre une racine ...).
> N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils.
>
> On déploie des applications accessibles en HTTP/S sur des infra clients.
> Ces infras se trouver sur le réseau du client.
> Le client va ajouter un enregistrement dans son DNS interne pour
> résoudre *application.domaine.fr
> * (domaine interne du client) en IP interne
> (RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé
> dans le certificat HTTPS. On aura également besoin d'accéder à ces appli en
> web.
>
> Arrive donc la question : comment gérer (le plus "simplement" possible )
> la résolution de *application.domaine.fr *
> depuis chez nous en sachant que :
>
>- on accède aux applis à travers un VPN lan to lan, il y a donc
>peut-être du NAT si overlapping
>- on voudrait éviter de gérer deux certificats HTTPS
>
> Nos pistes de réflexions sont :
>
>- Ajouter un sous-domaine en interne pour accéder à ces applications ->
>mais gestion de deux certificats côté appli
>- Récupérer les infos sur le DNS client avec une délégation -> mais se
>pose le problème du NAT
>- Déporter la résolution DNS chez le client en utilisant un proxy web
>configuré au même endroit que l'appli -> très contraignant à l'utilisation
>- Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...
>...
>
> On a bien fait le tour de la question, et on pense qu'il n'y aura pas de
> solution magique.
> Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à
> maintenir.
>
> D'avance merci pour vos retours.
>
> Bonne journée.
> __
> *Pierrick CHOVELON I *Ingénieur système
>
> *Advanced Software I IT*
> +33 4 77 43 27 05
> 
>
> pierrick.chove...@savoye.com
> *SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France*
> *Savoye recrute !  - *www.savoye.com
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Phil Regnauld]

Pierrick CHOVELON (pierrick.chovelon) writes:
> Salut,
> 
> Les premiers tests avec bind selon vos réponses sont concluants. Merci !
> 
> Quels seraient les bonnes manières pour faire tourner un bind dns en prod ?
> -> 1 master avec plusieurs slaves qui partagerait une VIP histoire d'avoir
> de la redondances ?
> -> 1 seul master avec 1 seul slave ?

N serveurs faisant autorité, le plus simple étant 1 primaire et 1
secondaire (master/slave en ancienne terminologie). Des IP dans des
préfixes distincts d'un point de vue de BGP (AS différentes).
Une VIP c'est deux oeufs dans le même panier, et ça introduit une
complexité inutile.

> -> Faut-il plutôt gérer une zone* domaine.fr * ou plutôt
> à chaque fois gérer la zone spéfifique *application.domaine.fr
> * ? J'aurai tendance à dire la première.

Ça dépend :)

> -> Des outils pour gérer tous les fichiers de zones ? Des astuces pour
> rendre cette gestion le plus logique/simple possible ?

PowerDNS et PowerAdmin mais c'est pas BIND :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Pierrick CHOVELON]

Salut,

Les premiers tests avec bind selon vos réponses sont concluants. Merci !

Quels seraient les bonnes manières pour faire tourner un bind dns en prod ?
-> 1 master avec plusieurs slaves qui partagerait une VIP histoire d'avoir
de la redondances ?
-> 1 seul master avec 1 seul slave ?
-> Faut-il plutôt gérer une zone* domaine.fr * ou plutôt
à chaque fois gérer la zone spéfifique *application.domaine.fr
* ? J'aurai tendance à dire la première.
C'est ce que j'ai fait sur mes tests : j'arrivais à résoudre
*application.domaine.fr
* mais pas *domain.fr *.
Probablement une mauvaise conf.
-> Des outils pour gérer tous les fichiers de zones ? Des astuces pour
rendre cette gestion le plus logique/simple possible ?

Merci
__
*Pierrick CHOVELON I *Ingénieur système

*Advanced Software I IT*
+33 4 77 43 27 05
pierrick.chove...@savoye.com
*SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France*
*Savoye recrute !  - *www.savoye.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Jérôme BERTHIER via frnog]

Bonjour,

Le 09/04/2020 à 10:35, Pierrick CHOVELON a écrit :

- Ajouter un sous-domaine en interne pour accéder à ces applications ->
mais gestion de deux certificats côté appli
- Récupérer les infos sur le DNS client avec une délégation -> mais se
pose le problème du NAT



ça parait être le plus simple.

Dans le cas où vous avez un NAT entre vous, il faudrait que le serveur 
faisant autorité côté client vous renvoie des enregistrements adaptés 
(depuis une zone différenciée du même domaine interne donc soit un 
serveur dédié, soit une gestion de vue).


sinon j'ai jamais testé (et ça fait pas rêver) mais certains pare-feux 
proposent un truc appelé "DNS doctoring" basé sur l'inspection DNS. En 
gros, si une IP est concernée par du NAT, le pare-feu modifie la réponse 
DNS :


- Cisco ASA : 
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115753-dns-doctoring-asa-config.html


- Juniper SRX : 
https://www.juniper.net/documentation/en_US/junos/topics/topic-map/security-dns-algs.html#id-understanding-dns-and-ddns-doctoring




- Déporter la résolution DNS chez le client en utilisant un proxy web
configuré au même endroit que l'appli -> très contraignant à l'utilisation
- Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...


Quitte à maintenir des entrées manuellement alors autant déclarer une 
zone pour le domaine client sur un serveur faisant autorité de votre 
côté (avec copie sur vos resolvers ou forward) et maintenir le mapping 
pour les cas où il y a du NAT, non ?



Bonne journée

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Michel Py]

> Kevin CHAILLY a écrit :
> Attention, si ton application est attaquée par un navigateur internet, 
> ceux-ci vont vouloir
> faire du DoH ( rien a voir avec Homer simpson ) et donc vont refuser 
> Split-horizon DNS 
> Il faut donc configurer ton serveur DNS pour désactiver DoH : 
> https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet 

Merci, çà m'a fait gagner du temps; c'était sur ma liste de gougler pour savoir 
comment faire çà.

Ici, split DNS aussi. AD/M$ DNS en interne, un serveur différent sous Linux 
pour l'externe.
Même certificat, donc que monserveur.maboite.com soit résolu avec une adresse 
privée quand on est local ou VPN ou avec une adresse publique pour les clients 
qui viennent de l'extérieur (et donc traversent NAT) çà marche.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Daniel via frnog]

Si le serveur DNS est bind (je ne connais que lui) le même domaine peut 
être résolu en vue locale (le client) et vue Internet (le monde)


Le 09/04/2020 à 10:35, Pierrick CHOVELON a écrit :

  Bonjour la liste,

Je vous expose une situation à laquelle on va être confrontés. On a des
pistes de travail (genre pistes forestières pas bien débroussaillées où on
a du mal à faire un pied devant l'autre sans se prendre une racine ...).
N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils.

On déploie des applications accessibles en HTTP/S sur des infra clients.
Ces infras se trouver sur le réseau du client.
Le client va ajouter un enregistrement dans son DNS interne pour
résoudre *application.domaine.fr
* (domaine interne du client) en IP interne
(RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé
dans le certificat HTTPS. On aura également besoin d'accéder à ces appli en
web.

Arrive donc la question : comment gérer (le plus "simplement" possible )
la résolution de *application.domaine.fr *
depuis chez nous en sachant que :

- on accède aux applis à travers un VPN lan to lan, il y a donc
peut-être du NAT si overlapping
- on voudrait éviter de gérer deux certificats HTTPS

Nos pistes de réflexions sont :

- Ajouter un sous-domaine en interne pour accéder à ces applications ->
mais gestion de deux certificats côté appli
- Récupérer les infos sur le DNS client avec une délégation -> mais se
pose le problème du NAT
- Déporter la résolution DNS chez le client en utilisant un proxy web
configuré au même endroit que l'appli -> très contraignant à l'utilisation
- Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...
...

On a bien fait le tour de la question, et on pense qu'il n'y aura pas de
solution magique.
Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à
maintenir.

D'avance merci pour vos retours.

Bonne journée.
__
*Pierrick CHOVELON I *Ingénieur système

*Advanced Software I IT*
+33 4 77 43 27 05


pierrick.chove...@savoye.com
*SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France*
*Savoye recrute !  - *www.savoye.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Question résolution DNS ... particulière ...

[Kevin CHAILLY | Service Technique]

Bonjour,

En local, ton serveur DNS ( AD par exemple ) résoudra vers ton applicatif ( 
split-horizon ) 
En VPN, tu peux selon ta solution VPN forcer le serveur DNS pour faire résoudre 
vers ton applicatif, il n'y a donc pas de problème de NAT. 
Le même nom pourra donc résoudre vers ton serveur. 

Attention, si ton application est attaquée par un navigateur internet, ceux-ci 
vont vouloir faire du DoH ( rien a voir avec Homer simpson ) et donc vont 
refuser Split-horizon DNS 

Il faut donc configurer ton serveur DNS pour désactiver DoH : 
https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet 

Kévin

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Pierrick 
CHOVELON
Envoyé : jeudi 9 avril 2020 10:35
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Question résolution DNS ... particulière ...

 Bonjour la liste,

Je vous expose une situation à laquelle on va être confrontés. On a des pistes 
de travail (genre pistes forestières pas bien débroussaillées où on a du mal à 
faire un pied devant l'autre sans se prendre une racine ...).
N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils.

On déploie des applications accessibles en HTTP/S sur des infra clients.
Ces infras se trouver sur le réseau du client.
Le client va ajouter un enregistrement dans son DNS interne pour résoudre 
*application.domaine.fr
<http://application.domaine.fr>* (domaine interne du client) en IP interne
(RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé dans le 
certificat HTTPS. On aura également besoin d'accéder à ces appli en web.

Arrive donc la question : comment gérer (le plus "simplement" possible )
la résolution de *application.domaine.fr <http://application.domaine.fr>* 
depuis chez nous en sachant que :

   - on accède aux applis à travers un VPN lan to lan, il y a donc
   peut-être du NAT si overlapping
   - on voudrait éviter de gérer deux certificats HTTPS

Nos pistes de réflexions sont :

   - Ajouter un sous-domaine en interne pour accéder à ces applications ->
   mais gestion de deux certificats côté appli
   - Récupérer les infos sur le DNS client avec une délégation -> mais se
   pose le problème du NAT
   - Déporter la résolution DNS chez le client en utilisant un proxy web
   configuré au même endroit que l'appli -> très contraignant à l'utilisation
   - Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...
   ...

On a bien fait le tour de la question, et on pense qu'il n'y aura pas de 
solution magique.
Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à 
maintenir.

D'avance merci pour vos retours.

Bonne journée.
__
*Pierrick CHOVELON I *Ingénieur système

*Advanced Software I IT*
+33 4 77 43 27 05
<https://ligo.a-sis.eu/modules.php?op=modload=Annuaire=tel_TWSCaller=+33%204%2077%2043%2027%2005=CHOVELON%20Pierrick>

pierrick.chove...@savoye.com
*SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France* *Savoye 
recrute ! <https://careers.savoye.com/#!/fr/index> - *www.savoye.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Question résolution DNS ... particulière ...

[Pierrick CHOVELON]

 Bonjour la liste,

Je vous expose une situation à laquelle on va être confrontés. On a des
pistes de travail (genre pistes forestières pas bien débroussaillées où on
a du mal à faire un pied devant l'autre sans se prendre une racine ...).
N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils.

On déploie des applications accessibles en HTTP/S sur des infra clients.
Ces infras se trouver sur le réseau du client.
Le client va ajouter un enregistrement dans son DNS interne pour
résoudre *application.domaine.fr
* (domaine interne du client) en IP interne
(RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé
dans le certificat HTTPS. On aura également besoin d'accéder à ces appli en
web.

Arrive donc la question : comment gérer (le plus "simplement" possible )
la résolution de *application.domaine.fr *
depuis chez nous en sachant que :

   - on accède aux applis à travers un VPN lan to lan, il y a donc
   peut-être du NAT si overlapping
   - on voudrait éviter de gérer deux certificats HTTPS

Nos pistes de réflexions sont :

   - Ajouter un sous-domaine en interne pour accéder à ces applications ->
   mais gestion de deux certificats côté appli
   - Récupérer les infos sur le DNS client avec une délégation -> mais se
   pose le problème du NAT
   - Déporter la résolution DNS chez le client en utilisant un proxy web
   configuré au même endroit que l'appli -> très contraignant à l'utilisation
   - Rester sur la modif de notre fichier /etc/hosts à la main ... ... ...
   ...

On a bien fait le tour de la question, et on pense qu'il n'y aura pas de
solution magique.
Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à
maintenir.

D'avance merci pour vos retours.

Bonne journée.
__
*Pierrick CHOVELON I *Ingénieur système

*Advanced Software I IT*
+33 4 77 43 27 05


pierrick.chove...@savoye.com
*SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France*
*Savoye recrute !  - *www.savoye.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/