Le 11/02/2019 à 17:50, Thierry Chich a écrit : > La question n'est pas de savoir s'il peut, mais s'il doit. Et là, la > question peut-être plus trickie qu'il n'y parait. > > Donner deux noms avec des adresses différentes, ça ne pose que peu de > problèmes (à l'exception de quelques systèmes SSO). Donc le > corp.domaine pour le privé et le .domaine pour le public, ça passe > sans souci. > > En revanche, si publier en interne du privé pour .domaine et en > externe pour du public est très faisable, avec ou sans vues, ça peut > avoir des conséquences parfois un peu ennuyeuses. Le cas que je vois > et que je connais bien, c'est le cas où le concept d'"interne" est un > peu lâche. Tant qu'on est dans un LAN, ça se passe bien, mais si on > commence à avoir plein de sites distants dont le concept de "interne" > repose sur du VPN (ipsec par exemple), c'est un peu moins bien. > > Pourquoi ? > > Parce que souvent, on fait des VPN pour protéger quelques > applications. Mais on publie aussi des ressources vers internet (par > exemple la messagerie). Quand .domaine est du RFC1918 en interne, le > site distant relié par VPN ne pourra accéder à imaps.domaine que > lorsque le VPN est up. Ce qui est dommage, puisque la finalité du VPN, > c'était seulement de protéger erp.domaine. Et donc, on a une infra qui > se met à dépendre du VPN de manière beaucoup plus importante qu'elle > ne le devrait. > Et ça va pas s'arranger avec les applis qui font du DoH vers un truc externe dans le dos des admins...
Genre le firefox qui va aller demander à cloudflare et donc aura l'adresse externe en interne... --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
