Re: [FRnOG] [TECH] Sous-zone DNS dédiée réseau interne via zone DNS gérée par tiers (eg. OVH)

Tue, 07 Sep 2021 02:42:52 -0700 

Bonjour,

bind est capable de gérer des vues locales pour un domaine

view "local" {
    match-clients { !key external; local; slavesv4; slavesv6; };
    recursion yes;
    allow-recursion { local; ipv4; ipv6; };

    zone "mondomaine.tld" {
        type master;
        file "mondomaine.local";
        allow-transfer { slavesv6; } ;
    };
};

view "external" {
    recursion no;

    match-clients { key external; any; };
    ....

Le 07/09/2021 à 11:28, DUVERGIER Claude a écrit :



Si vos DNS bind9 sont déjà les serveurs DNS qui répondent
aux machines sur votre réseau local, alors vous n’avez
strictement rien a faire du côté OVH.

C'est vrai, mais je voulais gérer l'éventuel cas où l'appareil
n'utiliserait pas mes serveurs DNS : il peut arriver qu'on change le
serveur DNS d'un appareil (pour 8.8.8.8, 9.9.9.9, etc. par exemple) pour
contourner un soucis temporaire et qu'on oublie de revenir à l'ancienne
adresse.

Mais j'avais oublié cette histoire de requête récursivement effectuée
par le résolveur comme l'a souligné jhadba...

Je doute qu'il n'y ait un moyen de dire « voici l'adresse du serveur qui
gère la zone "interne.ma_societe.com" mais n'essaie pas de le contacter,
retourne l'adresse au demandeur (et dit lui de se démerder) »...

Je vais donc faire sauter la configuration côté OVH (ou éventuellement
la laisser avec des valeurs bidon pour faire "placeholder").


Par ailleurs, l’utilisation du .local est vraiment à
bannir car il est réservé pour la résolution de noms
multicast (mDNS/Bonjour/RFC6762) [...]

Oui c'est notamment pour ces raisons que je veux m'en débarrasser.



Autre point important: DNSSEC. Si vous avez DNSSEC
d’activé sur votre domaine ma_societe.com alors ce que
vous cherchez à faire ne pourra pas fonctionner, à moins
de faire le nécessaire en mettant en place les clés qui
vont bien. Donc au moins dans un premier temps, pensez a
désactiver DNSSEC si ce n’est pas déjà le cas.

C'est un point que j'avais noté de regarder car c'est effectivement le cas.

Merci pour les explications.


--
Daniel Huhardeaux
[email protected]              sip:[email protected]
[email protected]                tootaiNET


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à