Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Youssef Ghorbal]

> Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela 
> dont on parle) c'est :
> 1 - partir d'un domaine "racine" publique (example.com), sinon ca va être 
> compliqué/impossible d'utiliser les produits Cloud de Microsoft
> 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de 
> domaines... idéalement sur des AS différents
> 3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, 
> etc... donc en IP privées
> 4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS 
> interne sinon il faut faire les modifs sur tes DNS pub et sur ton DNS interne
> 5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, 
> alors tu crées corp.example.com sur le DNS pub et tu crées uniquement le 
> record nécessaire
>
> Voilà, là c'est propre et safe...

Jusqu'au jour ou tu installes Lync/Skype For Business (ou son future
nom quand un marketeux aura change d'avis) Ce machin oblige pour
fonctionner d'avoir des enregistrements sur la zone racine example.com
avec des contraintes a la con :
- ceux qui doivent l'etre de l'extreieur et pas de l'interieur.
- ceux qui doivent l'etre de l'interieur et pas de l'exterieur
- ceux qui sont visible de l'intereiur et de l'exterieur mais avec des
IPs differentes.

Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il
devrait y avoir des lois contre ca.

On a ete oblige d'introduire un split DNS rien que pr ca (et qui
depuis n'a servi que pour ca)

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre

[Arnaud Launay]

Le Sat, Feb 09, 2019 at 03:10:56PM +0100, Nico a écrit:
> @Fabien : je reçois bien le SMS mensuel, mais rien reçu pour le reste

Ici on a bien reçus les SMS... Par contre, ce n'est pas
franchement très bien filtré.

On a deux liens en location par chez eux pour relier DC2 et DC3,
et rien chez scaleway. Du coup, que leurs services soient HS,
quelque part, je m'en moque autant que de savoir si le trombone
trouvé dans mon pantalon il y a deux semaines était dans la poche
droite ou la poche gauche.

Par contre, le fait que le lien est tombé à 14h14 hier, qu'il est
toujours down, et qu'aucune communication n'ait été faite là-dessus,
ça, ça me pose plus de problèmes.

C'est bien de faire du nuage, mais il faudrait voir à ne pas
oublier les clients datacentres "historiques"...

Et, non, je n'ai pas ouvert de ticket auprès du NOC, dans le cas
présent, une communication générale serait plus adaptée que du
cas pas cas. 'Fin bon, j'espère que ce sera réparé pour lundi
matin, avant que la pelleteuse ne coupe l'autre câble.

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

>> Stephane Bortzmeyer a écrit :
>> Un serveur de courrier en interne ? On est encore en 1995 ? De nos jours, 
>> tout le
>> monde (en tout cas toute la startup nation) a le> courrier sur Outlook ou 
>> sur Gail.

> Raphael Mazelier a écrit :
> En Sas oui. De nos jours il faut vraiment challenger le fait de Hoster ses 
> services internes. Il peut y
> avoir de bonnes raisons (sécurité, prix) mais c'est tout de même assez 
> difficile et coûteux à bien faire.

Il y a eu un fil ici récemment à propos des couts de Datacenter, je ne suis pas 
le seul à maintenir une infra en interne parce ce c'est moins cher. On est pas 
une startup. Et en ce qui concerne la sécurité, si çà ne vous dérange pas 
d'avoir vos données dans une colo dont vous ne savaient même pas ou elle est et 
ou GAFA et la NSA ont les clés, tant mieux.


Avec du L2L à travers d'un SD-WAN qui passe par Tombouctou, c'est encore mieux.


On a Exchange et Outlook, comme beaucoup d'autres; et c'est hors de question 
que çà sorte à l'extérieur.

> Stephane Bortzmeyer a écrit :
> Oui, à l'époque du BYOD et du télétravail, ça devient vite difficile à 
> déboguer. (Sauf
> si on a des règles très strictes comme à l'ANSSI, avec zéro BYOD et zéro 
> télétravail.)

Chez nous c'est interdit d'avoir son téléphone mobile perso sur soi, dans la 
salle. Laisse dans la voiture.

> Avoir des serveurs en internes, c'est pour les plus de 50 ans.

Je plaide coupable. Mon domaine AD perso a été crée avec NT 4.0 (quand j'ai 
décidé de laisser tomber Netware). C'est un .local, çà ne m'empêche pas d'avoir 
un .us et deux .com de "vanité" avec les certificats qui vont bien.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

On 09/02/2019 11:53, Stephane Bortzmeyer wrote:


Un serveur de courrier en interne ? On est encore en 1995 ? De nos
jours, tout le monde (en tout cas toute la startup nation) a le
courrier sur Outlook ou sur Gmail.




En Saas oui.
De nos jours il faut vraiment challenger le fait de hoster ses services 
internes. Il peut y avoir de bonnes raisons (sécurité, prix) mais c'est 
tout de même assez difficile et coûteux à bien faire.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre

[Nico]

@Pierre-Yves : Merci pour le lien



@Fabien : je reçois bien le SMS mensuel, mais rien reçu pour le reste







De : Pierre-Yves Kerembellec [mailto:py.kerembel...@gmail.com]
Envoyé : samedi 9 février 2019 13:37
À : frnog-m...@frnog.org
Cc : Nico; Fabien L
Objet : Re: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre



Bonjour,



Sinon il y a toujours status.scaleway.com avec toutes les informations en temps 
réel.

(scroller un peu vers le bas pour trouver le sujet "[DC2] Partial network 
outage")





Bonjour,

De mon côté, j'ai reçu régulièrement des updates par SMS. J'avais renseigné
les informations dans leur interface DC au préalable.

Bonne journée et bon courage,
Fabien

Le sam. 9 févr. 2019 à 13:10, Nico  a écrit :




Bonjour,

Iliad / scaleway a subit une coupure de fibre entre DC2 / DC3 hier.

Ils sont en cours de réparation : bon courage à eux.

Le routage est opérationnel et est revenu très rapidement (bravo) mais
concernant les liaisons d’interco de dc2 vers dc3… silence total.

A aucun moment, en tant que client, nous n’avons reçu d’information pour
signaler la panne.

Est-ce une pratique courante ? Peut-on considérer que Twitter est une
source
d’information à destination des clients fiable ?

Trouvez-vous normal de ne recevoir aucunes réponses aux mails ?

Merci  pour vos retour, cela va me permettre de me forger une opinion et /
ou de casser un sentiment négatif qui monte…

Nico



Bonne journée,

Pierre-Yves





---
L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel 
antivirus Avast.
https://www.avast.com/antivirus

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre

[Pierre-Yves Kerembellec]

Bonjour,

Sinon il y a toujours status.scaleway.com  avec 
toutes les informations en temps réel.
(scroller un peu vers le bas pour trouver le sujet "[DC2] Partial network 
outage")

> Bonjour,
> 
> De mon côté, j'ai reçu régulièrement des updates par SMS. J'avais renseigné
> les informations dans leur interface DC au préalable.
> 
> Bonne journée et bon courage,
> Fabien
> 
> Le sam. 9 févr. 2019 à 13:10, Nico  a écrit :
> 
>> Bonjour,
>> 
>> Iliad / scaleway a subit une coupure de fibre entre DC2 / DC3 hier.
>> 
>> Ils sont en cours de réparation : bon courage à eux.
>> 
>> Le routage est opérationnel et est revenu très rapidement (bravo) mais
>> concernant les liaisons d’interco de dc2 vers dc3… silence total.
>> 
>> A aucun moment, en tant que client, nous n’avons reçu d’information pour
>> signaler la panne.
>> 
>> Est-ce une pratique courante ? Peut-on considérer que Twitter est une
>> source
>> d’information à destination des clients fiable ?
>> 
>> Trouvez-vous normal de ne recevoir aucunes réponses aux mails ?
>> 
>> Merci  pour vos retour, cela va me permettre de me forger une opinion et /
>> ou de casser un sentiment négatif qui monte…
>> 
>> Nico


Bonne journée,
Pierre-Yves


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre

[Fabien L]

Bonjour,

De mon côté, j'ai reçu régulièrement des updates par SMS. J'avais renseigné
les informations dans leur interface DC au préalable.

Bonne journée et bon courage,
Fabien

Le sam. 9 févr. 2019 à 13:10, Nico  a écrit :

> Bonjour,
>
>
>
> Iliad / scaleway a subit une coupure de fibre entre DC2 / DC3 hier.
>
>
>
> Ils sont en cours de réparation : bon courage à eux.
>
>
>
> Le routage est opérationnel et est revenu très rapidement (bravo) mais
> concernant les liaisons d’interco de dc2 vers dc3… silence total.
>
>
>
> A aucun moment, en tant que client, nous n’avons reçu d’information pour
> signaler la panne.
>
> Est-ce une pratique courante ? Peut-on considérer que Twitter est une
> source
> d’information à destination des clients fiable ?
>
>
>
> Trouvez-vous normal de ne recevoir aucunes réponses aux mails ?
>
>
>
> Merci  pour vos retour, cela va me permettre de me forger une opinion et /
> ou de casser un sentiment négatif qui monte…
>
>
>
> Nico
>
>
>
> ---
> L'absence de virus dans ce courrier électronique a été vérifiée par le
> logiciel antivirus Avast.
> https://www.avast.com/antivirus
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Iliad / Scaleway - Pb de fibre

[Nico]

Bonjour,



Iliad / scaleway a subit une coupure de fibre entre DC2 / DC3 hier.



Ils sont en cours de réparation : bon courage à eux.



Le routage est opérationnel et est revenu très rapidement (bravo) mais
concernant les liaisons d’interco de dc2 vers dc3… silence total.



A aucun moment, en tant que client, nous n’avons reçu d’information pour
signaler la panne.

Est-ce une pratique courante ? Peut-on considérer que Twitter est une source
d’information à destination des clients fiable ?



Trouvez-vous normal de ne recevoir aucunes réponses aux mails ?



Merci  pour vos retour, cela va me permettre de me forger une opinion et /
ou de casser un sentiment négatif qui monte…



Nico



---
L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel 
antivirus Avast.
https://www.avast.com/antivirus

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Stephane Bortzmeyer]

On Fri, Feb 08, 2019 at 07:17:56PM +,
 Michel Py  wrote 
 a message of 29 lines which said:

> Il y a des trucs que je fais depuis la nuit des temps, comme par
> exemple d'utiliser .local pour les domaines Windows / Active
> Directory, çà fait hurler les puristes du DNS mais çà a toujours
> fonctionné très bien pour moi.

« Puriste », ce sont les gens qui veulent du travail bien fait ? Pas
le bricolage indémerdable qui plantera ton successeur quand il
essaiera de comprendre ce qui se passe ? Si c'est ça, je rejoins la
#teamPuriste.

> Par exemple mail.maboite.fr ou chat.maboite.fr avec les portables et
> les mobiles, c'est bien pratique que çà résout de manière différente
> quand le portable/mobile est connecté au bureau sur le réseau
> interne ou quand il est sur cellulaire avec une IP publique.

Un serveur de courrier en interne ? On est encore en 1995 ? De nos
jours, tout le monde (en tout cas toute la startup nation) a le
courrier sur Outlook ou sur Gmail.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Stephane Bortzmeyer]

On Fri, Feb 08, 2019 at 06:06:45PM +0100,
 Raphael Mazelier  wrote 
 a message of 42 lines which said:

> Premier pattern/conseil : il est plus que vivement souhaitable
> d'utiliser un vrai domaine/sous domaine que tu possède pour de
> l'adressage interne.

Pas « plus que vivement souhaitable » : impératif, sauf si on déteste
son successeur et qu'on veut lui pourrir la vie quand, dans trois ans,
la boîte sera rachetée ou fusionnera ou quand le TLD sera délégué.

> Contre exemple (à ne faire pas donc) : corp.local, corp.lan (en
> admettant que ces TLD n'existent pas, ce qui est peut être faux).

.local existe et est réservé pour autre chose. .lan n'existe pas mais
pourrait être délégué dans deux, trois, quatre ans.

> En revanche je serais plus réservé sur le fait de résoudre deux
> choses différentes selon ta localisation réseau :
> 
> Exemple :
> service.corp.com => 1.2.3.4 (depuis internet)
> service.corp.com => 10.20.30.40 (depuis un réseau local)
> 
> C'est vite source d'ennui et de non clarté.

Oui, à l'époque du BYOD et du télétravail, ça devient vite difficile à
déboguer. (Sauf si on a des règles très strictes comme à l'ANSSI, avec
zéro BYOD et zéro télétravail.)

De toute façon, de nos jours, toutes les boites mettent toutes
les ressources internes sur le claoud états-unien, et se moquent du
RGPD, non ? Avoir des serveurs en internes, c'est pour les
plus de 50 ans.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Stephane Bortzmeyer]

On Fri, Feb 08, 2019 at 05:33:27PM +0100,
 Paul Rolland (ポール・ロラン)  wrote 
 a message of 30 lines which said:

> Avec le systeme de vues, tu peux tout a fait avoir des zones qui n'ont pas
> le meme contenu, et qui ne presente donc pas les memes informations a des
> utilisateurs qui seraient internes ou externes.

Nul besoin d'utiliser les vues pour cela. Les vues, c'est spécifique à
BIND, c'est compliqué et c'est difficile à déboguer.

Ça avait un sens quand on avait peu de machines. De nos jours, avec
les VM, les containers et le Raspberry Pi comme serveur DNS, on n'a
plus besoin de mettre zones internes et externes sur la même adresse
IP.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Willy MANGA]

Bonjour,


si le problème de fond est d'autoriser ou pas d'atteindre une cible
suivant d'où on vient, une des solutions serait de rajouter des adresses
IPv6 (unicast) partout. Tu aurais une seule entrée dans le fichier de
zone et le plus important est d'avoir des règles de filtrage correctes ;)


Le 08/02/2019 à 15:27, AYANIDES, Jean-Philippe a écrit :
> Bonjour,
> 
> je n'arrive pas à trouver une réponse justifiée à la question suivante, alors 
> je m'adresse à vous sur conseil de mes collègues (désolé si ce sont des 
> questions bêtes et rebattues, je n'ai rien trouvé dans les archives de la 
> frnog) :
> 
> dans le cadre d'une organisation example.com, à supposer que la zone 
> corp.example.com ne soit pas répliquée dans les DNS publiques  example.com 
> ouverts sur internet, est-il possible et/ou non déconseillé, dans les DNS 
> internes 
> 
> - de résoudre un enregistrement A a.corp.example.com en adresse privée ? (de 
> façon générale, on a tendance à utiliser des noms locaux avec un TLD .local 
> mais l'IETF ne le recommande pas, cf. 
> https://tools.ietf.org/html/rfc6762#appendix-G).
> 
> - de résoudre un même SOA corp.example.com avec une adresse IP privée depuis 
> le DNS interne privé et une adresse publique depuis le serveur DNS interne 
> publique ?
> 
> - de résoudre certains enregistrements A du domaine corp.example.com en 
> adresses publiques et d'autres en adresses privées ?
> 
> Si rien n'est possible proprement, quelle alternative peut-on trouver ? 
> faut-il segmenter en nommant par exemple tout ce qui est adressage publique 
> en pub.corp.example.com et tout ce qui est en adressage privé en 
> priv.example.com ?
> 
> Je vous avoue que je ne suis pas familier avec la RFC…
> 
> Merci
> 
> Jean-Philippe


-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



signature.asc
Description: OpenPGP digital signature