Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

Donc le pronostic c’est que Meraki sera à vendre dans pas longtemps pour 200M$ ?

David Ponzone



Le 13 févr. 2019 à 20:26, Michel Py  a 
écrit :

>>> Michel Py a écrit :
>>> Il y a un précédent : Linksys. Cisco n'avait probablement pas anticipé
>>> le success de Linksys et qu'on pouvait faire un "routeur" à 50 €, pour
>>> éviter que Linksys ne devienne trop gros et ne commence à venir bouffer
>>> sur leur marché ils ont acheté. Pour contrôler, pas pour assimiler.
> 
>> Erwan David a écrit :
>> Il y en a d'autres, NDS revendue au bout de 5 ans à ses propriétaires 
>> d'origine...
> 
> Même combat, et NDS c'était des milliards de dollars, bien plus que les 500 
> malheureux millions pour acheter Linksys.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

>> Michel Py a écrit :
>> Il y a un précédent : Linksys. Cisco n'avait probablement pas anticipé
>> le success de Linksys et qu'on pouvait faire un "routeur" à 50 €, pour
>> éviter que Linksys ne devienne trop gros et ne commence à venir bouffer
>> sur leur marché ils ont acheté. Pour contrôler, pas pour assimiler.

> Erwan David a écrit :
> Il y en a d'autres, NDS revendue au bout de 5 ans à ses propriétaires 
> d'origine...

Même combat, et NDS c'était des milliards de dollars, bien plus que les 500 
malheureux millions pour acheter Linksys.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Erwan David]

Le 13/02/2019 à 16:38, Michel Py a écrit :
>> David Ponzone a écrit :
>> Je pense que c’est pour ça que Cisco a racheté Meraki à ce prix à l’époque,
> Cisco ils font ce qu'ils ont toujours fait : si une boite plus petite innove 
> plus vite qu'ils ne le peuvent, ils l'achètent pour ne pas perdre le contrôle 
> du marché.
>
>> et qu'à ma connaissance c’est la première fois qu’au bout de plusieurs
>> années, ils n’ont pas complètement absorbé la boite acquise.
> Il y a un précédent : Linksys. Cisco n'avait probablement pas anticipé le 
> succès de Linksys et qu'on pouvait faire un "routeur" à 50 €, pour éviter que 
> Linksys ne devienne trop gros et ne commence à venir bouffer sur leur marché 
> ils ont acheté. Pour contrôler, pas pour assimiler.
>
Il y en a d'autres, NDS revendue au bout de 5 ans à ses propriétaires
d'origine...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

>> Michel Py a écrit :
>> Il y a un précédent : Linksys. Cisco n'avait probablement pas anticipé le 
>> succès de Linksys et
>> qu'on pouvait faire un "routeur" à 50 €, pour éviter que Linksys ne devienne 
>> trop gros et ne
>> commence à venir bouffer sur leur marché ils ont acheté. Pour contrôler, pas 
>> pour assimiler.

> David Ponzone a écrit :
> Oui mais de mémoire, ils ont fait disparaitre le nom Linksys assez vite non ?
> En moins de 2 ans il me semble, c’était devenu Cisco Small Business ou un 
> truc du genre.

Non, jamais complètement. Ils n'ont jamais complètement assimilé Linksys, et 
l'ont revendu plus tard.
Linksys est toujours là, c'est Belkin qui est derrière maintenant. Exactement 
ou Cisco les voulait : à faire le routeur de Claude Michu mais pas plus.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

Oui mais de mémoire, ils ont fait disparaitre le nom Linksys assez vite non ?
En moins de 2 ans il me semble, c’était devenu Cisco Small Business ou un truc 
du genre.

> 
> Il y a un précédent : Linksys. Cisco n'avait probablement pas anticipé le 
> succès de Linksys et qu'on pouvait faire un "routeur" à 50 €, pour éviter que 
> Linksys ne devienne trop gros et ne commence à venir bouffer sur leur marché 
> ils ont acheté. Pour contrôler, pas pour assimiler.
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

> David Ponzone a écrit :
> Je pense que c’est pour ça que Cisco a racheté Meraki à ce prix à l’époque,

Cisco ils font ce qu'ils ont toujours fait : si une boite plus petite innove 
plus vite qu'ils ne le peuvent, ils l'achètent pour ne pas perdre le contrôle 
du marché.

> et qu'à ma connaissance c’est la première fois qu’au bout de plusieurs
> années, ils n’ont pas complètement absorbé la boite acquise.

Il y a un précédent : Linksys. Cisco n'avait probablement pas anticipé le 
succès de Linksys et qu'on pouvait faire un "routeur" à 50 €, pour éviter que 
Linksys ne devienne trop gros et ne commence à venir bouffer sur leur marché 
ils ont acheté. Pour contrôler, pas pour assimiler.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

>> Julien PAULI a écrit :
>> Aujourd'hui, on construit le parc, et on te donne les clés pour le manager. 
>> Mais
>> notre métier quelque part, c'est bien de construire le parc non ?. Si tous 
>> les
>> parcs se ressemblent en mode copié/collé, où est l'interêt du métier ?

Le métier est en train de se perdre.

> David Ponzone a écrit :
> D’ailleurs, est-ce que la raison d’être d’un tel produit, c’est le manque
> de personnel qualifié aux USA pour gérer ce type d’équipements ? Michel ?

Je ne pense pas que çà soit très différent de la France. Le problème, comme 
toujours, c'est que le personnel qualifié il faut le payer. On se retrouve dans 
le cas ou les dirigeants qui n'y comprennent rien ne veulent pas payer un ingé 
compétent. Ils embauchent donc un charlot qui ne peut rien faire sans que le 
vendeur ne la lui tienne, et comme çà ne marche pas comme ils ont lu dans la 
revue chez le dentiste, ils succombent aux sirènes du cloud ou du Meraki. Coté 
recruteurs ce n'est pas mieux, ils regardent les mots-clés dans le CV et pas 
plus.

Meraki et le cloud et le xaas, c'était inévitable et çà va continuer : le 
personnel qualifié coute trop cher. Finalement, çà ne me dérange pas : la boite 
qui prend du Meraki, çà ne m'enlève pas mon boulot; ils ne comprennent pas ce 
que je peux leur apporter. Cà va pas être facile pour les jeunes qui entrent 
dans le métier.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

Hmmm c’est quand même pas la faute de Meraki si aucun constructeur n’avait eu 
l’idée de fournir un outil de provisioning/monitoring couvrant les APs, les 
switchs et les firewalls pour faciliter la vie de l’admin ?
Quand t’as 1000 APs, 200/300 switchs et 50 firewalls sur 50 sites, ça aide 
quand même.
Le boulot de l’admin, c’est pas de faire le SSH ou HTTPS sur l’équipement, 
c’est d’y faire le changement qu’i veut faire.
Je pense que c’est pour ça que Cisco a racheté Meraki à ce prix à l’époque, et 
qu'à ma connaissance c’est la première fois qu’au bout  de plusieurs années, 
ils n’ont pas complètement absorbé la boite acquise. Le nom est toujours mis en 
avant, et les équipes sont toujours à San Francisco, donc pas chez Cisco.
D’ailleurs, est-ce que la raison d’être d’un tel produit, c’est le manque de 
personnel qualifié aux USA pour gérer ce type d’équipements ? Michel ?

Après, je comprends qu’on bloque sur cet aspect du Cloud très ingérant, c’est 
un choix stratégique qui peut coûter cher (d’autant plus que les switchs sont à 
un niveau de prix assez élevé pour ne pas concurrencer Cisco Legacy, donc pas 
pour tout le monde).

> Le 12 févr. 2019 à 10:14, julien PAULI  a écrit :
> 
> Ahh Meraki ... C'est fabuleux ça aussi.
> 
> 
> Aujourd'hui, on construit le parc, et on te donne les clés pour le manager.
> Mais notre métier quelque part, c'est bien de construire le parc non ?. Si
> tous les parcs se ressemblent en mode copié/collé, où est l'interêt du
> métier ?
> 
> 
> Julien
> 
> 
> 
> On Tue, Feb 12, 2019 at 9:23 AM Philippe ASTIER <
> phili...@astier-consulting.fr> wrote:
> 
>> Oui, on est 1000% d’accord.
>> 
>> Le tout cloud que je vois chez certain de mes clients m’inquiète.
>> Certains on même leur infra réseau en Meraki, donc même leurs switchs sont
>> gérés par le cloud...
>> 
>>> Le 12 févr. 2019 à 09:14, Thierry Chich 
>> a écrit :
>>> 
>>> 
>>> Le 10/02/2019 à 14:33, Raphael Mazelier a écrit :
 Je pense que c'est un vrai décision d'entreprise.
>> Coût/disponibilité/sécurité/temps. Il y a des contextes ou avoir tout ses
>> mails/documents/im en Saas est complètement acceptable, comme l'inverse.
 
 Le seul truc que je dis c'est que c'est n'a pas du tout trivial et peu
>> coûteux d'héberger des services en interne.
 
>>> Tout à fait.
>>> 
>>> Du point de vue de l'état, c'est aussi une question de souveraineté.
>> L'arrivée de Trump a montré que cette question n'est pas subsidiaire. Après
>> tout, on a eu des taxes sur l'acier, ne pourrait pas voir des taxes sur les
>> services, en réaction aux taxes GAFA de l'Europe ?
>>> 
 --
 Raphael Mazelier
>>> --
>>> 
>>> 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/ 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Philippe ASTIER]

Je comprends le point de vue ! J’ai déjà géré un MPLS sur 155 sites et fait 
plusieurs déménagements, donc je connais, ne t’en fais pas. :)

Oui, segmenter a du sens.
Mais je gère aussi des clients qui ont des fermes video, des backbone à 20, 40 
Gb/s. Je peux pas me permettre de passer ça au travers d’un routeur ou firewall 
(qui plus est en cluster), les coûts exploseraient.

En général, j’essaie de garder les services aussi proches que possible. C’est 
bon pour la latence, et j’évite de faire transiter les paquets par des infras 
quand ça n’a pas lieu d’être.

Après, une nouvelle fois, faut pas trop généraliser. Après tout, on est là pour 
ça, faire du sur mesure. :)

Tu as raison, segmenter les services, en plus, c’est bien pour la sécu.


> Le 12 févr. 2019 à 10:28, Raphael Mazelier  a écrit :
> 
> On 12/02/2019 09:21, Philippe ASTIER wrote:
>> Justement, si on passe par l’IP privée, pas besoin de passer par le 
>> tuteur/firewall. Si on n’utilise que l’IP publique, on passe forcément par 
>> le routeur pour du trafic interne. Pour moi, ce n’est pas logique.
>> Reprenez ce que j’ai dit : si j’ai 100 Gb/s en interne, dois-je dimensionner 
>> mes firewall pour un traffic de 100 Gb/s ?
>> Bon, en fait, le souci de toute notre discussion, c’est qu’on parle en 
>> termes très généraux, et que l’implantation réelle sera différente selon les 
>> sites.
>> Moi je ne vois pas l’intérêt de surcharger mon infra qui donne sur 
>> l’extérieur par du trafic qui doit rester interne.
> 
> Comme je le disais c'est parce que tu raisonnes en pensant que tes services 
> IT locaux sont sur le même réseau (ou pas loin) que tes utilisateurs. C'est 
> globalement une mauvaise idée. Mieux vaut complètement segmenter cela.
> 
> (le jour ou tu déménagera de locaux tu comprendras)
> 
> --
> Raphael Mazelier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

On 12/02/2019 09:21, Philippe ASTIER wrote:

Justement, si on passe par l’IP privée, pas besoin de passer par le 
tuteur/firewall. Si on n’utilise que l’IP publique, on passe forcément par le 
routeur pour du trafic interne. Pour moi, ce n’est pas logique.

Reprenez ce que j’ai dit : si j’ai 100 Gb/s en interne, dois-je dimensionner 
mes firewall pour un traffic de 100 Gb/s ?

Bon, en fait, le souci de toute notre discussion, c’est qu’on parle en termes 
très généraux, et que l’implantation réelle sera différente selon les sites.

Moi je ne vois pas l’intérêt de surcharger mon infra qui donne sur l’extérieur 
par du trafic qui doit rester interne.



Comme je le disais c'est parce que tu raisonnes en pensant que tes 
services IT locaux sont sur le même réseau (ou pas loin) que tes 
utilisateurs. C'est globalement une mauvaise idée. Mieux vaut 
complètement segmenter cela.


(le jour ou tu déménagera de locaux tu comprendras)

--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[julien PAULI]

Ahh Meraki ... C'est fabuleux ça aussi.


Aujourd'hui, on construit le parc, et on te donne les clés pour le manager.
Mais notre métier quelque part, c'est bien de construire le parc non ?. Si
tous les parcs se ressemblent en mode copié/collé, où est l'interêt du
métier ?


Julien



On Tue, Feb 12, 2019 at 9:23 AM Philippe ASTIER <
phili...@astier-consulting.fr> wrote:

> Oui, on est 1000% d’accord.
>
> Le tout cloud que je vois chez certain de mes clients m’inquiète.
> Certains on même leur infra réseau en Meraki, donc même leurs switchs sont
> gérés par le cloud...
>
> > Le 12 févr. 2019 à 09:14, Thierry Chich 
> a écrit :
> >
> >
> > Le 10/02/2019 à 14:33, Raphael Mazelier a écrit :
> >> Je pense que c'est un vrai décision d'entreprise.
> Coût/disponibilité/sécurité/temps. Il y a des contextes ou avoir tout ses
> mails/documents/im en Saas est complètement acceptable, comme l'inverse.
> >>
> >> Le seul truc que je dis c'est que c'est n'a pas du tout trivial et peu
> coûteux d'héberger des services en interne.
> >>
> > Tout à fait.
> >
> > Du point de vue de l'état, c'est aussi une question de souveraineté.
> L'arrivée de Trump a montré que cette question n'est pas subsidiaire. Après
> tout, on a eu des taxes sur l'acier, ne pourrait pas voir des taxes sur les
> services, en réaction aux taxes GAFA de l'Europe ?
> >
> >> --
> >> Raphael Mazelier
> > --
> >
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ 
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Philippe ASTIER]

Oui, on est 1000% d’accord.

Le tout cloud que je vois chez certain de mes clients m’inquiète.
Certains on même leur infra réseau en Meraki, donc même leurs switchs sont 
gérés par le cloud...

> Le 12 févr. 2019 à 09:14, Thierry Chich  a 
> écrit :
> 
> 
> Le 10/02/2019 à 14:33, Raphael Mazelier a écrit :
>> Je pense que c'est un vrai décision d'entreprise. 
>> Coût/disponibilité/sécurité/temps. Il y a des contextes ou avoir tout ses 
>> mails/documents/im en Saas est complètement acceptable, comme l'inverse.
>> 
>> Le seul truc que je dis c'est que c'est n'a pas du tout trivial et peu 
>> coûteux d'héberger des services en interne.
>> 
> Tout à fait.
> 
> Du point de vue de l'état, c'est aussi une question de souveraineté. 
> L'arrivée de Trump a montré que cette question n'est pas subsidiaire. Après 
> tout, on a eu des taxes sur l'acier, ne pourrait pas voir des taxes sur les 
> services, en réaction aux taxes GAFA de l'Europe ?
> 
>> -- 
>> Raphael Mazelier
> -- 
> 
>   
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Philippe ASTIER]

Justement, si on passe par l’IP privée, pas besoin de passer par le 
tuteur/firewall. Si on n’utilise que l’IP publique, on passe forcément par le 
routeur pour du trafic interne. Pour moi, ce n’est pas logique.

Reprenez ce que j’ai dit : si j’ai 100 Gb/s en interne, dois-je dimensionner 
mes firewall pour un traffic de 100 Gb/s ?

Bon, en fait, le souci de toute notre discussion, c’est qu’on parle en termes 
très généraux, et que l’implantation réelle sera différente selon les sites.

Moi je ne vois pas l’intérêt de surcharger mon infra qui donne sur l’extérieur 
par du trafic qui doit rester interne.

> Le 12 févr. 2019 à 08:58, Thierry Chich  a 
> écrit :
> 
> 
> Le 08/02/2019 à 20:27, Raphael Mazelier a écrit :
>> On 08/02/2019 20:17, Michel Py wrote:
>> 
>> Et bien justement je vois pas trop l'interet. Quel est l'avantage d'accéder 
>> en interne à mail.corp.com  avec son ip privé plutot 
>> que d'y accéder via son ip publique si c'est déjà ouvert sur l'extérieur.
>> 
> 
> Tout à fait. Ca complique les règles de firewall, et c'est moins robuste car 
> on dépend de VPN alors qu'on en a pas forcément besoin pour ça.
> 
> 
> -- 
> 
>   
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Thierry Chich]

Le 10/02/2019 à 14:33, Raphael Mazelier a écrit :
Je pense que c'est un vrai décision d'entreprise. 
Coût/disponibilité/sécurité/temps. Il y a des contextes ou avoir tout 
ses mails/documents/im en Saas est complètement acceptable, comme 
l'inverse.


Le seul truc que je dis c'est que c'est n'a pas du tout trivial et peu 
coûteux d'héberger des services en interne.



Tout à fait.

Du point de vue de l'état, c'est aussi une question de souveraineté. 
L'arrivée de Trump a montré que cette question n'est pas subsidiaire. 
Après tout, on a eu des taxes sur l'acier, ne pourrait pas voir des 
taxes sur les services, en réaction aux taxes GAFA de l'Europe ?



--
Raphael Mazelier

--




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Thierry Chich]

Le 08/02/2019 à 20:27, Raphael Mazelier a écrit :

On 08/02/2019 20:17, Michel Py wrote:

Et bien justement je vois pas trop l'interet. Quel est l'avantage 
d'accéder en interne à mail.corp.com avec son ip privé plutot que d'y 
accéder via son ip publique si c'est déjà ouvert sur l'extérieur.




Tout à fait. Ca complique les règles de firewall, et c'est moins robuste 
car on dépend de VPN alors qu'on en a pas forcément besoin pour ça.



--




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Thierry Chich]

Pour moi, il y a aussi de bonnes raisons d'utiliser des VPN. Au moins 
deux !


1° pour limiter l'exposition d'un service. Une appli un peu obsolète et 
pas forcément bien écrite sera souvent plus sûre si elle n'est 
accessible que de l'intérieur qu'une applis bien écrite exposée sur 
internet. Comme on n'a pas toujours le choix des applis 


2° pour mitiger la gravité d'une perte d'identifiant. Le login/mot de 
passe est un moyen d'authentification nul, et toutes les applis, loin de 
là, ne sont pas écrites avec un système d'authentification forte. Quand 
l'appli est accessible en interne, la gravité de la perte de 
l'identifiant est fortement mitigée.


Après, il y a la partie chiffrement sur laquelle on s’excite souvent - 
il n'y a qu'à voir les annexes du RGS - et qui, à mon avis, est le plus 
anecdotique en terme de sécurité.


Le 11/02/2019 à 22:26, Raphael Mazelier a écrit :
Tout le monde a l'air d'assumer que de maintenir des serveurs sur son 
réseau local d'entreprise semble aller de soi. Personnellement le 
moins d'IT locale j'ai à maintenir le mieux je me porte.


Je pense aussi que le moins d'adhérence il y a entre les sites locaux 
et les infras de prod, le mieux c'est. Je considère que les locaux de 
l'entreprise fournissent une connectivité internet lambda, la même que 
celle d'un accès personnel.




--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--



r 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

> Raphael Mazelier a écrit :
> Je considère que les locaux de l'entreprise fournissent une connectivité

> internet lambda, la même que celle d'un accès personnel.



Complètement d'accord, on ne les paie pas pour passer leur journées sur 
fessebouc ou youtube.





En plus, problème éternel, la moitié d'entre eux on ne devrait même pas les 
laisser toucher un PC, mais çà c'est pour trolldi.







> Je pense aussi que le moins d'adhérence il y a entre les

> sites locaux et les infras de prod, le mieux c'est.



C'est pas aussi simple que çà. C'est clair que la compta et les RH et les 
ventes ils n'ont rien à faire sur le réseau de prod, mais quid des ingés ? Vu 
de mon bout de la lorgnette, La prod (pas le réseau de prod) est ce qui 
rapporte le pognon; l'informatique et le réseau, ils n'en ont rien à foutre.



Je crois qu'il y a une différence de philosophie importante entre les 
entreprises qui vendent principalement du service, et celles qui fabriquent 
quelque chose. Pour moi, être FAI ou distributeur, c'est du service : l'outil 
de prod, c'est l'informatique. Dans l'industrie, c'est différent : l'outil de 
prod, c'est l'outillage.





> Kevin CHAILLY a écrit :

> Pis bon, en attendant l'arrêt du dernier System/36, le cloud, c'est le futur 
> lointain



Je n'ai plus de System/36 mais j'ai toujours du Decnet :P et un NetWare (il 
s'en va cette année). Les OS différents, je ne compte plus.



> Les dinosaures sont insensibles aux révolutions.



C'est très vrai, et plus le dinosaure est gros moins il avance vite.

Il y a plus de dinosaures vivants dans la nature que ce que les lecteurs de 
cette liste qui travaillent dans le service ne soupçonnent.



Sur cette liste, on a souvent employé "usine à gaz".

J’essaie ma première contrib en HTML avec une image

Voici ce qu’on propose aux clients. La plupart du temps, on parle en angströms.

Je gère l’infra d’une usine à gaz.



[cid:image002.png@01D4C242.032232F0]



Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

- Il y a des raisons à faire du split DNS : pourquoi faire transiter par le 
routeur du trafic qui reste en interne ? C’est juste du bon sens, et une 
question de perf. Quand on a des backbone à 100 Gb/s ou plus, on a rarement la 
même chose en externe. Garder le même nom pour un service et ne pas y accéder 
par la même IP selon le lieu, je ne voit pas où est le souci.



Tout le monde a l'air d'assumer que de maintenir des serveurs sur son 
réseau local d'entreprise semble aller de soi. Personnellement le moins 
d'IT locale j'ai à maintenir le mieux je me porte.


Je pense aussi que le moins d'adhérence il y a entre les sites locaux et 
les infras de prod, le mieux c'est. Je considère que les locaux de 
l'entreprise fournissent une connectivité internet lambda, la même que 
celle d'un accès personnel.




--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Philippe ASTIER]

Mmmhhh, je regarde ce débat depuis quelques jours, et j’aimerai apporter mon 
grain de sel (de sable ?).

- Il y a des raisons à faire du split DNS : pourquoi faire transiter par le 
routeur du trafic qui reste en interne ? C’est juste du bon sens, et une 
question de perf. Quand on a des backbone à 100 Gb/s ou plus, on a rarement la 
même chose en externe. Garder le même nom pour un service et ne pas y accéder 
par la même IP selon le lieu, je ne voit pas où est le souci.

- Sur le VPN… pour moi, et je sens que je vais lancer des débats, mais c’est 
juste le futur. C’est souple, performant, c’est pas juste des raisons 
économiques. On peut le déplacer si besoin, ajouter un site quand on veut, et 
ça permet malgré tout de maîtriser le chiffrement de point à point, le rendre 
redondant Le temps des MPLS qui ne sont pas interopérable est révolu…. La 
totalité des grands groupes que je connais migre 100% de leur infra vers des 
VPN. 

Allez, je viens de relancer le débat. ;)

> Le 11 févr. 2019 à 19:05, Michel Py  a 
> écrit :
> 
>> Thierry Chich a écrit :
>> Et donc, on a une infra qui se met à dépendre du VPN de
>> manière beaucoup plus importante qu'elle ne le devrait.
> 
> Certes, mais que faire d'autre ? Le VPN, çà n'existe que pour des raisons 
> économiques. Si je pouvais avoir de la fibre noire entre mes sites, c'est ce 
> que je ferais, mais c'est trop cher.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

> Thierry Chich a écrit :
> Et donc, on a une infra qui se met à dépendre du VPN de
> manière beaucoup plus importante qu'elle ne le devrait.

Certes, mais que faire d'autre ? Le VPN, çà n'existe que pour des raisons 
économiques. Si je pouvais avoir de la fibre noire entre mes sites, c'est ce 
que je ferais, mais c'est trop cher.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Erwan David]

Le 11/02/2019 à 17:50, Thierry Chich a écrit :
> La question n'est pas de savoir s'il peut, mais s'il doit. Et là, la
> question peut-être plus trickie qu'il n'y parait.
>
> Donner deux noms avec des adresses différentes, ça ne pose que peu de
> problèmes (à l'exception de quelques systèmes SSO). Donc le
> corp.domaine pour le privé et le .domaine pour le public, ça passe
> sans souci.
>
> En revanche, si publier en interne du privé pour .domaine et  en
> externe pour du public est très faisable, avec ou sans vues, ça peut
> avoir des conséquences parfois un peu ennuyeuses. Le cas que je vois
> et que je connais bien, c'est le cas où le concept d'"interne" est un
> peu lâche. Tant qu'on est dans un LAN, ça se passe bien, mais si on
> commence à avoir plein de sites distants dont le concept de "interne"
> repose sur du VPN (ipsec par exemple), c'est un peu moins bien.
>
> Pourquoi ?
>
> Parce que souvent, on fait des VPN pour protéger quelques
> applications. Mais on publie aussi des ressources vers  internet (par
> exemple la messagerie). Quand .domaine est du RFC1918 en interne, le
> site distant relié par VPN ne pourra accéder à imaps.domaine que
> lorsque le VPN est up. Ce qui est dommage, puisque la finalité du VPN,
> c'était seulement de protéger erp.domaine. Et donc, on a une infra qui
> se met à dépendre du VPN de manière beaucoup plus importante qu'elle
> ne le devrait.
>
Et ça va pas s'arranger avec les applis qui font du DoH vers un truc
externe dans le dos des admins...

Genre le firefox qui va aller demander à cloudflare et donc aura
l'adresse externe en interne...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Thierry Chich]

La question n'est pas de savoir s'il peut, mais s'il doit. Et là, la 
question peut-être plus trickie qu'il n'y parait.


Donner deux noms avec des adresses différentes, ça ne pose que peu de 
problèmes (à l'exception de quelques systèmes SSO). Donc le corp.domaine 
pour le privé et le .domaine pour le public, ça passe sans souci.


En revanche, si publier en interne du privé pour .domaine et  en externe 
pour du public est très faisable, avec ou sans vues, ça peut avoir des 
conséquences parfois un peu ennuyeuses. Le cas que je vois et que je 
connais bien, c'est le cas où le concept d'"interne" est un peu lâche. 
Tant qu'on est dans un LAN, ça se passe bien, mais si on commence à 
avoir plein de sites distants dont le concept de "interne" repose sur du 
VPN (ipsec par exemple), c'est un peu moins bien.


Pourquoi ?

Parce que souvent, on fait des VPN pour protéger quelques applications. 
Mais on publie aussi des ressources vers  internet (par exemple la 
messagerie). Quand .domaine est du RFC1918 en interne, le site distant 
relié par VPN ne pourra accéder à imaps.domaine que lorsque le VPN est 
up. Ce qui est dommage, puisque la finalité du VPN, c'était seulement de 
protéger erp.domaine. Et donc, on a une infra qui se met à dépendre du 
VPN de manière beaucoup plus importante qu'elle ne le devrait.


Le 08/02/2019 à 17:36, David Ponzone a écrit :

- peut-on résoudre corp.example.com en adressage privé (donc en interne 
seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer ? 
publier de l'adressage privé ça sert à rien (sans parler des pb de sécu).

Mais tu fais ce que tu veux.
Personne ne va venir te mettre une amende pour censure ou autre parce que tu ne 
publies pas sur ton DNS public certains services :)
C’est peut-être moi qui comprends mal ce qui t’inquiète à ce niveau, tu peux 
donner un exemple ?
Sinon y a pas des pointures en DNS chez Capgemini ? :)
Ok je sors.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Philippe Bourcier]

Bonjour,

Pour ce type de cas on peut créer un record qui serait en fait une sous-zone du 
domaine principal, côté extérieur.
Côté intérieur on est sur une sous-zone du même type que corp.example.com.
Par ex : chat-and-co.example.com

Il n'y a aucun record dans cette sous zone sinon les records à la racine de 
celle-ci (.   A   IP).
Ainsi on n'a pas besoin de recopier toute la zone racine (example.com) sur ton 
DNS interne...
==> problème résolu proprement

February 10, 2019 2:15 AM, "Youssef Ghorbal"  wrote:

>> Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela 
>> dont on parle) c'est :
>> 1 - partir d'un domaine "racine" publique (example.com), sinon ca va être 
>> compliqué/impossible
>> d'utiliser les produits Cloud de Microsoft
>> 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de 
>> domaines... idéalement
>> sur des AS différents
>> 3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, 
>> etc... donc en IP
>> privées
>> 4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS 
>> interne sinon il faut
>> faire les modifs sur tes DNS pub et sur ton DNS interne
>> 5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, 
>> alors tu crées
>> corp.example.com sur le DNS pub et tu crées uniquement le record nécessaire
>> 
>> Voilà, là c'est propre et safe...
> 
> Jusqu'au jour ou tu installes Lync/Skype For Business (ou son future
> nom quand un marketeux aura change d'avis) Ce machin oblige pour
> fonctionner d'avoir des enregistrements sur la zone racine example.com
> avec des contraintes a la con :
> - ceux qui doivent l'etre de l'extreieur et pas de l'interieur.
> - ceux qui doivent l'etre de l'interieur et pas de l'exterieur
> - ceux qui sont visible de l'intereiur et de l'exterieur mais avec des
> IPs differentes.
> 
> Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il
> devrait y avoir des lois contre ca.
> 
> On a ete oblige d'introduire un split DNS rien que pr ca (et qui
> depuis n'a servi que pour ca)
> 
> Youssef Ghorbal


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

> Raphael Mazelier a écrit :
> Le seul truc que je dis c'est que c'est n'a pas du tout trivial
> et peu coûteux d'héberger des services en interne.

C'est un métier. Compliqué. Mais quand on sait le faire, on n'est jamais aussi 
bien servi que par soi-même.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

On 09/02/2019 19:12, Michel Py wrote:


Il y a eu un fil ici récemment à propos des couts de Datacenter, je ne suis pas 
le seul à maintenir une infra en interne parce ce c'est moins cher. On est pas 
une startup. Et en ce qui concerne la sécurité, si çà ne vous dérange pas 
d'avoir vos données dans une colo dont vous ne savaient même pas ou elle est et 
ou GAFA et la NSA ont les clés, tant mieux.


Avec du L2L à travers d'un SD-WAN qui passe par Tombouctou, c'est encore mieux.


On a Exchange et Outlook, comme beaucoup d'autres; et c'est hors de question 
que çà sorte à l'extérieur.



Je pense que c'est un vrai décision d'entreprise. 
Coût/disponibilité/sécurité/temps. Il y a des contextes ou avoir tout 
ses mails/documents/im en Saas est complètement acceptable, comme l'inverse.


Le seul truc que je dis c'est que c'est n'a pas du tout trivial et peu 
coûteux d'héberger des services en interne.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Youssef Ghorbal]

> Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela 
> dont on parle) c'est :
> 1 - partir d'un domaine "racine" publique (example.com), sinon ca va être 
> compliqué/impossible d'utiliser les produits Cloud de Microsoft
> 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de 
> domaines... idéalement sur des AS différents
> 3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, 
> etc... donc en IP privées
> 4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS 
> interne sinon il faut faire les modifs sur tes DNS pub et sur ton DNS interne
> 5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, 
> alors tu crées corp.example.com sur le DNS pub et tu crées uniquement le 
> record nécessaire
>
> Voilà, là c'est propre et safe...

Jusqu'au jour ou tu installes Lync/Skype For Business (ou son future
nom quand un marketeux aura change d'avis) Ce machin oblige pour
fonctionner d'avoir des enregistrements sur la zone racine example.com
avec des contraintes a la con :
- ceux qui doivent l'etre de l'extreieur et pas de l'interieur.
- ceux qui doivent l'etre de l'interieur et pas de l'exterieur
- ceux qui sont visible de l'intereiur et de l'exterieur mais avec des
IPs differentes.

Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il
devrait y avoir des lois contre ca.

On a ete oblige d'introduire un split DNS rien que pr ca (et qui
depuis n'a servi que pour ca)

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

>> Stephane Bortzmeyer a écrit :
>> Un serveur de courrier en interne ? On est encore en 1995 ? De nos jours, 
>> tout le
>> monde (en tout cas toute la startup nation) a le> courrier sur Outlook ou 
>> sur Gail.

> Raphael Mazelier a écrit :
> En Sas oui. De nos jours il faut vraiment challenger le fait de Hoster ses 
> services internes. Il peut y
> avoir de bonnes raisons (sécurité, prix) mais c'est tout de même assez 
> difficile et coûteux à bien faire.

Il y a eu un fil ici récemment à propos des couts de Datacenter, je ne suis pas 
le seul à maintenir une infra en interne parce ce c'est moins cher. On est pas 
une startup. Et en ce qui concerne la sécurité, si çà ne vous dérange pas 
d'avoir vos données dans une colo dont vous ne savaient même pas ou elle est et 
ou GAFA et la NSA ont les clés, tant mieux.


Avec du L2L à travers d'un SD-WAN qui passe par Tombouctou, c'est encore mieux.


On a Exchange et Outlook, comme beaucoup d'autres; et c'est hors de question 
que çà sorte à l'extérieur.

> Stephane Bortzmeyer a écrit :
> Oui, à l'époque du BYOD et du télétravail, ça devient vite difficile à 
> déboguer. (Sauf
> si on a des règles très strictes comme à l'ANSSI, avec zéro BYOD et zéro 
> télétravail.)

Chez nous c'est interdit d'avoir son téléphone mobile perso sur soi, dans la 
salle. Laisse dans la voiture.

> Avoir des serveurs en internes, c'est pour les plus de 50 ans.

Je plaide coupable. Mon domaine AD perso a été crée avec NT 4.0 (quand j'ai 
décidé de laisser tomber Netware). C'est un .local, çà ne m'empêche pas d'avoir 
un .us et deux .com de "vanité" avec les certificats qui vont bien.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Willy MANGA]

Bonjour,


si le problème de fond est d'autoriser ou pas d'atteindre une cible
suivant d'où on vient, une des solutions serait de rajouter des adresses
IPv6 (unicast) partout. Tu aurais une seule entrée dans le fichier de
zone et le plus important est d'avoir des règles de filtrage correctes ;)


Le 08/02/2019 à 15:27, AYANIDES, Jean-Philippe a écrit :
> Bonjour,
> 
> je n'arrive pas à trouver une réponse justifiée à la question suivante, alors 
> je m'adresse à vous sur conseil de mes collègues (désolé si ce sont des 
> questions bêtes et rebattues, je n'ai rien trouvé dans les archives de la 
> frnog) :
> 
> dans le cadre d'une organisation example.com, à supposer que la zone 
> corp.example.com ne soit pas répliquée dans les DNS publiques  example.com 
> ouverts sur internet, est-il possible et/ou non déconseillé, dans les DNS 
> internes 
> 
> - de résoudre un enregistrement A a.corp.example.com en adresse privée ? (de 
> façon générale, on a tendance à utiliser des noms locaux avec un TLD .local 
> mais l'IETF ne le recommande pas, cf. 
> https://tools.ietf.org/html/rfc6762#appendix-G).
> 
> - de résoudre un même SOA corp.example.com avec une adresse IP privée depuis 
> le DNS interne privé et une adresse publique depuis le serveur DNS interne 
> publique ?
> 
> - de résoudre certains enregistrements A du domaine corp.example.com en 
> adresses publiques et d'autres en adresses privées ?
> 
> Si rien n'est possible proprement, quelle alternative peut-on trouver ? 
> faut-il segmenter en nommant par exemple tout ce qui est adressage publique 
> en pub.corp.example.com et tout ce qui est en adressage privé en 
> priv.example.com ?
> 
> Je vous avoue que je ne suis pas familier avec la RFC…
> 
> Merci
> 
> Jean-Philippe


-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



signature.asc
Description: OpenPGP digital signature

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

> Philippe Bourcier a écrit :
> 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur
> ou vendeur de domaines... idéalement sur des AS différents

+1

> Michel, franchement, ton SI on dirait bien qu'il sent la
> naphtaline (.local, 100 Mb/s... que des trucs disparus) :)

100 Mb/s pour l'Internet c'est loin d'être disparu.
En ce qui concerne le sous-domaine de example.com, je m'y suis brulé les doigts 
plusieurs fois avec çà : quand tu es site.example.com et que example.com vends 
tes fesses délicates à quelqu'un d'autre, tout renommer c'est fastidieux et 
plein de pièges à loup.

> Sinon je suis d'accord avec toi (*), mais plus pour des raisons de logique
> et de simplicité que cette histoire de performance des routeurs/firewalls
> (qui ne tomberont pas, puisque si c'est bien fait, ils sont redondants)...

L'année dernière j'ai mis des cartes 10G dans mes serveurs Exchange, et çà a 
bien amélioré les choses. Si je les adressais par l'IP publique, çà m'aurait 
forcé à acheter des routeurs/firewall qui supportent 10G, ce n'est pas 
seulement la logique et la simplicité; c'est des vrais dollars !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[mlrx]

Le 08/02/2019 à 23:51, Philippe Bourcier a écrit :
> […]
> Sinon je suis d'accord avec toi (*), mais plus pour des raisons de logique et 
> de simplicité que cette histoire de performance des routeurs/firewalls (qui 
> ne tomberont pas, puisque si c'est bien fait, ils sont redondants)...

Ok… On fait moins bien paske OSEF des ressources…
En même temps, que dire ? Pourrons-nous nous* comprendre ?

* nounou… ça met en sécurité… Ou en PLS suivant le caractère…

-- 
benoist


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Philippe Bourcier]

Bonsoir,

>> Oui, ça s’appelle le hair-pinning et c’est pas supporté par tous,

Je plussoie.

Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela 
dont on parle) c'est :
1 - partir d'un domaine "racine" publique (example.com), sinon ca va être 
compliqué/impossible d'utiliser les produits Cloud de Microsoft
2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de 
domaines... idéalement sur des AS différents
3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, 
etc... donc en IP privées
4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS 
interne sinon il faut faire les modifs sur tes DNS pub et sur ton DNS interne
5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, alors 
tu crées corp.example.com sur le DNS pub et tu crées uniquement le record 
nécessaire

Voilà, là c'est propre et safe...

Et sinon, si c'est le même gars qui est "guru DNS" officiel dans ta boîte et 
qui fait des records qui mélanges des IP privées et des IP publiques, alors tu 
peux ignorer son avis sans grands risques... :)

> En clair : tu crées un goulet d'étranglement au niveau du routeur.
> Pire, tu pers le routeur tu perds le serveur en interne.

Michel, franchement, ton SI on dirait bien qu'il sent la naphtaline (.local, 
100 Mb/s... que des trucs disparus) :)

Sinon je suis d'accord avec toi (*), mais plus pour des raisons de logique et 
de simplicité que cette histoire de performance des routeurs/firewalls (qui ne 
tomberont pas, puisque si c'est bien fait, ils sont redondants)...

(*) C'est plus propre de mettre l'IP interne sur le record interne et l'IP pub 
sur le record pub... cf mes 5 règles ci-dessus.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

>>> Raphael Mazelier a écrit :
>>> Et bien justement je vois pas trop l'interet. Quel est l'avantage
>>> d'accéder en interne à mail.corp.com avec son ip privé plutot que d'y
>>> accéder via son ip publique si c'est déjà ouvert sur l'extérieur.

>> Simon Morvan a écrit :
>> Dans ma (relativement restreinte) expérience de ce genre de chose, ce n'était
>> pas par intérêt mais parce que le routeur/firewall ne permettait pas 
>> d’accéder
>> à une IP publique depuis l'intérieur, en cas de NAT par exemple.

> David Ponzone a écrit :
> Oui, ça s’appelle le hair-pinning et c’est pas supporté par tous,
> et parfois avec des confs bidouilles illisibles.

Et même quand çà marche, çà reste une très mauvaise idée, voici pourquoi :
- On double le trafic du coté LAN (on envoie au routeur qui renvoie au serveur).
- Le routeur va parfois NATter 2 fois (çà sort vers l'extérieur et çà 
re-rentre).
- Même si le routeur a une interface GigE, çà ne veut pas dire qu'il en est 
capable : si tu as 100 Meg vers l'Internet, ce n'est pas nécessaire d'avoir un 
routeur qui peut faire Gig.
- Même si le routeur est physiquement capable de Gig, çà va couter des sous 
pour payer la boost licence.

En clair : tu crées un goulet d'étranglement au niveau du routeur.
Pire, tu pers le routeur tu perds le serveur en interne.

Pas glop. En interne, faut aller sur l'IP privée, pas sur la publique.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

Oui, ça s’appelle le hair-pinning et c’est pas supporté par tous, et parfois 
avec des confs bidouilles illisibles.

David Ponzone



> Le 8 févr. 2019 à 20:41, Simon Morvan  a écrit :
> 
> 
>> On 08/02/2019 14:27, Raphael Mazelier wrote:
>>> On 08/02/2019 20:17, Michel Py wrote:
>>> 
>>> 
>>> C'est vrai, mais c'est souvent nécessaire. Par exemple
>>> mail.maboite.fr ou chat.maboite.fr avec les portables et les mobiles,
>>> c'est bien pratique que çà résout de manière différente quand le
>>> portable/mobile est connecté au bureau sur le réseau interne ou quand
>>> il est sur cellulaire avec une IP publique. C'est vrai qu'il faut le
>>> gérer, mais çà fait partie des inconvénients de NAT : faut aussi
>>> gérer la partie NAT dans le routeur / pare-feu.
>>> 
>> 
>> Et bien justement je vois pas trop l'interet. Quel est l'avantage
>> d'accéder en interne à mail.corp.com avec son ip privé plutot que d'y
>> accéder via son ip publique si c'est déjà ouvert sur l'extérieur.
> 
> Dans ma (relativement restreinte) expérience de ce genre de chose, ce
> n'était pas par intérêt mais parce que le routeur/firewall ne permettait
> pas d’accéder à une IP publique depuis l'intérieur, en cas de NAT par
> exemple.
> 
> 
> -- 
> Simon Morvan
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Simon Morvan]

On 08/02/2019 14:27, Raphael Mazelier wrote:
> On 08/02/2019 20:17, Michel Py wrote:
>
>>
>> C'est vrai, mais c'est souvent nécessaire. Par exemple
>> mail.maboite.fr ou chat.maboite.fr avec les portables et les mobiles,
>> c'est bien pratique que çà résout de manière différente quand le
>> portable/mobile est connecté au bureau sur le réseau interne ou quand
>> il est sur cellulaire avec une IP publique. C'est vrai qu'il faut le
>> gérer, mais çà fait partie des inconvénients de NAT : faut aussi
>> gérer la partie NAT dans le routeur / pare-feu.
>>
>
> Et bien justement je vois pas trop l'interet. Quel est l'avantage
> d'accéder en interne à mail.corp.com avec son ip privé plutot que d'y
> accéder via son ip publique si c'est déjà ouvert sur l'extérieur.

Dans ma (relativement restreinte) expérience de ce genre de chose, ce
n'était pas par intérêt mais parce que le routeur/firewall ne permettait
pas d’accéder à une IP publique depuis l'intérieur, en cas de NAT par
exemple.


-- 
Simon Morvan


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

On 08/02/2019 20:17, Michel Py wrote:



C'est vrai, mais c'est souvent nécessaire. Par exemple mail.maboite.fr ou 
chat.maboite.fr avec les portables et les mobiles, c'est bien pratique que çà 
résout de manière différente quand le portable/mobile est connecté au bureau 
sur le réseau interne ou quand il est sur cellulaire avec une IP publique. 
C'est vrai qu'il faut le gérer, mais çà fait partie des inconvénients de NAT : 
faut aussi gérer la partie NAT dans le routeur / pare-feu.



Et bien justement je vois pas trop l'interet. Quel est l'avantage 
d'accéder en interne à mail.corp.com avec son ip privé plutot que d'y 
accéder via son ip publique si c'est déjà ouvert sur l'extérieur.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

> David Ponzone a écrit :
> Bon alors ma réponse à moi va être: au diable les RFC.

J'ai tendance à plussoier. Il y a des trucs que je fais depuis la nuit des 
temps, comme par exemple d'utiliser .local pour les domaines Windows / Active 
Directory, çà fait hurler les puristes du DNS mais çà a toujours fonctionné 
très bien pour moi. Pareil pour résoudre différemment selon la localisation, 
voir plus bas.

> Raphael Mazelier a écrit :
> En revanche je serais plus réservé sur le fait de résoudre deux choses 
> différentes selon ta localisation réseau :
> Exemple :
> service.corp.com => 1.2.3.4 (depuis internet)
> service.corp.com => 10.20.30.40 (depuis un réseau local)
> C'est vite source d'ennui et de non clarté.

C'est vrai, mais c'est souvent nécessaire. Par exemple mail.maboite.fr ou 
chat.maboite.fr avec les portables et les mobiles, c'est bien pratique que çà 
résout de manière différente quand le portable/mobile est connecté au bureau 
sur le réseau interne ou quand il est sur cellulaire avec une IP publique. 
C'est vrai qu'il faut le gérer, mais çà fait partie des inconvénients de NAT : 
faut aussi gérer la partie NAT dans le routeur / pare-feu.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[AYANIDES, Jean-Philippe]

Merci Raphaël, 
> En revanche je serais plus réservé sur le fait de résoudre deux choses
> différentes selon ta localisation réseau :
> 
> Exemple :
> service.corp.com => 1.2.3.4 (depuis internet)
> service.corp.com => 10.20.30.40 (depuis un réseau local)

en fait, c'est plutôt en interne seulement que ce serait différent : 

- host1.corp.com est en adressage publique. Il demande service.corp.com auprès 
de son DNS publique qui lui renvoie  1.2.3.4 qui est en fait la patte publique 
du service
- host2.corp.com (ou host2.corp.local –je sais, c'est pourri–) est en adressage 
privé. Il demande service.corp.com auprès  de son DNS privé qui lui renvoie  
10.20.30.40 qui est en fait la patte privée du service.

Pour l'exemple anonymisé de ce qu'on trouve, le voici : 

nslookup
> set domain=example.com
> set type=SOA
> corp
Réponse ne faisant pas autorité :
Serveur :   UnKnown
Address:  10.0.0.1
corp.example.com
    primary name server = host.corp.example.com
    responsible mail addr = nsinfo.42.com
    serial  = 1118
    refresh = 900 (15 mins)
    retry   = 600 (10 mins)
    expire  = 86400 (1 day)
    default TTL = 3600 (1 hour)

 host.corp.example.com   internet address = 10.0.0.2

> set type=A
> corp
Réponse ne faisant pas autorité :
Serveur :   UnKnown
Address:  10.0.0.1

Nom :    corp.example.com
Addresses:  10.xxx.xxx.xxx
  10.xxx.xxx.xxx
  10.xxx.xxx.xxx
  10.xxx.xxx.xxx
  10.xxx.xxx.xxx
  10.xxx.xxx.xxx
  10.xxx.xxx.xxx
  201.xxx.xxx.xxx
  10.xxx.xxx.xx
  10.xxx.xxx.xxx
  10.xxx.xxx.xxx
 …
   202.XXX.xx.xx
 …
 
This message contains information that may be privileged or confidential and is 
the property of the Capgemini Group. It is intended only for the person to whom 
it is addressed. If you are not the intended recipient, you are not authorized 
to read, print, retain, copy, disseminate, distribute, or use this message or 
any part thereof. If you receive this message in error, please notify the 
sender immediately and delete all copies of this message.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

On 08/02/2019 18:07, AYANIDES, Jean-Philippe wrote:


Quand je résous en interne corp.capgemini.com, le SOA est en privé.
quand je demande les A, je reçois des IPv6, une palanquée d'IPv4 privées ET 
quelques IP publiques ! Alors voilà, questions...
  


Sur la même requête ?

Cela a l'air étrange. Tu peux nous donner un exemple anonymisé ?


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[AYANIDES, Jean-Philippe]

> De : David Ponzone 
> > - peut-on résoudre corp.example.com en adressage privé (donc en interne 
> > seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer 
> > ? publier de l'adressage privé ça sert à rien (sans parler des pb de sécu).
> 
> Mais tu fais ce que tu veux.
> Personne ne va venir te mettre une amende pour censure ou autre parce que tu 
> ne publies pas sur ton DNS public certains services :)
> C’est peut-être moi qui comprends mal ce qui t’inquiète à ce niveau, tu peux 
> donner un exemple ?
> Sinon y a pas des pointures en DNS chez Capgemini ? :)
> Ok je sors.
   
Alors oui, il y a bien au moins une pointure chez Capgemini, mais quand je lui 
pose la question il me répond « c'est de la merde », et quand je demande 
pourquoi, il me répond « c'est de méga merde » et il m'envoie un lien vers de  
l'art figuratif illustrant ses propos (sic)

Moi je veux faire les choses bien, je ne veux pas d'effet de bord, je veux que 
ce soit propre, et comme je ne suis pas très calé en DNS, j'ai besoin de 
comprendre.

Quand je résous en interne corp.capgemini.com, le SOA est en privé.
quand je demande les A, je reçois des IPv6, une palanquée d'IPv4 privées ET 
quelques IP publiques ! Alors voilà, questions...
 
This message contains information that may be privileged or confidential and is 
the property of the Capgemini Group. It is intended only for the person to whom 
it is addressed. If you are not the intended recipient, you are not authorized 
to read, print, retain, copy, disseminate, distribute, or use this message or 
any part thereof. If you receive this message in error, please notify the 
sender immediately and delete all copies of this message.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

On 08/02/2019 17:36, David Ponzone wrote:

- peut-on résoudre corp.example.com en adressage privé (donc en interne 
seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer ? 
publier de l'adressage privé ça sert à rien (sans parler des pb de sécu).


Mais tu fais ce que tu veux.



La question me semble plus être quelles sont les bonnes pratiques dns ?
car en effet avec des résolveurs locaux et serveurs faisant autorité en 
ton contrôle il est techniquement de tout faire.


Premier pattern/conseil : il est plus que vivement souhaitable 
d'utiliser un vrai domaine/sous domaine que tu possède pour de 
l'adressage interne.


Exemple : local.corp.com, corp-local.com

Contre exemple (à ne faire pas donc) : corp.local, corp.lan (en 
admettant que ces TLD n'existent pas, ce qui est peut être faux).


Utiliser une zone local.corp.com qui sert des IP rfc1918 et ne la rendre 
accessible qu'en interne ? oui c'est classique. A mon sens c'est 
s’embêter pour rien que de ne pas la publier sur Internet (ok il y a 
petit leak de données mais c'est minime).


En revanche je serais plus réservé sur le fait de résoudre deux choses 
différentes selon ta localisation réseau :


Exemple :
service.corp.com => 1.2.3.4 (depuis internet)
service.corp.com => 10.20.30.40 (depuis un réseau local)

C'est vite source d'ennui et de non clarté.



--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

> - peut-on résoudre corp.example.com en adressage privé (donc en interne 
> seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer ? 
> publier de l'adressage privé ça sert à rien (sans parler des pb de sécu).

Mais tu fais ce que tu veux.
Personne ne va venir te mettre une amende pour censure ou autre parce que tu ne 
publies pas sur ton DNS public certains services :)
C’est peut-être moi qui comprends mal ce qui t’inquiète à ce niveau, tu peux 
donner un exemple ?
Sinon y a pas des pointures en DNS chez Capgemini ? :)
Ok je sors.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Paul Rolland (ポール・ロラン)]

Hello,

On Fri, 8 Feb 2019 17:33:27 +0100
"Paul Rolland (ポール・ロラン)"  wrote:

> Avec le systeme de vues, tu peux tout a fait avoir des zones qui n'ont pas
> le meme contenu, et qui ne presente donc pas les memes informations a des
> utilisateurs qui seraient internes ou externes. 
> Du coup, si tu veux un corp. avec une adresse privee dans ta vue
> interne, et pas de corp, ou un corp avec une IP publique dans ta vue
> externe, ca peut le faire.

Qq liens pour illustrer, ca sera peut-etre plus clair :
https://www.cyberciti.biz/faq/linux-unix-bind9-named-configure-views/
https://kb.isc.org/docs/aa-00851

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Fri, 8 Feb 2019 16:20:25 +
"AYANIDES, Jean-Philippe"  wrote:

> Merci pour vos liens que je vais étudier.  Je ne sais pas  si l'analogie
> conjugale est très pertinente, en tous  les cas, il y a quand même une
> question qui n'est toujours pas claire  pour moi : 
> - peut-on résoudre corp.example.com en adressage privé (donc en interne
> seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui
> blâmer ? publier de l'adressage privé ça sert à rien (sans parler des pb
> de sécu). 

Avec le systeme de vues, tu peux tout a fait avoir des zones qui n'ont pas
le meme contenu, et qui ne presente donc pas les memes informations a des
utilisateurs qui seraient internes ou externes. 
Du coup, si tu veux un corp. avec une adresse privee dans ta vue
interne, et pas de corp, ou un corp avec une IP publique dans ta vue
externe, ca peut le faire.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Paul Rolland (ポール・ロラン)]

Hello,

On Fri, 8 Feb 2019 16:51:53 +0100
David Ponzone  wrote:

> > David, Jean-Philippe n'a pas prevu de faire mentir son DNS, il a juste
> > des vues differentes selon que l'on soit In ou Out.
> >   
> Ok, ben essaie de faire ça avec ta femme, on va voir si ça s’appelle pas
> mentir :)

Tu changes le contexte... et la encore, si c'est elle qui a des vues
differentes, c'est pas mentir, c'est seulement quand c'est moi :D

Bon, allez, on retourne aider Jean-Philippe...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[AYANIDES, Jean-Philippe]

Merci pour vos liens que je vais étudier.  Je ne sais pas  si l'analogie 
conjugale est très pertinente, en tous  les cas, il y a quand même une question 
qui n'est toujours pas claire  pour moi : 
- peut-on résoudre corp.example.com en adressage privé (donc en interne 
seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer ? 
publier de l'adressage privé ça sert à rien (sans parler des pb de sécu).
 
>> Le 8 févr. 2019 à 16:46, Paul Rolland (ポール・ロラン)  a 
>> écrit :
>> 
>> David, Jean-Philippe n'a pas prevu de faire mentir son DNS, il a juste des
>> vues differentes selon que l'on soit In ou Out.
>> 

> Ok, ben essaie de faire ça avec ta femme, on va voir si ça s’appelle pas 
> mentir :)



This message contains information that may be privileged or confidential and is 
the property of the Capgemini Group. It is intended only for the person to whom 
it is addressed. If you are not the intended recipient, you are not authorized 
to read, print, retain, copy, disseminate, distribute, or use this message or 
any part thereof. If you receive this message in error, please notify the 
sender immediately and delete all copies of this message.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

> Le 8 févr. 2019 à 16:46, Paul Rolland (ポール・ロラン)  a écrit 
> :
> 
> 
> David, Jean-Philippe n'a pas prevu de faire mentir son DNS, il a juste des
> vues differentes selon que l'on soit In ou Out.
> 

Ok, ben essaie de faire ça avec ta femme, on va voir si ça s’appelle pas mentir 
:)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Fri, 8 Feb 2019 15:56:31 +0100
David Ponzone  wrote:

> Bon alors ma réponse à moi va être: au diable les RFC.
> Tant que c’est ton choix de faire mentir ton DNS à tes utilisateurs
> internes, je ne vois pas le problème.

David, Jean-Philippe n'a pas prevu de faire mentir son DNS, il a juste des
vues differentes selon que l'on soit In ou Out.

[ Fais attention, tu sais que si tu melanges ces termes dans un mail, tu vas
  faire sortir Stephane de sa boite ;) ]

Pour moi, la reponse a Jean-Philipe, c'est de regarder du cote des Views de
bind (mettez le terme adequat pour votre produit fetiche), et pour le
reste, une fois bien maitrise, ca va se passer en douceur.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Jérôme Nicolle]

Salut Jean-Philippe,

Ce que tu souhaites s'appelle le Split Horizon DNS et est bien présenté
là : https://en.wikipedia.org/wiki/Split-horizon_DNS

Il n'y a aucune difficulté particulière à l'implémenter avec des
serveurs DNS modernes.

@+

-- 
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

Bon alors ma réponse à moi va être: au diable les RFC.
Tant que c’est ton choix de faire mentir ton DNS à tes utilisateurs internes, 
je ne vois pas le problème.

> Le 8 févr. 2019 à 15:49, AYANIDES, Jean-Philippe  a 
> écrit :
> 
> désolé j'ai parcouru les discussions mais ça ne m'aide pas vraiment.
> Même une recherche sur DNS+public+privé n'ai pas de grande aide…
> 
> Jean-Philippe
> 
>> https://www.mail-archive.com/search?q=split+DNS=frnog%40frnog.org
> 
>>> Le 8 févr. 2019 à 15:27, AYANIDES, Jean-Philippe  
>>> a écrit :
>>> 
>>> Bonjour,
>>> 
>>> je n'arrive pas à trouver une réponse justifiée à la question suivante, 
>>> alors je m'adresse à vous sur conseil de mes collègues (désolé si ce sont 
>>> des questions bêtes et rebattues, je n'ai rien trouvé dans les archives de 
>>> la frnog) :
>>> 
>>> dans le cadre d'une organisation example.com, à supposer que la zone 
>>> corp.example.com ne soit pas répliquée dans les DNS publiques  example.com 
>>> ouverts sur internet, est-il possible et/ou non déconseillé, dans les DNS 
>>> internes
>>> 
>>> - de résoudre un enregistrement A a.corp.example.com en adresse privée ? 
>>> (de façon générale, on a tendance à utiliser des noms locaux avec un TLD 
>>> .local mais l'IETF ne le recommande pas, cf. 
>>> https://tools.ietf.org/html/rfc6762#appendix-G).
>>> 
>>> - de résoudre un même SOA corp.example.com avec une adresse IP privée 
>>> depuis le DNS interne privé et une adresse publique depuis le serveur DNS 
>>> interne publique ?
>>> 
>>> - de résoudre certains enregistrements A du domaine  corp.example.com en 
>>> adresses publiques et d'autres en adresses privées ?
>>> 
>>> Si rien n'est possible proprement, quelle alternative peut-on trouver ? 
>>> faut-il segmenter en nommant par exemple tout ce qui est adressage publique 
>>> en pub.corp.example.com et tout ce qui est en adressage privé en 
>>> priv.example.com ?
>>> 
>>> Je vous avoue que je ne suis pas familier avec la RFC…
>>> 
>>> Merci
> 
> This message contains information that may be privileged or confidential and 
> is the property of the Capgemini Group. It is intended only for the person to 
> whom it is addressed. If you are not the intended recipient, you are not 
> authorized to read, print, retain, copy, disseminate, distribute, or use this 
> message or any part thereof. If you receive this message in error, please 
> notify the sender immediately and delete all copies of this message.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[AYANIDES, Jean-Philippe]

désolé j'ai parcouru les discussions mais ça ne m'aide pas vraiment.
Même une recherche sur DNS+public+privé n'ai pas de grande aide…

 Jean-Philippe
  
> https://www.mail-archive.com/search?q=split+DNS=frnog%40frnog.org

>> Le 8 févr. 2019 à 15:27, AYANIDES, Jean-Philippe  a 
>> écrit :
>> 
>> Bonjour,
>> 
>> je n'arrive pas à trouver une réponse justifiée à la question suivante, 
>> alors je m'adresse à vous sur conseil de mes collègues (désolé si ce sont 
>> des questions bêtes et rebattues, je n'ai rien trouvé dans les archives de 
>> la frnog) :
>> 
>> dans le cadre d'une organisation example.com, à supposer que la zone 
>> corp.example.com ne soit pas répliquée dans les DNS publiques  example.com 
>> ouverts sur internet, est-il possible et/ou non déconseillé, dans les DNS 
>> internes
>> 
>> - de résoudre un enregistrement A a.corp.example.com en adresse privée ? (de 
>> façon générale, on a tendance à utiliser des noms locaux avec un TLD .local 
>> mais l'IETF ne le recommande pas, cf. 
>> https://tools.ietf.org/html/rfc6762#appendix-G).
>> 
>> - de résoudre un même SOA corp.example.com avec une adresse IP privée depuis 
>> le DNS interne privé et une adresse publique depuis le serveur DNS interne 
>> publique ?
>> 
>> - de résoudre certains enregistrements A du domaine  corp.example.com en 
>> adresses publiques et d'autres en adresses privées ?
>> 
>> Si rien n'est possible proprement, quelle alternative peut-on trouver ? 
>> faut-il segmenter en nommant par exemple tout ce qui est adressage publique 
>> en pub.corp.example.com et tout ce qui est en adressage privé en 
>> priv.example.com ?
>> 
>> Je vous avoue que je ne suis pas familier avec la RFC…
>> 
>> Merci

This message contains information that may be privileged or confidential and is 
the property of the Capgemini Group. It is intended only for the person to whom 
it is addressed. If you are not the intended recipient, you are not authorized 
to read, print, retain, copy, disseminate, distribute, or use this message or 
any part thereof. If you receive this message in error, please notify the 
sender immediately and delete all copies of this message.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[David Ponzone]

https://www.mail-archive.com/search?q=split+DNS=frnog%40frnog.org 


> Le 8 févr. 2019 à 15:27, AYANIDES, Jean-Philippe  a 
> écrit :
> 
> Bonjour,
> 
> je n'arrive pas à trouver une réponse justifiée à la question suivante, alors 
> je m'adresse à vous sur conseil de mes collègues (désolé si ce sont des 
> questions bêtes et rebattues, je n'ai rien trouvé dans les archives de la 
> frnog) :
> 
> dans le cadre d'une organisation example.com, à supposer que la zone 
> corp.example.com ne soit pas répliquée dans les DNS publiques  example.com 
> ouverts sur internet, est-il possible et/ou non déconseillé, dans les DNS 
> internes 
> 
> - de résoudre un enregistrement A a.corp.example.com en adresse privée ? (de 
> façon générale, on a tendance à utiliser des noms locaux avec un TLD .local 
> mais l'IETF ne le recommande pas, cf. 
> https://tools.ietf.org/html/rfc6762#appendix-G).
> 
> - de résoudre un même SOA corp.example.com avec une adresse IP privée depuis 
> le DNS interne privé et une adresse publique depuis le serveur DNS interne 
> publique ?
> 
> - de résoudre certains enregistrements A du domaine corp.example.com en 
> adresses publiques et d'autres en adresses privées ?
> 
> Si rien n'est possible proprement, quelle alternative peut-on trouver ? 
> faut-il segmenter en nommant par exemple tout ce qui est adressage publique 
> en pub.corp.example.com et tout ce qui est en adressage privé en 
> priv.example.com ?
> 
> Je vous avoue que je ne suis pas familier avec la RFC…
> 
> Merci
> 
> Jean-Philippe
> 
> This message contains information that may be privileged or confidential and 
> is the property of the Capgemini Group. It is intended only for the person to 
> whom it is addressed. If you are not the intended recipient, you are not 
> authorized to read, print, retain, copy, disseminate, distribute, or use this 
> message or any part thereof. If you receive this message in error, please 
> notify the sender immediately and delete all copies of this message.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/