Salut Jean-Philippe,
Ce que tu souhaites s'appelle le Split Horizon DNS et est bien présenté
là : https://en.wikipedia.org/wiki/Split-horizon_DNS
Il n'y a aucune difficulté particulière à l'implémenter avec des
serveurs DNS modernes.
@+
--
Jérôme Nicolle
+33 6 19 31 27 14
> Kevin CHAILLY a écrit :
> Attention, si ton application est attaquée par un navigateur internet,
> ceux-ci vont vouloir
> faire du DoH ( rien a voir avec Homer simpson ) et donc vont refuser
> Split-horizon DNS
> Il faut donc configurer ton serveur DNS pour désacti
> > Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
> > le client souhaite utiliser uniquement un resolver DNS public avec les
> > enregistrements publics et privés.
> Le split DNS c'est quand même un nid à ennui ++
+1
(...)
> > Techn
On Thu, Dec 05, 2019 at 03:11:58PM +0100, Julien Escario wrote:
[…] Pour cela, il faut regarder du côté de split-horizon DNS mais
c'est assez lourd à mettre en place juste pour un enregistrement.
Quand j'ai discuté de la pertinence d'utiliser les vues en terme de
sécurité avec quelqu'un qui
Bonjour,
Le mail du 21/09/2022 exprime entre autres:
(cf. mail ID
):
> Salut à tous,
> J'ai une question liée à un cas d'usage que je rencontre chez un clients et
> pour lequel j'ai du mal à trouver de arguments / contre-arguments.
> Pour ne plus être emmerdé avec le split DNS et l
https://www.mail-archive.com/search?q=split+DNS=frnog%40frnog.org
<https://www.mail-archive.com/search?q=split+DNS=frnog@frnog.org>
> Le 8 févr. 2019 à 15:27, AYANIDES, Jean-Philippe a
> écrit :
>
> Bonjour,
>
> je n'arrive pas à trouver une réponse justifiée à la
mple en mettant une IP publique à ston DNS interne
> autoritaire sur interne.masociete.com <http://interne.masociete.com>
>
> Si c’est purement à usage interne, tu maitrises le résolveur utilisé par
> les clients ?
> -> si oui, alors la méthode du forward vers ton DNS int
Salut à tous,
J'ai une question liée à un cas d'usage que je rencontre chez un clients et
pour lequel j'ai du mal à trouver de arguments / contre-arguments.
Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
le client souhaite utiliser uniquement un resolver DNS public
.)
Split DNS?
Ouais.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
particular, Internet service providers should take
>measures to prevent such leakage.
Ce qui est casse-pied au possible dès qu'on utilise des VPN sur des OS
dont le resolver ne sait pas faire de split DNS. C'est la raison
principale pour laquelle je fais tourner Unbound en local. Exemple
typ
21 septembre 2022 à 14:49 "David Neto" a écrit:
>
> Salut à tous,
>
> J'ai une question liée à un cas d'usage que je rencontre chez un clients et
> pour lequel j'ai du mal à trouver de arguments / contre-arguments.
>
> Pour ne plus être emmerdé avec le split DN
My 2cents sur le sujet.
1) le split dns (avoir des zones dites privée et publique sur le meme
nom dns) à mon avis c'est vraiment se tirer une belle balle dans le
pieds. Je conseille de nettement séparer les zones publiques (qui ne
devrait pas contenir grand chose normalement), et une zone
Re,
> Pour tout ce qui est Microsoft/Skype/ADFS, Microsoft demande de faire du
> split DNS avec des serveurs proxy ADFS en DMZ pour le NDD principale.
> Ici, on sur-écrit notre zone DNS publique en interne mais chaque
> enregistrement est considéré comme une sous zon
On 20/03/2020 20:53, Baptiste Chappe wrote:
Bonsoir,
J'ai eu la même ce jour avec un client sur une Freebox. Je monte le VPN
avec un split. Seul le trafic vers le range precis passe dans le tunnel.
Impossible de ping la ressource en DNS.
Je change le DNS par Google et paf ca marche.
Je suis
désolé j'ai parcouru les discussions mais ça ne m'aide pas vraiment.
Même une recherche sur DNS+public+privé n'ai pas de grande aide…
Jean-Philippe
> https://www.mail-archive.com/search?q=split+DNS=frnog%40frnog.org
>> Le 8 févr. 2019 à 15:27, AYANIDES, Jean-Philippe a
'interieur.
- ceux qui doivent l'etre de l'interieur et pas de l'exterieur
- ceux qui sont visible de l'intereiur et de l'exterieur mais avec des
IPs differentes.
Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il
devrait y avoir des lois contre ca.
On a ete oblige d'introduire u
Hello,
Pour tout ce qui est Microsoft/Skype/ADFS, Microsoft demande de faire du
split DNS avec des serveurs proxy ADFS en DMZ pour le NDD principale.
Ici, on sur-écrit notre zone DNS publique en interne mais chaque
enregistrement est considéré comme une sous zone. Ainsi, si
l'enregistrement
, David Neto wrote:
Salut à tous,
J'ai une question liée à un cas d'usage que je rencontre chez un clients et
pour lequel j'ai du mal à trouver de arguments / contre-arguments.
Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
le client souhaite utiliser uniquement un resolver
Bonjour Roger,
Peut-être vais-je dire une bêtise, mais lors du dernier FR_NOG, nous
avons eu une présentation fort sympathique de DNSDist. Je sais ce n'est
pas son but que de délivrer des vues DNS, mais vu la panoplie d'outils
qu'il intègre, on doit pouvoir faire quelque chose du genre pour
fichier host, pour
> que les machine connectés par un plan d'adressage commun mais des dns
> différents ce connectent à un serveur web interne.
Rien de dramatique à faire. Par contre, l'idéal étant de ne pas envoyer
cet enregistrement A sur le net, publiquement.
Pour cela, il faut regarder
Bonjour Roger,
Avec BIND j'utiliserais sortlist dans ton cas.
En plus c'est plus facile si tu decides de signer ta zone dans le future.
Jean-Yves
>
> > Le 31 mai 2017 à 21:27, Roger YERBANGA <roger_yerba...@yahoo.com> a
> écrit :
> >
> > Bonjour à tous,
&
La réponse est "view"
Apres pour toutes les zones en commun, ça peut pointer vers les mêmes fichiers
de zone.
> Le 31 mai 2017 à 21:27, Roger YERBANGA <roger_yerba...@yahoo.com> a écrit :
>
> Bonjour à tous,
> Sur une infra de DNS (bind9) hébergeant quelques centa
Ça depends aussi des numéros de version des enregistrements, de comment
fonctionne le client du eyeballs, de la mise en place de Split dns (dans
certains réseaux) etc etc etc
Téléchargez Outlook pour Android<https://aka.ms/ghei36>
From: Samuel Thibault
l'enregistrement particulier il est pour les internes ou externes ?
parce qu'effectivement avec bind, le split horizon, ça se fait avec des
views. je comprend l'envie de pas dupliquer les zones, mais je t'assure
avec un peu de python © c'est tout a fait gérable.
quand a dnsdist, je peux que le
e m'aide pas vraiment.
> Même une recherche sur DNS+public+privé n'ai pas de grande aide…
>
> Jean-Philippe
>
>> https://www.mail-archive.com/search?q=split+DNS=frnog%40frnog.org
>
>>> Le 8 févr. 2019 à 15:27, AYANIDES, Jean-Philippe
>>> a écrit :
>>>
- ceux qui doivent l'etre de l'extreieur et pas de l'interieur.
> - ceux qui doivent l'etre de l'interieur et pas de l'exterieur
> - ceux qui sont visible de l'intereiur et de l'exterieur mais avec des
> IPs differentes.
>
> Un enfer sans nom et qui casse le modele (notamment
Bonjour,
En local, ton serveur DNS ( AD par exemple ) résoudra vers ton applicatif (
split-horizon )
En VPN, tu peux selon ta solution VPN forcer le serveur DNS pour faire résoudre
vers ton applicatif, il n'y a donc pas de problème de NAT.
Le même nom pourra donc résoudre vers ton serveur
u plutôt à pas
>> grand'chose).
Split horizon DNS est-il une meilleure solution que le NAT Hairpinning ? Vous
avez quatre heures.
>Une utilisation que je vois à l'instant : se protéger contre un hack du CPE
>qui permettrait d'y rajouter un DNS menteur ?
>Mais on en revient à la prob
-to-resolve-.html
Quand même, gérer un DNS sans db, ça m'a rappelé ma jeunesse :)
On 2017-05-31 21:51, Roger YERBANGA wrote:
Oui et non.C'est vrai pour le maitre, mais bind donne une erreur de
syntaxe pour les slaves.Donc, non. Marche pas comme ça.
Roger
Le mer., mai 31 2017 à 17:30, Guillaume
Cc : Damien Wetzel ; frnog-al...@frnog.org
Objet : Re: [FRnOG] Re: [ALERT] Un CDN Down ?
Ça depends aussi des numéros de version des enregistrements, de comment
fonctionne le client du eyeballs, de la mise en place de Split dns (dans
certains réseaux) etc etc etc
Téléchargez Outlook pour Android
sur le serveur A et sur le serveur B, et
mettre deux A records sur ton entrée DNS en round robin.
Je fais ça avec du CARP et ça marche nickel.
Par contre c'est vraiment pas scalable (ça commence à être tordu si tu
rajoutes un 3eme site...) et il faut faire gaffe au split brain comme un
camarade l'a
machinbox et y accéder depuis chez soi sans se prendre la tête ?
Split DNS?
Enlever IPv4 du LAN et faire du NAT64? ;)
Simon
---
Liste de diffusion du FRnOG
http://www.frnog.org/
locaux, dans la mesure où cela te permet de faire facilement un
split-horizon DNS entre les noms visibles depuis l'extérieur et les noms qui
doivent n'être visibles qu'à l'intérieur seulement. Ajouter à cela la
validation DNSSEC et tu as un résolveur parfait !
Cordialement
Emmanuel Thierry
e" dirait sieur Bortzmeyer :)
La réponse est "view"
Apres pour toutes les zones en commun, ça peut pointer vers les mêmes
fichiers de zone.
Bonjour à tous,
Sur une infra de DNS (bind9) hébergeant quelques centaines de
domaines, j'ai un enregistrement particulier qui doit donner 2
répon
ça peut pointer vers les mêmes fichiers
de zone.
> Le 31 mai 2017 à 21:27, Roger YERBANGA <roger_yerba...@yahoo.com> a écrit :
>
> Bonjour à tous,
> Sur une infra de DNS (bind9) hébergeant quelques centaines de domaines, j'ai
> un enregistrement particulier qui
- Il y a des raisons à faire du split DNS : pourquoi faire transiter par le
routeur du trafic qui reste en interne ? C’est juste du bon sens, et une
question de perf. Quand on a des backbone à 100 Gb/s ou plus, on a rarement la
même chose en externe. Garder le même nom pour un service et ne
Bonsoir,
J'ai eu la même ce jour avec un client sur une Freebox. Je monte le VPN
avec un split. Seul le trafic vers le range precis passe dans le tunnel.
Impossible de ping la ressource en DNS.
Je change le DNS par Google et paf ca marche.
Je suis un dingue en publiant dans le DNS des clients
Mmmhhh, je regarde ce débat depuis quelques jours, et j’aimerai apporter mon
grain de sel (de sable ?).
- Il y a des raisons à faire du split DNS : pourquoi faire transiter par le
routeur du trafic qui reste en interne ? C’est juste du bon sens, et une
question de perf. Quand on a des backbone
-02
VLAN, VRF, visualization, RIPE, host scanning, etc...
IP request form
* netmagis - http://netmagis.org - 2015-09
Split DNS support
DHCP/DNS integration
VLAN maanagement
Generate traffic graphs
## Inventory management / CMDB (possibly including IPAM)
* iTop
phpIPAM - http://phpipam.net - 2016-02
>
> VLAN, VRF, visualization, RIPE, host scanning, etc...
> IP request form
>
> * netmagis - http://netmagis.org - 2015-09
>
> Split DNS support
> DHCP/DNS integration
> VLAN maanagement
> Generate traffic graphs
- PowerDNS integration
* phpIPAM - http://phpipam.net - 2016-02
VLAN, VRF, visualization, RIPE, host scanning, etc...
IP request form
* netmagis - http://netmagis.org - 2015-09
Split DNS support
DHCP/DNS integration
VLAN maanagement
Generate traffic graphs
## Inventor
tor fwd/ptr
>> - Integration OCS Inventory NG
>>
>> * TeemIP - http://www.combodo.com/teemip-194 (2015-03), part of iTop or
>> alone
>>
>> - request management w/portal systen for requestors
>> - DNS
>> - extensible
>>
>> * S
; utilisable sur le réseau de l'opé/l'entreprise.
>
> Heureusement, car cela ne servirait à rien (ou plutôt à pas
> grand'chose).
Une utilisation que je vois à l'instant : se protéger contre un hack du
CPE qui permettrait d'y rajouter un DNS menteur ?
Mais on en revient à la problé
disjoint d'une
manière ou d'une autre (enfin à part configuration très particulière).
Donc le split brain de DC n'est pas une option (quitte à passer over
internet).
Ceci dit, on peut aussi se demander si le choix d’Anycast est judicieux.
Anycast pour moi, c’est quand on veut servir rapidement un
Bonjour,
comme tout le monde, je +1 sur le split tunneling.
cependant cette solution ne fonctionne plus quand la destination est
derrière un CDN: ça devient compliqué de split tunneler les milliers d'IPs
de Cloudfront.
Si t'as un smart cloud-based VPN ChatGPT-powered et bien intrusif surtout,
il
gt; > > >> - NetDot (que je connais bien)
> > > >>
> > > >> # IPAM and CMDB software
> > > >>
> > > >> ## IPAM
> > > >>
> > > >> * HaCi http://haci.larsux.de/ - 2015-03
> > > >>
> > >
zone file generator fwd/ptr
> >> - Integration OCS Inventory NG
> >>
> >> * TeemIP - http://www.combodo.com/teemip-194 (2015-03), part of iTop or
> >> alone
> >>
> >> - request management w/portal systen for requestors
> >> - DNS
lates, space
> > >> visualization
> > >>
> > >> * GestioIP http://haci.larsux.de/ - 2016-02
> > >>
> > >> - IPAM w/ VLAN management, subnet disco. via SNMP, space
> > >> visualization
> > >> - BIND zone file generator fw
, etc...
IP request form
* netmagis - http://netmagis.org - 2015-09
Split DNS support
DHCP/DNS integration
VLAN maanagement
Generate traffic graphs
## Inventory management / CMDB (possibly including IPAM)
* iTop https://wiki.openitop.org/doku.php - 2014 (w/updat
>> - IPAM only, v4/v6, multiple POPs, uses templates, space
> > >> visualization
> > >>
> > >> * GestioIP http://haci.larsux.de/ - 2016-02
> > >>
> > >> - IPAM w/ VLAN management, subnet disco. via SNMP, space
&
qu'en plus le préfixe a très peu de chances d'être le
même que celui d'une autre boite.
Comment est-il annoncé ce préfixe local ?
On peut donc se baser sur ce lien local pour monter toute l'archi interne (nom
DNS interne pour le split, etc) et laisser l'autoconf gérer pour l'adresse
routable sur
sible
des middlebox...
Ha, et si tu comptes faire du split tunneling avec le VPN, il faut veiller à
surveiller le non-recouvrement de la même façon que pour les vraies routes
publiques apprises en backbone. (pour du SaaS en général)
Une raison plus de s'intéresser à IPv6 dans les grosses
Tu as plusieurs choix qui s’offrent à toi mais l’idée de faire du Split
tunneling et de fournir lip wan des users en délégation chez tes clients et
pas une bonne pratique
La meilleure serait de faire de lip sec en mode gateway avec un premier
filtrage de la remediation du dns sec du proxy web et
fonctionner même quand les références à une tierce partie
sont cassées (exigence GEN-12), par exemple à cause du NAT ou du split
DNS.
Suivent en section 4 les exigences pour la CI. CI (Control Interface)
est l'interface qui contrôle les autres interfaces, par exemple pour
les opérations de démarrage
> soi-même pas de l’autre côté du NAT, mais en interne.
>
> Prends de l’aspirine et:
>
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
> <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
>
> Pour moi tu as 2 solutions:
> -DNS spli
du NAT, en étant soi-même pas
de l’autre côté du NAT, mais en interne.
Prends de l’aspirine et:
https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine
nds de l’aspirine et:
https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine
pour par pondre une grosse bouse
> Le 8 avr. 2016 à 13:43, Antoine Durant <
du NAT, mais en interne.
Prends de l’aspirine et:
https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine
pour par pondre une grosse bouse
> Le 8 avr. 2
IP
> publique qui donne accès à une ressource interne grâce à du NAT, en étant
> soi-même pas de l’autre côté du NAT, mais en interne.
>
> Prends de l’aspirine et:
>
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
> <https://supportforums.cisco.com/discu
consiste à accéder à une IP publique
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas
de l’autre côté du NAT, mais en interne.
Prends de l’aspirine et:
https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
Pour moi tu as 2 solutions:
-DNS split-horizon
-o
flux vers ton client.
Le mer. 29 mars 2023 à 16:48, sofiane JALID a
écrit :
> Tu as plusieurs choix qui s’offrent à toi mais l’idée de faire du Split
> tunneling et de fournir lip wan des users en délégation chez tes clients et
> pas une bonne pratique
>
> La meilleure ser
pour que les flux match avec un groupe ou un users par exemple et autoriser
dans ton ipsec uniquement le bastion qui lui a les flux vers ton client.
Le mer. 29 mars 2023 à 16:48, sofiane JALID a
écrit :
> Tu as plusieurs choix qui s’offrent à toi mais l’idée de faire du Split
> tunneling
il faudra prévoir une vue
externe et une interne (split DNS).
Bref, NPTv6 n'est pas une solution parfaite et c'est pour cela que ce
RFC reste au statut Expérimental.
Si on décide de poursuivre cette voie, il faut choisir les adresses à
utiliser en interne. Les ULA du RFC 4193 semblent la
accéder à une IP
> publique qui donne accès à une ressource interne grâce à du NAT, en étant
> soi-même pas de l’autre côté du NAT, mais en interne.
>
> Prends de l’aspirine et:
>
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning<https://supportforums.cisco.c
nse qui vient de 10.0.1.1 alors qu’il avait
> > envoyé un paquet à 1.1.1.1.
> >
> > En fait, c’est le problème fondamental qui consiste à accéder à une IP
> > publique qui donne accès à une ressource interne grâce à du NAT, en étant
> > soi-même pas de l’autre côté du NAT, mais en i
65 matches
Mail list logo
