Non-résolution DNS pour les sites externes
belgo
-
belgo -
belgo -
Bonjour à tous,
Je suis confronté à un problème avec mon serveur bind sur une Debian 5. Je vous explique la situation : un serveur DNS est présent dans le LAN afin d'utiliser le cache DNS + la résolution de nom pour l'intranet. Les requêtes externes sont forwardées sur les serveurs DNS du FAI. En interne, toute résolution directe ou inverse fonctionne parfaitement.
J'ai mis en place le service VPN sur un firewall ZyXEL ZYWAL 5 pour que les employés puissent se connecter de chez eux.
Le problème est le suivant : lorsque je me connecte en VPN, la résolution de nom pour les sites externes (Internet) ne se fait pas, le serveur refuse de résoudre la requête. Alors que pour les nom intranet, ils sont bien résolus...
Sur les clients, c'est le DNS interne de l'entreprise qui est utilisé comme serveur DNS dans la configuration du client VPN.
Pour l'instant j'en suis à 3 solutions temporaires et contraignantes :
- soit le client a accès à Internet OU aux machines de l'intranet avec résolution des noms
- soit le client a accès à Internet et aux machines de l'intranet MAIS que par adresse IP (pour les machines intranet)
- soit le client a accès à Internet et aux machines de l'intranet avec résolution des noms MAIS il faut rentré manuellement l'adresse IP du DNS de l'entreprise et du DNS local du client dans la configuration de la carte réseau. Ce qui n'est pas simple pour des personnes n'ayant pas de compétence dans ce domaine.
Il faudrait donc que le serveur de l'entreprise résolve les adresses Internet pour que le client ait accès en même temps à Internet et aux machines de l'intranet avec résolution des noms. Cela résoudrait mon problème.
Si vous avez une quelconque idée ? Je suis ouvert à tout.
Merci d'avance,
Belgo
Je suis confronté à un problème avec mon serveur bind sur une Debian 5. Je vous explique la situation : un serveur DNS est présent dans le LAN afin d'utiliser le cache DNS + la résolution de nom pour l'intranet. Les requêtes externes sont forwardées sur les serveurs DNS du FAI. En interne, toute résolution directe ou inverse fonctionne parfaitement.
J'ai mis en place le service VPN sur un firewall ZyXEL ZYWAL 5 pour que les employés puissent se connecter de chez eux.
Le problème est le suivant : lorsque je me connecte en VPN, la résolution de nom pour les sites externes (Internet) ne se fait pas, le serveur refuse de résoudre la requête. Alors que pour les nom intranet, ils sont bien résolus...
Sur les clients, c'est le DNS interne de l'entreprise qui est utilisé comme serveur DNS dans la configuration du client VPN.
*** sagat.intranet ne parvient pas à trouver www.google.com : Query refused
Pour l'instant j'en suis à 3 solutions temporaires et contraignantes :
- soit le client a accès à Internet OU aux machines de l'intranet avec résolution des noms
- soit le client a accès à Internet et aux machines de l'intranet MAIS que par adresse IP (pour les machines intranet)
- soit le client a accès à Internet et aux machines de l'intranet avec résolution des noms MAIS il faut rentré manuellement l'adresse IP du DNS de l'entreprise et du DNS local du client dans la configuration de la carte réseau. Ce qui n'est pas simple pour des personnes n'ayant pas de compétence dans ce domaine.
Il faudrait donc que le serveur de l'entreprise résolve les adresses Internet pour que le client ait accès en même temps à Internet et aux machines de l'intranet avec résolution des noms. Cela résoudrait mon problème.
Si vous avez une quelconque idée ? Je suis ouvert à tout.
Merci d'avance,
Belgo
A voir également:
- Non-résolution DNS pour les sites externes
- Changer dns - Guide
- Meilleurs sites de téléchargement - Accueil - Outils
- Sites de vente d'occasion - Guide
- Dns gratuit - Guide
- Flush dns - Guide
1 réponse
J'ai résolut le problème, je le met ici pour ceux qui auront le même problème :
Par défaut, bind ne répond qu'à son propre sous-réseau pour les requêtes forwardées, il faut spécifier les réseaux qui pourront utiliser le cache DNS via la ligne suivante :
allow-recursion { LAN1; LAN2; RANGE VPN; }
ou alors autoriser tous réseaux avec la ligne suivante, dans le cas où on ne spécifie pas de range IP pour les clients VPN :
allow-recursion { any; }
Cette nouvelle différenciation d'autorisation entre les requêtes d'une zone DNS gérée par le serveur et les requêtes en cache apparait depuis la version 9.4 de bind et n'était pas utilisé par la version 9.3.
https://docs.menandmice.com/display/MM/Documentation+Home%3bjsessionid=32C0E2308511FE9A9113C37037A20DAF
Par défaut, bind ne répond qu'à son propre sous-réseau pour les requêtes forwardées, il faut spécifier les réseaux qui pourront utiliser le cache DNS via la ligne suivante :
allow-recursion { LAN1; LAN2; RANGE VPN; }
ou alors autoriser tous réseaux avec la ligne suivante, dans le cas où on ne spécifie pas de range IP pour les clients VPN :
allow-recursion { any; }
Cette nouvelle différenciation d'autorisation entre les requêtes d'une zone DNS gérée par le serveur et les requêtes en cache apparait depuis la version 9.4 de bind et n'était pas utilisé par la version 9.3.
https://docs.menandmice.com/display/MM/Documentation+Home%3bjsessionid=32C0E2308511FE9A9113C37037A20DAF
