Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1232 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Rslu]Pfsense et résolution vers un serveur DNS autoritaire impossible

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Rslu]Pfsense et résolution vers un serveur DNS autoritaire impossible

n°1478621
renaud072
Posté le 30-09-2022 à 16:57:51  profilanswer
 

Bonjour,
 
Je m'amuse depuis quelques jours avec IPv6 et la délégation de préfixe. J'ai donc voulu créer un réseau séparé pour mes VM avec un subnet différent, jusque là tout va bien.  
 
Là où ça coince, c'est que je n'arrive pas à résoudre mon nom de domaine interne si je mets pfsense en forwarding sur mon DNS : la partie authority section est bien renvoyée mais aucun record (alors qu'une capture wireshark montre bien que tout est renvoyé) Pour que ça fonctionne il faut que j'annonce directement mon DNS. La seule chose qui fonctionne, c'est la résolution des domaines publics. DNSSEC est désactivé (ce qui me provoquait des SERVFAIL au début).
 
Petit plan simplifié du réseau :

<Internet>
    |
    |              
[Routeur OpenWRT (DHCPv6-PD /56)]------[VM Pfsense (NAT, Prefix Delegated /64)]------<LAN VMs (192.168.44.0/24) + v6>
                                   |
                                   |
                     <LAN (192.168.1.0/24) + v6>----[Raspberry Pi (DHCP/DNS)]


 
J'ai écumé le net à la recherche d'un problème similaire, mais j'ai pas trouvé... ou alors j'ai loupé un truc.  
 
 
Exemple :
Pfsense :  

Code :
  1. renaud@renaud-VirtualBox:~$ dig @192.168.44.1 srv.lpa.lan
  3. ; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> @192.168.44.1 srv.lpa.lan
  4. ; (1 server found)
  5. ;; global options: +cmd
  6. ;; Got answer:
  7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39473
  8. ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1
  10. ;; OPT PSEUDOSECTION:
  11. ; EDNS: version: 0, flags:; udp: 1232
  12. ;; QUESTION SECTION:
  13. ;srv.lpa.lan.   IN A
  15. ;; AUTHORITY SECTION:
  16. lpa.lan.  3600 IN NS srv.lpa.lan.
  17. lpa.lan.  3600 IN NS rpi.lpa.lan.
  19. ;; Query time: 3 msec
  20. ;; SERVER: 192.168.44.1#53(192.168.44.1) (UDP)
  21. ;; WHEN: Fri Sep 30 16:49:00 CEST 2022
  22. ;; MSG SIZE  rcvd: 72


 
En direct :  

Code :
  1. renaud@renaud-VirtualBox:~$ dig @192.168.1.10 srv.lpa.lan
  3. ; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> @192.168.1.10 srv.lpa.lan
  4. ; (1 server found)
  5. ;; global options: +cmd
  6. ;; Got answer:
  7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1054
  8. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
  10. ;; OPT PSEUDOSECTION:
  11. ; EDNS: version: 0, flags:; udp: 4096
  12. ; COOKIE: 7d45fe33e6d66bde84e7ef10633702256e97c66e9196fadc (good)
  13. ;; QUESTION SECTION:
  14. ;srv.lpa.lan.   IN A
  16. ;; ANSWER SECTION:
  17. srv.lpa.lan.  3600 IN A 192.168.1.2
  19. ;; AUTHORITY SECTION:
  20. lpa.lan.  3600 IN NS rpi.lpa.lan.
  21. lpa.lan.  3600 IN NS srv.lpa.lan.
  23. ;; ADDITIONAL SECTION:
  24. rpi.lpa.lan.  300 IN A 192.168.1.10
  26. ;; Query time: 0 msec
  27. ;; SERVER: 192.168.1.10#53(192.168.1.10) (UDP)
  28. ;; WHEN: Fri Sep 30 16:50:13 CEST 2022
  29. ;; MSG SIZE  rcvd: 132


 
Merci  :jap:

Message cité 1 fois
Message édité par renaud072 le 01-10-2022 à 15:45:05

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
mood
Publicité
Posté le 30-09-2022 à 16:57:51  profilanswer
 

n°1478623
Ivy gu
3 blobcats dans un trenchcoat
Posté le 30-09-2022 à 18:15:14  profilanswer
 

renaud072 a écrit :

Là où ça coince, c'est que je n'arrive pas à résoudre mon nom de domaine interne si je mets pfsense en forwarding sur mon DNS : la partie authority section est bien renvoyée mais aucun record (alors qu'une capture wireshark montre bien que tout est renvoyé)


 
renvoyée de quoi vers quoi ? qu'est-ce qui marche et qu'est-ce qui manque, en prenant étape par étape.
 
intuitivement je dirais que ton pfsense doit se considérer comme faisant autorité (avec une conf de zone vide) sur ta zone interne, d'où le résultat que tu obtiens.


---------------
Circular logic works because of circular logic.
n°1478624
renaud072
Posté le 30-09-2022 à 18:18:36  profilanswer
 

Merci pour ta réponse, mais j'ai finalement trouvé entre temps et ce n'est pas du tout à quoi je m'attendais :  J'ai basculé par hasard sur dnsmasq, et voyant que ça fonctionnait encore moins (aucune réponse), j'ai remarqué qu'il y avait une partie log. Je vais voir et découvre ça :

Code :
  1. 2022-09-30T17:58:57 Warning dnsmasq possible DNS-rebind attack detected: rpi.lpa.lan
 

Après recherche, il s'avère que ce mécanisme bloque les IP privées... Un petit tour dans System > Settings > Administration cocher ça :
https://i.imgur.com/0Ud9gvV.png

 

:o

 

Et magie, ça marche !


Message édité par renaud072 le 30-09-2022 à 19:34:38

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Rslu]Pfsense et résolution vers un serveur DNS autoritaire impossible

 

Sujets relatifs
IPv6 et DNSInstallation LMDE5 : impossible d'avoir le wifi
[Ubuntu] Impossible de faire apparaître une clé usb sur GpartedDebian 11 - apt-get update impossible
Impossible de jointe mon contrôle de domaine LDAPPourquoi veulent t'ils virer le tunneling vers X ...
choix d'OS pour un mini serveur @home (bidouille/apprentissage)[réglé] dock/adaptateur disque dur SATA vers USB3 avec support SMART?
impossible de booter sur une clé bootable LUBUNTU (vieil ordinateur)Installation Garuda impossible ( demande d'aide )
Plus de sujets relatifs à : [Rslu]Pfsense et résolution vers un serveur DNS autoritaire impossible

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.053 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR