Bonjour, En local, ton serveur DNS ( AD par exemple ) résoudra vers ton applicatif ( split-horizon ) En VPN, tu peux selon ta solution VPN forcer le serveur DNS pour faire résoudre vers ton applicatif, il n'y a donc pas de problème de NAT. Le même nom pourra donc résoudre vers ton serveur.
Attention, si ton application est attaquée par un navigateur internet, ceux-ci vont vouloir faire du DoH ( rien a voir avec Homer simpson ) et donc vont refuser Split-horizon DNS Il faut donc configurer ton serveur DNS pour désactiver DoH : https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet Kévin -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Pierrick CHOVELON Envoyé : jeudi 9 avril 2020 10:35 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Question résolution DNS ... particulière ... Bonjour la liste, Je vous expose une situation à laquelle on va être confrontés. On a des pistes de travail (genre pistes forestières pas bien débroussaillées où on a du mal à faire un pied devant l'autre sans se prendre une racine 🙃...). N'étant pas du tout du tout expert sur le DNS j'aimerai avoir vos conseils. On déploie des applications accessibles en HTTP/S sur des infra clients. Ces infras se trouver sur le réseau du client. Le client va ajouter un enregistrement dans son DNS interne pour résoudre *application.domaine.fr <http://application.domaine.fr>* (domaine interne du client) en IP interne (RFC1918 donc), et donner accès à ses utilisateurs. Ce nom sera utilisé dans le certificat HTTPS. On aura également besoin d'accéder à ces appli en web. Arrive donc la question : comment gérer (le plus "simplement" possible 😎) la résolution de *application.domaine.fr <http://application.domaine.fr>* depuis chez nous en sachant que : - on accède aux applis à travers un VPN lan to lan, il y a donc peut-être du NAT si overlapping - on voudrait éviter de gérer deux certificats HTTPS Nos pistes de réflexions sont : - Ajouter un sous-domaine en interne pour accéder à ces applications -> mais gestion de deux certificats côté appli - Récupérer les infos sur le DNS client avec une délégation -> mais se pose le problème du NAT - Déporter la résolution DNS chez le client en utilisant un proxy web configuré au même endroit que l'appli -> très contraignant à l'utilisation - Rester sur la modif de notre fichier /etc/hosts à la main ... ... ... ... On a bien fait le tour de la question, et on pense qu'il n'y aura pas de solution magique. Mais tant qu'à faire, autant mettre en place celle qui est le plus facile à maintenir. D'avance merci pour vos retours. Bonne journée. ______________________________ *Pierrick CHOVELON I *Ingénieur système *Advanced Software I IT* +33 4 77 43 27 05 <https://ligo.a-sis.eu/modules.php?op=modload&name=Annuaire&file=tel_TWSCaller&TEL=+33%204%2077%2043%2027%2005&nom=CHOVELON%20Pierrick> pierrick.chove...@savoye.com *SAVOYE - 8, rue de la Richelandière - 42100 - Saint-Etienne - France* *Savoye recrute ! <https://careers.savoye.com/#!/fr/index> - *www.savoye.com --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
