[FRnOG] [TECH] Sous-zone DNS dédiée réseau interne via zone DNS gérée par tiers (eg. OVH)

Mon, 06 Sep 2021 09:31:01 -0700 

TL;DR: J'ai déclaré une sous-zone DNS chez OVH pour la gérer en interne
et `dig` me réponds "not found" / "no more"


Bonjour la liste,

Après avoir utilisé le nom de domaine "ma_societe.local" en LAN/interne
(via un bind9 hébergé en local et utilisés par les postes du LAN)
pendant des années, vient le temps de corriger cette erreur de jeunesse...

J'aimerais donc utiliser le nom de domaine "ma_societe.com", avec une
sous-zone pour les résolutions de nom d'appareils internes :
"interne.ma_societe.com"
Elle serait gérée par mes serveurs DNS bind9 en local (d'IP 10.0.0.1 et
10.0.0.2).

Ainsi j'utiliserai un vrai nom de domaine valide tout en conservant la
main sur les enregistrements internes qui n'ont pas vocation à être
connus du public.

Bien entendu, une résolution de foo.interne.ma_societe.com ne devrait
fonctionner que depuis le réseau local (ou via VPN).

Ma première question est donc : ais-je bien choisit la bonne solution
technique pour éviter d'avoir un .local (ou .lan, etc.) à l'avenir peu
certain tout en ayant une zone bien à moi.

Il me semblait avoir vu passer une discussion similaire mais je ne
trouve rien dans les archives de la liste.

Ensuite, pour la mise en œuvre, j'ai fait comme suit :

Le nom de domaine "ma_societe.com" étant enregistré chez OVH j'ai ajouté
les 4 enregistrements suivants dans la zone "ma_societe.com" via le
Manager d'OVH :

```
interne        IN NS     interne-ns1
interne        IN NS     interne-ns2
interne-ns1    IN  A     10.0.0.1
interne-ns2    IN  A     10.0.0.2
```

Et j'ai rajouté un fichier de zone pour "interne.ma_societe.com" sur mes
serveurs DNS internes :

```
zone "interne.ma_societe.com." {
    notify no;
    type master;
    file "/var/lib/bind/db.interne.ma_societe.com";
    forwarders { 10.0.0.3; };
}
```

```
$TTL    604800
@ IN SOA interne-ns1.ma_societe.com. root.ma_societe.com. (
          2
     604800
      86400
    2419200
     604800 )
;
             IN NS    interne-ns1.ma_societe.com.
             IN NS    interne-ns2.ma_societe.com.
routeur-4    IN  A    10.0.1.4
app-5        IN  A    10.0.1.5
```

Après propagation, un :

```
dig @8.8.8.8 A interne-ns1.ma_societe.com
```

me retourne bien "10.0.0.1", ça c'est donc OK.

Mais la couche d'après ne fonctionne pas, car des :

```
dig @8.8.8.8 +trace NS interne.ma_societe.com
dig @8.8.8.8 +trace A app-5.interne.ma_societe.com
```

échouent par un :

```
couldn't get address for 'interne-ns1.ma_societe.com': not found
dig: couldn't get address for 'interne-ns1.ma_societe.com': no more
```

(enlever `+trace` ne permet pas d'avoir une meilleure réponse)

Je ne vois rien dans le `dig +trace` qui montre qu'il essaie de
contacter mes serveurs DNS (et leurs logs le confirme).

Et interroger directement le serveur DNS interne fonctionne :

```
dig @10.0.0.1 NS interne.ma_societe.com
dig @10.0.0.1 A app-5.interne.ma_societe.com
```
```

Qu'ais-je oublié de faire côté OVH ?

-- 
DUVERGIER Claude


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à