Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1686 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Rslu]Pfsense et résolution vers un serveur DNS autoritaire impossible

 
 



Dernière réponse
Sujet : [Rslu]Pfsense et résolution vers un serveur DNS autoritaire impossible
renaud072 Merci pour ta réponse, mais j'ai finalement trouvé entre temps et ce n'est pas du tout à quoi je m'attendais :  J'ai basculé par hasard sur dnsmasq, et voyant que ça fonctionnait encore moins (aucune réponse), j'ai remarqué qu'il y avait une partie log. Je vais voir et découvre ça :

Code :
  1. 2022-09-30T17:58:57 Warning dnsmasq possible DNS-rebind attack detected: rpi.lpa.lan
 

Après recherche, il s'avère que ce mécanisme bloque les IP privées... Un petit tour dans System > Settings > Administration cocher ça :
https://i.imgur.com/0Ud9gvV.png

 

:o

 

Et magie, ça marche !


Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
renaud072 Merci pour ta réponse, mais j'ai finalement trouvé entre temps et ce n'est pas du tout à quoi je m'attendais :  J'ai basculé par hasard sur dnsmasq, et voyant que ça fonctionnait encore moins (aucune réponse), j'ai remarqué qu'il y avait une partie log. Je vais voir et découvre ça :

Code :
  1. 2022-09-30T17:58:57 Warning dnsmasq possible DNS-rebind attack detected: rpi.lpa.lan
 

Après recherche, il s'avère que ce mécanisme bloque les IP privées... Un petit tour dans System > Settings > Administration cocher ça :
https://i.imgur.com/0Ud9gvV.png

 

:o

 

Et magie, ça marche !

Ivy gu

renaud072 a écrit :

Là où ça coince, c'est que je n'arrive pas à résoudre mon nom de domaine interne si je mets pfsense en forwarding sur mon DNS : la partie authority section est bien renvoyée mais aucun record (alors qu'une capture wireshark montre bien que tout est renvoyé)


 
renvoyée de quoi vers quoi ? qu'est-ce qui marche et qu'est-ce qui manque, en prenant étape par étape.
 
intuitivement je dirais que ton pfsense doit se considérer comme faisant autorité (avec une conf de zone vide) sur ta zone interne, d'où le résultat que tu obtiens.
renaud072 Bonjour,
 
Je m'amuse depuis quelques jours avec IPv6 et la délégation de préfixe. J'ai donc voulu créer un réseau séparé pour mes VM avec un subnet différent, jusque là tout va bien.  
 
Là où ça coince, c'est que je n'arrive pas à résoudre mon nom de domaine interne si je mets pfsense en forwarding sur mon DNS : la partie authority section est bien renvoyée mais aucun record (alors qu'une capture wireshark montre bien que tout est renvoyé) Pour que ça fonctionne il faut que j'annonce directement mon DNS. La seule chose qui fonctionne, c'est la résolution des domaines publics. DNSSEC est désactivé (ce qui me provoquait des SERVFAIL au début).
 
Petit plan simplifié du réseau :

<Internet>
    |
    |              
[Routeur OpenWRT (DHCPv6-PD /56)]------[VM Pfsense (NAT, Prefix Delegated /64)]------<LAN VMs (192.168.44.0/24) + v6>
                                   |
                                   |
                     <LAN (192.168.1.0/24) + v6>----[Raspberry Pi (DHCP/DNS)]


 
J'ai écumé le net à la recherche d'un problème similaire, mais j'ai pas trouvé... ou alors j'ai loupé un truc.  
 
 
Exemple :
Pfsense :  

Code :
  1. renaud@renaud-VirtualBox:~$ dig @192.168.44.1 srv.lpa.lan
  3. ; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> @192.168.44.1 srv.lpa.lan
  4. ; (1 server found)
  5. ;; global options: +cmd
  6. ;; Got answer:
  7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39473
  8. ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1
  10. ;; OPT PSEUDOSECTION:
  11. ; EDNS: version: 0, flags:; udp: 1232
  12. ;; QUESTION SECTION:
  13. ;srv.lpa.lan.   IN A
  15. ;; AUTHORITY SECTION:
  16. lpa.lan.  3600 IN NS srv.lpa.lan.
  17. lpa.lan.  3600 IN NS rpi.lpa.lan.
  19. ;; Query time: 3 msec
  20. ;; SERVER: 192.168.44.1#53(192.168.44.1) (UDP)
  21. ;; WHEN: Fri Sep 30 16:49:00 CEST 2022
  22. ;; MSG SIZE  rcvd: 72


 
En direct :  

Code :
  1. renaud@renaud-VirtualBox:~$ dig @192.168.1.10 srv.lpa.lan
  3. ; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> @192.168.1.10 srv.lpa.lan
  4. ; (1 server found)
  5. ;; global options: +cmd
  6. ;; Got answer:
  7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1054
  8. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
  10. ;; OPT PSEUDOSECTION:
  11. ; EDNS: version: 0, flags:; udp: 4096
  12. ; COOKIE: 7d45fe33e6d66bde84e7ef10633702256e97c66e9196fadc (good)
  13. ;; QUESTION SECTION:
  14. ;srv.lpa.lan.   IN A
  16. ;; ANSWER SECTION:
  17. srv.lpa.lan.  3600 IN A 192.168.1.2
  19. ;; AUTHORITY SECTION:
  20. lpa.lan.  3600 IN NS rpi.lpa.lan.
  21. lpa.lan.  3600 IN NS srv.lpa.lan.
  23. ;; ADDITIONAL SECTION:
  24. rpi.lpa.lan.  300 IN A 192.168.1.10
  26. ;; Query time: 0 msec
  27. ;; SERVER: 192.168.1.10#53(192.168.1.10) (UDP)
  28. ;; WHEN: Fri Sep 30 16:50:13 CEST 2022
  29. ;; MSG SIZE  rcvd: 132


 
Merci  :jap:

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR