Une histoire de serveur DNS...

[couicsilver]

Bonjour,

Dans mon réseau local, je possède un serveur Debian qui joue le rôle de serveur DNS (en utilisant dnsmasq plutôt que bind9, car plus simple à configurer) dont le fichier /etc/resolv.conf contient l'adresse du serveur DNS de google :

nameserver 8.8.8.8

Mon serveur est censé accéder à internet via mon routeur ADSL, dont voici les entrées DNS :

DNS1 : 192.168.1.2 //IP de mon serveur DNS Debian, pour que tous les clients de mon réseau local l'utilise

DNS2 : 8.8.8.8 // DNS de google

DNS3 :

Puis les DNS spécifiques au DHCP du routeur

Static DNS1 : 192.168.1.2 //IP de mon serveur DNS Debian, pour que tous les clients de mon réseau local l'utilise

Static DNS1 : 8.8.8.8 // DNS de google

Le SEUL soucis au sein de mon réseau local, est que mon serveur DNS ne pas accéder à internet. Une idée ? Merci d'avance.

[uzak]

Quelques points basiques :

Est-ce que ton serveur est sur le même réseau que la passerelle ?

Est-ce que la passerelle est bien configurée sur ton serveur DNS ?

[Dark26]

Tous cela m'a l'air super compliqué pour pas grand chose ....

je dis comment j'ai fait chez moi, ensuite à toi de voir ...

j'ai un serveur dns dans la DMZ ( ip local en 10.10.11.6 ) avec bind9.

voila mon fichier named.conf.options :

options {

directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want

// to talk to, you may need to fix the firewall to allow multiple

// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable

// nameservers, you probably want to use them as forwarders.

// Uncomment the following block, and insert the addresses replacing

// the all-0's placeholder.

allow-query { internals; } ;

forwarders {

208.67.222.222; 208.67.220.220;

};

auth-nxdomain no; # conform to RFC1035

listen-on-v6 { any; };

};

J'ai juste modifier la ligne forwarders.

Mon serveur bind9 utilise les dns d'opendns à savoir : 208.67.222.222; 208.67.220.220;

http://www.opendns.com/

Et voila c'est fini !!!! Ensuite pour TOUS les clients ( le serveur dns aussi ), tu mets l'adresse ip local du serveur comme DNS ( donc dans mon cas 10.10.11.6 ).

Soit directement dans le resolv.conf si tu es en IP fixe, et/ou tu configures ton serveur dhcp pour qu'il donne cette adresse là aux clients..

Bien sûr, il faut que le serveur dns puisse faire les requêtes nécessaires ( passerelle pour le routage / parefeu à configurer pour le ports 53....)

Le plus dur c'était de trouver l'option forwarder

j'espère avoir pu t'aider

[Quiproquo]

Je dirais pareil, sauf que je mettrais 127.0.0.1 comme adresse de serveur DNS pour le serveur DNS (le logiciel se chargeant de forwarder vers d'autres serveurs quand il n'a pas l'info).

Sinon, que veut dire « mon serveur DNS ne pas accéder à internet » ? La résolution de noms ne se fait pas, ou tu ne peux pas joindre d'IP hors de ton réseau ?

[squallmat]

J'ai juste modifier la ligne forwarders.

Jamais utilisé dnsmasq, peut-être qu'il n'y a pas de forward.

j'ai un serveur dns dans la DMZ ( ip local en 10.10.11.6 ) avec bind9.

Pourquoi en DMZ ?

[Dark26]

J'ai juste modifier la ligne forwarders.

Jamais utilisé dnsmasq, peut-être qu'il n'y a pas de forward.

j'ai un serveur dns dans la DMZ ( ip local en 10.10.11.6 ) avec bind9.

Pourquoi en DMZ ?

Comme ça les serveurs qui sont aussi en DMZ ( web / mail / proxy ) peuvent l'utiliser, et les serveurs ( + les stations de travail ) qui sont sur le réseau local aussi.

Si le serveur était sur mon réseau local, alors les serveurs de la DMZ ne pourraient pas l'utiliser.

Mais bon mon serveur dns faisant juste du forward, si j'en avais pas à la maison, ça ferait pareil...

[Mephisto]

Je dirais pareil, sauf que je mettrais 127.0.0.1 comme adresse de serveur DNS pour le serveur DNS (le logiciel se chargeant de forwarder vers d'autres serveurs quand il n'a pas l'info).

oui et non

dnsmasq se veut simple a configurer, et va donc chercher une bonne partie des infos dans les fichiers deja presents (hosts & resolv)

donc, meme avec dnsmasq, il faut preciser un dns d'upstream, dans le resolv

Sinon, que veut dire « mon serveur DNS ne pas accéder à internet » ? La résolution de noms ne se fait pas, ou tu ne peux pas joindre d'IP hors de ton réseau ?

en effet, c'est la bonne question

tant que l'upstream est joignable, il n'y a pas de raisons que le DNS ne fonctionne pas

les problemes envisageables sont plutot :

- es-tu capable de pinger une IP publique du serveur DNS ?

- est-ce que dnsmasq listen sur la bonne interface ?

- dans la conf de dnsmasq, as-tu bien precise que le defaultrouter a envoyer est l'IP de ta box ?

- les ports DNS (53 tcp/udp) sont-ils correctement ouverts ?

un extrait de ma conf :

cache-size=1024
local-ttl=15
log-dhcp
interface=bge1
bind-interfaces
no-negcache

dhcp-range=10.254.254.1,10.254.254.254,255.0.0.0,1h
dhcp-boot=pxelinux.0,omega,10.42.42.45		# PXE TFTP server (omega)
dhcp-option=3,10.242.42.254			# gateway (phi)
dhcp-option=19,1				# option ip-forwarding off
dhcp-option=23,42				# TTL de 42
dhcp-option=44,10.242.42.254			# Wins Server
dhcp-option=45,10.242.42.254			# NetBios DDS
dhcp-option=46,8				# NetBios Node Type
dhcp-option=option:ntp-server,213.186.41.134,88.191.79.242,193.55.167.2,80.65.235.4,194.57.191.1,91.121.45.45
dhcp-script=/usr/local/bin/dhcp_action # un script qui me genere un log de la forme $date $mac $hostname [connect/disconnect]

domain=faust-network
expand-hosts
bogus-nxdomain=64.94.110.11	#get SSL certificate from another CAServer
localmx
selfmx
conf-file=/usr/local/etc/blocklist.conf #filtre DNS, redirigeant sur un pixel server en local

#	alpha
dhcp-host=90:e6:ba:60:39:bb,10.42.42.42,infinite
dhcp-host=90:e6:ba:60:39:bc,10.242.42.42,infinite

#	beta
dhcp-host=00:08:54:55:24:7a,10.42.42.43,infinite
dhcp-host=00:13:8f:7f:63:40,10.242.42.45,infinite

[...]

Tous cela m'a l'air super compliqué pour pas grand chose ....

honnetement, entre bind et dnsmasq, je trouve le premier beaucoup plus adapte a de grosses infra, et le second beaucoup plus adapte a un reseau "normal" (d'ailleurs, j'ai cru comprendre qu'il etait embarque dans certaines box de FAI).

dnsmasq est plus leger a l'utilisation.

et, pour avoir une blocklist de plus de 20.000 entrees, je confirme que ca tourne tout aussi bien (et ca demarre sensiblement plus vite) qu'un bind

[squallmat]

dnsmasq se veut simple a configurer, et va donc chercher une bonne partie des infos dans les fichiers deja presents (hosts & resolv)

Il tient compte de etc/host.conf ?

donc, meme avec dnsmasq, il faut preciser un dns d'upstream, dans le resolv

Par upstream tu entends un dns "extérieur" ?

Dans bind l'option forward ne sert que de "raccourci", il vaut mieux toujours entrer les serveurs dans resolv, comme ça pas de problème en cas de manipulations/plantages/... du dns

[Dark26]

Dans bind l'option forward ne sert que de "raccourci", il vaut mieux toujours entrer les serveurs dans resolv, comme ça pas de problème en cas de manipulations/plantages/... du dns

Dans le même genre :

Mon serveur DNS est une machine virtuelle, qui accède au net via une machine virtuelle qui fait office de routeur / firewall.

Tant que les 2 machines virtuelles ne sont pas lancées, je ne peux pas accéder au net ni sur le serveur xen central ni sur aucune autre machine client. Le jour où ça foire, je vous explique même pas le bordel

[Mephisto]

dnsmasq se veut simple a configurer, et va donc chercher une bonne partie des infos dans les fichiers deja presents (hosts & resolv)

Il tient compte de etc/host.conf ?

juste /etc/hosts et /etc/resolv.conf, pour autant que je sache

donc, meme avec dnsmasq, il faut preciser un dns d'upstream, dans le resolv

Par upstream tu entends un dns "extérieur" ?

dans la plus part des cas

certain prefereront rediriger sur leur box (en routeur)

ou sur un autre dns local, pour les gros reseaux qui ressemblent a rien

[squallmat]

Alors couic, tu as résolu ton problème ?

[couicsilver]

Rebonjour,

Tout d'abord merci pour vos réponses :)

J'ai résolu mon problème de façon assez expéditive (ça marche mais je ne sais pas pourquoi): Les clients de mon réseau wifi se connectent et leur IP est fournie par le DHCP du routeur (pas du serveur DNS, c'est un choix que j'ai voulu faire). J'ai ensuite viré l'IP de mon serveur DNS des entrées DNS du routeur, et cela fonctionne parfaitement... Du coup je ne comprend pas comment mes clients parviennent à accéder aux noms de domaines locaux. Est-ce une histoire de "cache" qui serait conservé par mes clients ?

[Mephisto]

a priori, si tu as bien retire l'emission du serveur DNS :

- soit les clients se servent de l'AP comme serveur DNS (un relay DHCP mal foutu qui relairai son propre DNS, a defaut d'en voire un arriver ; en admettant qu'il ait, lui, acces a un DNS, pas forcement local, modulo ta conf la derniere fois qu'il a recu son DNS/DHCP/sa conf statique et l'honnetete du revendeur)

- soit, n'ayant pas recu de nouvelle addresse (a defaut d'une addresse injoignable), les clients (et/ou l'AP) sont reste sur leur dernier DNS connu (sous winwin, aucune idee ; sous nux, la derniere fois que ca m'est arrive, c'etait un resolv.conf.tail ...)

- soit t'as rate ton coup, et c'est ton AP qui s'occupe de son DHCP

et potentiellement ton histoire de cache, ca meriterai de jeter un oeil a la RFC...

[doktoil makresh]

J'ai pas lu toutes les réponses, mais je vois déja une petite confusion dans ta question initiale. Tu dis que ton serveur n'accède à pas internet, ce qu'il faudrait savoir c'est donc quelle est la configuration du routage sur ton serveur. Tu fais :

route -n

et tu colles la réponse ici.

avant de s'attaquer au DNS, on va voir si la pile réseau est bien configurée.