[Résolu] Dns et client vpn

laurent.2 · 02-11-2024 10:06:34

Bonjour,

J'utilise mon serveur bind9 pour les requête dns sur mon pc.

Tout fonctionne quand le client openvpn n'est pas en fonctionnement.

Le problème est que la résolution de nom ne fonctionne plus quand je passe avec le vpn.

Contenu de "/etc/resolv.conf"

nameserver 127.0.0.1

Auriez-vous une idée d'où cela pourrait-il venir ?

Cordialement,
Laurent.

Dernière modification par laurent.2 (02-11-2024 21:40:17)

vincen · 02-11-2024 11:20:52

Salut

Euh il faudrait en dire un peu plus là pour bien comprendre le soucis ! Ton VPN te sert à quoi ? tu te connectes ou ?
Le serveur bind9 est local à ton pc ?

Vincèn

laurent.2 · 02-11-2024 14:09:49

Salut,

Je me connecte de mon pc à un serveur vpn distant (télétravail). Je n'ai pas accès à la configuration du serveur vpn.

Je ne peut agir que sur le client.

Oui le serveur bind9 est local à mon pc c'est pour cela que j'ai précisé "127.0.0.1" dans le resolv.conf.

les paramètres de bind9 sont ceux par default pour une seule machine en local.

Une chose étrange :

Si je rajoute "--up /etc/openvpn/update-resolv-conf --down /etc/openvpn/update-resolv-conf"

lors de la connexion du client ovpn, une occurrence supplémentaire (adresse dns du server vpn ?) apparaît dans resolv.conf
et la résolution de nom semble fonctionner.
Si je l'a supprimer, plus rien n'est résolu.

Pour quel raison mon serveur dns personnel ne joue-t-il pas son rôle ?

Cordialement.

Dernière modification par laurent.2 (02-11-2024 14:10:57)

agp91 · 02-11-2024 14:43:13

Salux,

laurent.2 a écrit :

lors de la connexion du client ovpn, une occurrence supplémentaire (adresse dns du server vpn ?) apparaît dans resolv.conf
et la résolution de nom semble fonctionner.
Si je l'a supprimer, plus rien n'est résolu.

Pour quel raison mon serveur dns personnel ne joue-t-il pas son rôle ?

Pour des raison de sécurité, pour ne pas faire fuir des informations de navigation (résolution de nom).
Ainsi le VPN n'est pas un tuyau percé.

Si ta navigation qui passe par le VPN, utilise ton serveur DNS personnel, la résolution demandée (et peut-etre mêm ton adresse IP) serait connue par les serveur DNS extérieurs aux quels ton serveur DNS s'adresse pour résoudre les noms qu'il ne connaît pas.

Dernière modification par agp91 (02-11-2024 14:56:54)

laurent.2 · 02-11-2024 15:04:28

Pour des raison de sécurité, pour ne pas faire fuir des informations de navigation (résolution de nom).
Ainsi le VPN n'est pas un tuyau percé.

=> Donc je suis obligé d'utilisé le serveur DNS du serveur vpn ?

le problème est que j'ai au bout d'un certain temps des

échec : Échec temporaire dans la résolution de nom

qui apparaissent après un certain nombre de requête.

Dernière modification par laurent.2 (02-11-2024 15:06:17)

agp91 · 02-11-2024 16:16:14

Cela fait trop longtemps que je ne pratique plus la configuration réseau
Mais tu peux indiquer à ton DNS l'adresse d'un autre DNS pour résoudre le noms qu'il ne connaît pas dans /etc/bind/named.conf.options
En décommettant l'option forwarders et en ajoutant l'option forward-only
Puis en redémarrant bind

options {

        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want

        // to talk to, you may need to fix the firewall to allow multiple

        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable 

        // nameservers, you probably want to use them as forwarders.  

        // Uncomment the following block, and insert the addresses replacing 

        // the all-0's placeholder.

        forwarders {

              IP_DNS_VPN; // Si ton DNS n'arrive pas résoudre un nom (qui n'est pas en cache ou qui n'est pas une de ses zones), s'adresser au DNS spécifié.

         };

        forward only; // Arrête la recherche si le DNS forwarders n'a pas obtenu de réponse (ne pose pas la question aux serveurs racine)

        //========================================================================

        // If BIND logs error messages about the root key being expired,

        // you will need to update your keys.  See https://www.isc.org/bind-keys

        //========================================================================

        dnssec-validation auto;

        listen-on-v6 { any; };

};

Mais des plus sachant te répondront mieux que moi

Dernière modification par agp91 (03-11-2024 23:28:07)

laurent.2 · 02-11-2024 18:03:41

En faite ce que je cherche a faire c'est l inverse.

Je souhaite que ce soit mon serveur DNS qui interroge les serveurs racine sans passé par le DNS du VPN ou un serveur DNS auxiliaire .

De toute façon, si le serveur DNS fonctionne et à accès aux serveurs racine, il n'a pas besoin d'autres serveur DNS puisque toutes les adresses sont contenu dans les serveurs DNS de la racine.

Mais ce qui me turlupine, c'est que mon serveur Bind fonctionne sans connexion VPN.
Dès que j'utilise le client vpn, je n'ai plus de résolution de noms, seulement si je laisse l'adresse 10.98.0.1 qui s'est rajouté dans le resolv.conf

Mais si j'ajoute les dns de google, là aussi sa marche 8.8.8.8 par exemple.

dans /etc/resolv.conf :

nameserver 8.8.8.8
nameserver 10.98.0.1
nameserver 127.0.0.1

=> La résolution des noms de domaine fonctionne

nameserver 8.8.8.8
#nameserver 10.98.0.1
nameserver 127.0.0.1

=> La résolution des noms de domaine fonctionne

#nameserver 8.8.8.8
#nameserver 10.98.0.1
nameserver 127.0.0.1

=> La résolution des noms de domaine ne fonctionne plus

Quel peut en être la raison ?

Dernière modification par laurent.2 (02-11-2024 18:09:09)

vincen · 02-11-2024 18:07:25

Est-ce que cela ne vient pas du fait que ta machine a du coup une deuxième adresse IP et que ton DNS n'accepte peut être pas les requêtes DNS depuis cette ip ne la voyant pas comme locale !
si tu fais un essai de résolution dns en ligne de commande quand tu es connecté avec le vpn ça dit quoi exactement ?

laurent.2 · 02-11-2024 18:56:38

Avec mon Serveur DNS seulement dans /etc/resolv.conf j obtiens :

dig wikipedia.org

; <<>> DiG 9.16.50-Debian <<>> wikipedia.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 15005
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 11912e996c4c34df010000006726688bf79e4a3a5936c9f2 (good)
;; QUESTION SECTION:
;wikipedia.org. IN A

;; Query time: 735 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Nov 02 18:59:39 CET 2024
;; MSG SIZE rcvd: 70

Mais avec le serveur DNS de mon Vpn, 10.98.0.1, en plus j'obtiens

dig wikipedia.org

; <<>> DiG 9.16.50-Debian <<>> wikipedia.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36767
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;wikipedia.org. IN A

;; ANSWER SECTION:
wikipedia.org. 1615 IN A 185.15.59.224

;; Query time: 95 msec
;; SERVER: 10.98.0.1#53(10.98.0.1)
;; WHEN: Sat Nov 02 19:02:21 CET 2024
;; MSG SIZE rcvd: 58

Dernière modification par laurent.2 (02-11-2024 18:57:26)

agp91 · 02-11-2024 19:46:34

Il est possible que le VPN bloque les demandes aux serveurs TLD/racine
Lorsque tu utilises nameserver 127.0.0.1 sans VPN, ton DNS s'adresse aux serveurs racine>TLD>zone pour résoudre les noms qu'il ne dispose pas en cache.
Lorsque tu utilises nameserver 8.8.8.8 avec le VPN, c'est 8.8.8.8 qui s'adresse aux serveurs racine>TLD>zone pour résoudre les noms qu'il ne dispose pas en cache.

Pour tester cela active le forwarders de ton DNS (en configurant /etc/bin/named.conf.options) pour qu'il s'adresse à 8.8.8.8, s'il ne connaît pas un nom. Redémarre bind et configure uniquement nameserver 127.0.0.1

Dernière modification par agp91 (02-11-2024 19:51:07)

laurent.2 · 02-11-2024 20:53:13

Oui, c'est bien çà !

j'ai rajouté :

forwarders {
0.0.0.0;
8.8.4.4;
};

au fichier:

/etc/bind/named.conf.options

avec seulement 127.0.0.1 dans /etc/resolv.conf

et là ça marche.

Comment faire pour s'adresser aux serveurs racine malgré tout ?

Dernière modification par laurent.2 (02-11-2024 20:53:42)

agp91 · 02-11-2024 21:22:04

laurent.2 a écrit :

Comment faire pour s'adresser aux serveurs racine malgré tout ?

Je crains que cela ne soit pas possible.
Il semblerait que le VPN que tu utilises ne te permet d'utiliser que des serveur DNS mandataires.
A toi de choisir quel DNS (mandataire) tu utilises (interne au VPN ou externe au VPN).
Si tu utilises un DNS externe au VPN, le VPN doit (devrait, mais peut-être pas) masquer ton adresse IP avant d'envoyer la requête à ce DNS.

Remarques :
L'adresse 0.0.0.0 dans le forwarders est inutile
Ajoutes l'option forward only pour ne pas envoyer de requête aux serveurs racines/TLD en cas de non résolution par le mandataire transitaire. Car cela est inutile et encombre le réseau (VPN) pour rien.

Ainsi configuré, ton DNS local ne sert que de cache, évitant ainsi d'envoyer une requête sur le réseau (via le VPN) s'il connaît déjà la résolution.

Dernière modification par agp91 (03-11-2024 20:17:34)

laurent.2 · 02-11-2024 21:46:31

pour vos réponses clairs et précises. J'ai mis le post en RÉSOLU pour la communauté

.

Cordialement,
Laurent.

Dernière modification par laurent.2 (02-11-2024 21:46:55)

Debian-facile

#1 02-11-2024 10:06:34

[Résolu] Dns et client vpn

#2 02-11-2024 11:20:52

Re : [Résolu] Dns et client vpn

#3 02-11-2024 14:09:49

Re : [Résolu] Dns et client vpn

#4 02-11-2024 14:43:13

Re : [Résolu] Dns et client vpn

#5 02-11-2024 15:04:28

Re : [Résolu] Dns et client vpn

#6 02-11-2024 16:16:14

Re : [Résolu] Dns et client vpn

#7 02-11-2024 18:03:41

Re : [Résolu] Dns et client vpn

#8 02-11-2024 18:07:25

Re : [Résolu] Dns et client vpn

#9 02-11-2024 18:56:38

Re : [Résolu] Dns et client vpn

#10 02-11-2024 19:46:34

Re : [Résolu] Dns et client vpn

#11 02-11-2024 20:53:13

Re : [Résolu] Dns et client vpn

#12 02-11-2024 21:22:04

Re : [Résolu] Dns et client vpn

#13 02-11-2024 21:46:31

Re : [Résolu] Dns et client vpn

Pied de page des forums