[Résolu]DNS Serveur n'arrive pas à résoudre les adresses externes

[MagJ]

 

Bonjour !

J'utilise depuis longtemps une configuration avec un serveur DNS interne (DNS Server) qui fonctionne plus ou moins bien mais avec lequel je peux travailler. Un technicien ayant eu l'excellent idée de faire "une mise en conformité" dans l'armoire du NRO du village, je suis privée de fibre depuis mercredi 13h30. J'ai donc sorti du placard le modem ADSL dont je n'ai jamais eu le temps de résilier l'abonnement... Et je me bats depuis pour remettre le réseau en marche, tant en accès externe qu'en accès interne.

DNS Server est configuré traditionnellement juste pour être un serveur local pour mon nom de domaine "interne". La zone est gérée en externe par le serveur DNS d'OVH.

Pour un même nom de domaine, j'ai donc un enregistrement A (ou CNAME) en interne qui pointe sur la machine du réseau et, chez OVH, j'ai un autre enregistrement qui lui pointe vers l'IP fixe de mon routeur. Lorsque la fibre est tombée en rade, j'ai donc juste changé le pointage sur la zone OVH pour que les FQDN pointent sur l'IP fixe du modem ADSL. Ça a mis plus de 24h, mais ça a finit par fonctionner...

En interne, par contre, c'est la catastrophe.

Concrètement, voici ce qu'il se passe :

- Lorsque je tente de résoudre un nom de domaine local, pour certains, c'est bien DNS Server qui réponds, pour d'autres, il en appelle à la zone OVH... et ça bouge ! À l'instant, mon essai est correct :

ping fmp.mondomaine.eu => 192.168.3.40 qui réponds

mais plus tôt, c'était mon adresse public qui répondait ; et ça a déjà bougé deux ou trois fois dans la journée. Après, soyons honnête, je gratte dans ce fichu serveur depuis ce matin. Donc on va dire que c'est peut-être une histoire de cache...

- Beaucoup plus embêtant, je n'arrive pas à utiliser DNS Server comme un cache DNS. En clair, il n'arrive pas à résoudre une adresse qui n'appartient pas à la zone que je lui ai déléguée.

Si je fais un nslookup sans préciser le serveur DNS, c'est le serveur secondaire qui prends la main.

% nslookup www.ibm.com

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
www.ibm.com canonical name = www.ibm.com.cs186.net.
www.ibm.com.cs186.net canonical name = outer-ccdn-dual.ibmcom.edgekey.net.
outer-ccdn-dual.ibmcom.edgekey.net canonical name = outer-ccdn-dual.ibmcom.edgekey.net.globalredir.akadns.net.
outer-ccdn-dual.ibmcom.edgekey.net.globalredir.akadns.net canonical name = e2874.dscx.akamaiedge.net.
Name: e2874.dscx.akamaiedge.net
Address: 23.38.11.195

Si je fais la même demande en demandant spécifiquement le serveur DNS du NAS, ça ne fonctionne pas...

% nslookup www.ibm.com 192.168.3.30
Server:		192.168.3.30
Address:	192.168.3.30#53

** server can't find www.ibm.com: SERVFAIL

Si je fais une demande sans préciser le serveur à interroger pour un élément du réseau interne, en ce moment, c'est bien le NAS qui répond :

% nslookup fmp.mondomaine.eu             
Server:		192.168.3.30
Address:	192.168.3.30#53

fmp.mondomaine.eu	canonical name = mini4.mondomaine.eu.
Name:	mini4.mondomaine.eu
Address: 192.168.3.40

J'ai passé une bonne partie de la journée à fouiller les fora, à vérifier ma configuration, à la refaire et j'ai même redémarrer le NAS sans vraiment de résultat sur ce plan là (peut-être que c'est cependant ce qui a résolu l'autre problème...).

Quelqu'un a une idée de ce qui peut empêcher le cache DNS de se remplir ?

[maxou56]

il y a 24 minutes, MagJ a dit :

Si je fais un nslookup sans préciser le serveur DNS, c'est le serveur secondaire qui prends la main.

Bonjour,

Un des soucis viens de là.

Si tu souhaites avoir un Serveur DNS, il faut indiqué uniquement celui-ci en Serveur DNS. Pas de mettre de DNS secondaire (ou mettre un autre serveur DNS configuré à l'identique en secours).

 

Dans ton serveur DNS, tu as configuré comment la partie résolution?

[MagJ]

il y a 6 minutes, maxou56 a dit :

Si tu souhaites avoir un Serveur DNS, il faut indiqué uniquement celui-ci en Serveur DNS. Pas de mettre de DNS secondaire (ou mettre un autre serveur DNS configuré à l'identique en secours).

Le souci, c'est que comme mon serveur DNS ne résouds pas les noms de domaine autres, sans DNS secondaire, je ne peux carrément plus rien faire (notamment venir sur le forum 😉 ). Mais dans l'absolu, je suis bien d'accord que ça ne devrait pas être nécessaire !

il y a 8 minutes, maxou56 a dit :

Dans ton serveur DNS, tu as configuré comment la partie résolution?

✅ Activer les services de résolution

      ✅ Limiter le service IP Source

          (10.0.0.0 / 127.0.0.1 / 172.16.0.0 / 192.168.0.0)

      ✅ Activer les redirecteurs

           8.8.8.8 / 80.67.169.12

           Rediriger d'abord

[maxou56]

il y a 26 minutes, MagJ a dit :

c'est que comme mon serveur DNS ne résouds pas les noms de domaine autres

Ce n'est pas normal.

Tu peux essayer de décocher les redirecteurs?

Ton NAS à bien accès à internet?

il y a 26 minutes, MagJ a dit :

Mais dans l'absolu, je suis bien d'accord que ça ne devrait pas être nécessaire !

C'est surtout que le DSN secondaire risque de répondre pour la zone local si le serveur DNS met trop de temps à répondre.

D'où le:

il y a une heure, MagJ a dit :

J'utilise depuis longtemps une configuration avec un serveur DNS interne (DNS Server) qui fonctionne plus ou moins

 

[.Shad.]

Pour être certain, qu'appelles-tu DNS secondaire ? On est d'accord qu'on parle bien d'une deuxième IP poussée en tant serveur DNS par le serveur DHCP pour ses clients ?

@maxou56 dit à juste titre que si tu pousses 192.168.3.30 et 8.8.8.8, ça explique les réponses qui varient d'une fois à l'autre.

Les redirecteurs sont justement là pour résoudre ce que DNS Serveur ne sait pas résoudre lui-même, et ces redirecteurs feront appel aux serveurs racines (Root) qui vont redescendre la chaîne en commençant par le top level domain (tld).

Donc tu dois t'assurer que les DNS poussés par le DHCP soient identiques, si qu'un seul alors mettre juste 192.168.3.30. Vérifier que le NAS a bien lui-même pour serveur DNS (mais j'imagine que c'est le cas sinon la résolution locale ne fonctionnerait jamais).

Éviter de tester avec des appareils Android, qui ont parfois les DNS Google hardcodés, le seul moyen de s'en débarrasser c'est que le serveur DHCP pousse 2 à 3 adresses DNS. Peu de box en sont capables, ptet pour les vieux modèles ADSL, c'était bien plus configurable à l'époque.

 

[MagJ]

Il y a 2 heures, .Shad. a dit :

Pour être certain, qu'appelles-tu DNS secondaire ? On est d'accord qu'on parle bien d'une deuxième IP poussée en tant serveur DNS par le serveur DHCP pour ses clients ?

Oui, on est bien d'accord ; c'est ce que j'ai paramétré sur le serveur DHCP pour que les clients du réseau interne puissent accéder à Internet le temps que je résolve le souci (ou plutôt que le serveur DNS se mette à résoudre ! 😉 ).

Il y a 2 heures, .Shad. a dit :

Donc tu dois t'assurer que les DNS poussés par le DHCP soient identiques, si qu'un seul alors mettre juste 192.168.3.30. Vérifier que le NAS a bien lui-même pour serveur DNS (mais j'imagine que c'est le cas sinon la résolution locale ne fonctionnerait jamais).

Là, tu m'as donné une idée ! Du coup, j'ai laissé tomber le DNS Server et j'ai plutôt vérifié comment le réseau du NAS était paramétré. Bon, je vous passe le moment peu glorieux où j'ai coché "DHCP" un peu trop vite dans les options de réglage de réseau du NAS et que je l'ai perdu totalement du réseau pendant presque un quart d'heure... (merci Synology Assistant, pour la récupération...).

Et c'est là que j'ai découvert que, si j'ai bien pensé à choisir les bons paramètres pour le serveur DHCP et donc pour tous mes clients du réseau, je n'avais pas modifié la passerelle par défaut dans les paramètres réseau du NAS lui-même. Il était donc resté sur la passerelle du routeur fibre de Free. Il m'a suffit de corriger la passerelle par défaut pour que j'obtienne enfin :

% dnslookup www.ibm.com 192.168.3.30
Server:		192.168.3.30
Address:	192.168.3.30#53

Non-authoritative answer:
www.ibm.com	canonical name = www.ibm.com.cs186.net.
www.ibm.com.cs186.net	canonical name = outer-ccdn-dual.ibmcom.edgekey.net.
outer-ccdn-dual.ibmcom.edgekey.net	canonical name = outer-ccdn-dual.ibmcom.edgekey.net.globalredir.akadns.net.
outer-ccdn-dual.ibmcom.edgekey.net.globalredir.akadns.net	canonical name = e2874.dscx.akamaiedge.net.
Name:	e2874.dscx.akamaiedge.net
Address: 104.84.65.187

Merci @maxou56 et @.Shad. pour votre aide !

[Mic13710]

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.