[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Cómo funcionan varios DNS en /etc/resolv.conf

El 5 de noviembre de 2019 20:43:58 CET, Paynalton <cxescalona@gmail.com> escribió:
>Si un ave no rompe su huevo morirá antes de nacer.
>Nosotros somos el ave y el mundo es nuestro huevo.
>POR LA REVOLUCIÓN DEL MUNDO!!!!
>
>Ciudad de México
>
>
>El mar., 5 nov. 2019 a las 13:02, Ramses (<ramses.sevilla@gmail.com>)
>escribió:
>
>> El 5 de noviembre de 2019 19:34:06 CET, Paynalton
><cxescalona@gmail.com>
>> escribió:
>> >Si un ave no rompe su huevo morirá antes de nacer.
>> >Nosotros somos el ave y el mundo es nuestro huevo.
>> >POR LA REVOLUCIÓN DEL MUNDO!!!!
>> >
>> >Ciudad de México
>> >
>> >
>> >El mar., 5 nov. 2019 a las 12:21, Ramses
>(<ramses.sevilla@gmail.com>)
>> >escribió:
>> >
>> >> El 5 de noviembre de 2019 11:43:04 CET, debian@jherrero.org
>escribió:
>> >> >El mar, 05-11-2019 a las 09:30 +0100, Ramses escribió:
>> >> >> El tema es que yo quiero que, cuando vaya a buscar, por
>ejemplo,
>> >> >> maquina.dominio1.org, vaya a resolver al DNS 1.1.1.1 y cuando
>vaya
>> >a
>> >> >> buscar maquina.dominio2.org, vaya a resolver al DNS 2.2.2.2
>> >> >>
>> >> >> No sé si esto tendría que solucionarlo tocando el DNS 1.1.1.1,
>que
>> >es
>> >> >> un BIND, y decirle de algún modo que para resolver dominio2.org
>> >vaya
>> >> >> al DNS 2.2.2.2
>> >> >
>> >> >Hola,
>> >> >
>> >> >Hasta donde yo se, ese comportamiento NO lo puedes solucionar con
>> >> >resolv.conf
>> >> >
>> >> >Para solucionar lo que comentas lo primero que necesitamos saber
>es
>> >si
>> >> >esos dominios son públicos o internos.
>> >> >
>> >> >Si son públicos entonces ya lo puedes solucionar con los datos
>que
>> >le
>> >> >des a tu proveedor de dominios, o sea que ya defines que para
>> >> >dominio1.org los DNS son x.x.x.x e y.y.y.y y para dominio2.org
>los
>> >DNS
>> >> >son a.a.a.a y b.b.b.b, de esa manera sea quien sea el que haga la
>> >> >consulta acaba preguntando en el servidor correcto de manera
>> >> >automática.
>> >> >
>> >> >Si son dominios internos y tu red usa un único DNS interno, pues
>ese
>> >> >DNS interno es el que se debe configurar para indicar que la
>> >consulta
>> >> >se la haga a otro servidor diferente. De todos modos puede ser
>más
>> >> >sencillo configurar al primer servidor para que también resuelva
>el
>> >> >otro dominio.
>> >> >
>> >> >En este artículo usan dnsmasq para repartir consultas según
>dominios
>> >> >consultados, nunca lo he usado pero puede ser otra solución en
>vez
>> >de
>> >> >usar bind, y el artículo es muy completo:
>> >> >
>> >>
>>
>>>https://www.sysadminsdecuba.com/2017/12/optimizar-dns-mediante-dnsmasq/
>> >> >
>> >> >
>> >> >Un saludo
>> >>
>> >> Jherrero, gracias por contestar.
>> >>
>> >> El dominio es interno, y como he comentado, lo que tengo como
>Primer
>> >> Servidor DNS, tanto en el DHCP Server como en los Clientes VPN, es
>un
>> >> Servidor DNS BIND9, que administro yo, por lo que he optado por
>tocar
>> >la
>> >> configuración de éste metiendo en el "named.conf.local" lo
>siguiente:
>> >>
>> >> zone "paco.org" {
>> >>     type forward;
>> >>     forwarders { 1.1.1.1; };
>> >> };
>> >>
>> >> zone "pepe.org" {
>> >>     type forward;
>> >>     forwarders { 2.2.2.2; };
>> >> };
>> >>
>> >> Por lo tanto, cuando busque un FQDN del dominio "paco.org" manda
>la
>> >> petición de resolución a un DNS y cuando es del dominio "pepe.org"
>lo
>> >> manda al otro.
>> >>
>> >> Todo funcionando.
>> >>
>> >> Lo estaba intentando solucionar desde la parte del Cliente, pero
>esta
>> >> parece ser la solución más "limpia".
>> >>
>> >>
>> >> Saludos y gracias,
>> >>
>> >> Ramsés
>> >>
>> >>
>> >Ok, como yo lo resolvería sería de la siguiente forma:
>> >
>> >1 - En tu gateway habilitar una regla de firewall para que toda
>llamada
>> >a
>> >la red de tu VPN sea rechazada (REJECT) o almenos la IP del DNS de
>tu
>> >VPN.
>> >2 - Cambiar la configuración de tu cliente de openVPN para que el
>DNS
>> >sea
>> >colocado al principio ó, en su defecto, dejar el DNS al inicio de la
>> >lista
>> >ya de fijo.
>> >3 - Conectar tu DNS a la red pública para qué, además de resolver tu
>> >zona
>> >privada, pueda resolver nombres públicos (como debian.org ó
>> >xvideos.com)
>> >
>> >Con esto, tu máquina consultará primero a tu DNS de la VPN. Si está
>> >conectada este DNS le resolverá con normalidad, si está
>desconectada,
>> >recibirá un REJECT de inmediato e intentará con el siguiente DNS en
>la
>> >lista.
>>
>> Paynalton, no creo que sea la solución, ya que, tanto los Clientes de
>mi
>> LAN como los Clientes de mi VPN, deben resolver los nombres de todas
>las
>> máquinas de todas las redes.
>>
>> Si la VPN está siempre levantada, las máquinas de mi LAN nunca serán
>> resueltas, ya que el DNS de la VPN estará levantado.
>>
>>
>Entonces ese ya es un escenario un poco más complejo, cierto??? se
>trata de
>una zona pública (internet) y varias zonas privadas (lan y vpn)
>
>En ese caso sería tener una red DNS privada con la que tienes un
>servidor
>DNS por cada zona. Cada uno da servicio a las máquinas en su zona y
>consultan a los servidores de otras zonas para resolver las demás zonas
>privadas
>
>
>>
>> Saludos,
>>
>> Ramsés
>>

Paynalton, buenas tardes, 

Correcto, bastante más complicado, con DNS's Públicos, LAN, VPN's Cliente-Servidor, VPN's Peer-to-Peer y Servidores DNS en la LAN y en las VPN's... 

Y, finalmente, con 3 líneas en los Servidores DNS parece estar solucionado el problema. 


Gracias y saludos, 

Ramsés
Reply to: