Split brain DNS

Abbiamo bisogno di implementare uno slit brain DNS ogni volta che abbiamo un servizio interno alla nostra azienda e vogliamo sia fruibile sia internamente che esternamente con lo stesso nome host.
Il concetto di split brain DNS si applica in tutti gli ambienti dove abbiamo un server DNS interno e un dominio con server DNS esterni all’organizzazione.

Obbiettivo

slitbraindns
L’obbiettivo principale come detto è quello di fare in modo che un servizio sia fruibile in modo trasparente dall’utilizzatore, sia all’interno dell’organizzazione che all’esterno, esempio:
avete un server di posta internamente all’organizzazione disponibile all’IP 192.168.1.10 che è pubblicato sull’IP 87.78.87.78 e volete che nel vostro client di posta elettronica la configurazione sia la medesima sia quando siete collegati in LAN che in WAN.
Per fare ciò dovrete:

  • configurare il DHCP per distribuire come server DNS solo ed esclusivamente i vostri server DNS interni
  • bloccare la porta TCP e UDP 53 in uscita per tutti gli IP eccetto i server DNS (è facoltativo ma molto consigliato)
  • Fare in modo che i vostri server DNS risolvano mail.miodominio.it con l’IP privato
  • Configurare il DNS del provider dove avete l’hosting del dominio affinchè risolva mail.miodominio.it con l’IP pubblico
[box type=”info” style=”rounded”] Interessante notare come questa problematica sia di fatto, relativa all’utilizzo del NAT in ambienti ipv4. Con l’introduzione di ipv6, di fatto, ogni server/client avranno un IP pubblico e non avremo più bisogno di questa pratica per girare il traffico correttamente, sarà direttamente il routing che ci reindirizzerà al server.
[/box]

E’ possibile configurare il DNS server interno per risolvere correttamente con IP privato in diversi modi, in base alla vostra situazione, possiamo trovare due situazioni:

  • Il vostro dominio internet ha lo stesso nome del dominio active directory
  • Il vostro dominio internet è diverso dal dominio active directory

Dominio internet uguale a dominio interno

In questa condizione è sufficiente creare un record A all’interno della zona miodominio.it. nominato mail e assegnandogli come IP 192.168.1.10
slitbraindns01
slitbraindns02

Dominio internet diverso dal dominio interno

In questo caso ci sono due possibilità, creare una zona primaria miodominio.it ed andare a creare all’interno tutti i record A (www, ftp, mail ecc…) avendo cura di specificare per mail l’IP privato anzichè pubblico oppure creare una zona primaria mail.miodominio.it. che abbia come record A di root, l’ip privato del server (scelta consigliata).
slitbraindns03
slitbraindns04
slitbraindns05
Ora all’interno della zona mail.miodominio.it va creato un record A senza nome come segue:
slitbraindns06

Rispondi

Leggi articolo precedente:
Come procurare i contenuti per il tuo sito

Uno dei problemi più scoraggianti per chi ha buone idee e poco tempo per svilupparle, è quello del dover partire...

Chiudi