Definir vistas DNS con Infoblox

En el presente artículo, vamos a tratar de explicar como configurar paso a paso algunos elementos que forman parte de su red corporativa y definir vistas DNS con Infoblox. Partiremos por ello, de un escenario bastante común, como puede ser el de tener una página web que resulta que es accesible tanto a nivel interno (privado), como a nivel externo (Internet).

Partiendo de esta situación, imaginemos que deseamos que nuestra página corporativa responda de diferente modo, distinguiendo de esta forma si la consulta está hecha dentro de la red privada de la empresa o si por el contrario, la consulta web está hecha a través de cualquier punto de Internet externo.

Imaginemos también, que no deseamos modificar el enlace que tenemos configurado en nuestro servidor web con lo que se nos presenta el dilema de cómo atender y diferenciar estas dos formas de petición web (petición web interna o petición web externa).

Las soluciones, definir vistas DNS con Infoblox

La solución es evidente, para atender a dos tipos de consultas a una misma página web atendiendo al direccionamiento de la petición DNS, deberemos cambiar la configuración del servidor DNS donde tengamos configurada nuestra página de nuestra empresa.

Es por ello, por lo que debemos actuar sobre nuestros servidores de resolución DNS corporativos, ¿pero cómo proporcionaremos dos direcciones que sean servidas de forma diferente que formen parte de un mismo registro DNS tipo “A”?

Aquí es cuando lllegamos a la parte de definir vistas DNS con Infoblox, es posible realizar este tipo de configuración alterando las vistas DNS. Atendiendo a este tipo de configuraciones, sería posible proporcionar varios sitios web basándonos en elementos diferenciadores origen:

  • La IP origen
  • El direccionamiento que forma parte de esta petición DNS/WEB
  • Las diferentes llaves TSIG.

Pongamos un ejemplo gráfico del escenario que queremos trasladar e implementar:

Teniendo claro el escenario que queremos implementar para definir vistas DNS con Infoblox, lo que tendremos que hacer ahora es modificar la configuración de nuestro equipamiento Infoblox a través de nuestro gestor web.

Configuración a través del interfaz web y conseguir definir vistas DNS con Infoblox

Explicaremos, paso a paso, como configurar dichas vistas DNS a través del interfaz web del “Grid Manager” de Infoblox.

 Conexión y registro a través del grid manager de Infoblox

conexión web a través del grid manager
conexión web a través del grid manager

Nuestras tareas de este artículo que proponemos  para definir vistas DNS con Infoblox son:

  1. Crear una visión externa que almacenará las zonas y registros visibles a los clientes externos.
  2. Crear una vista interna que almacenará las zonas y registros visibles a los clientes internos.
  3. Publicar la configuración desde las diferentes vistas generadas y comprobar los registros.
  4. Hacer pruebas de resolución de nombres.

Para ello, vaya a “Gestión de datos > DNS.” 

gestión de datos y DNS en Infoblox
gestión de datos y DNS en Infoblox

En la ficha Zonas, haga clic en la flecha al lado del botón “+”.

configuración de zonas en Infoblox
configuración de zonas en Infoblox

En el siguiente paso, deberemos seleccionar “DNS” en el menú desplegable que aparecerá ante nosotros:

menu desplegable de DNS
menu desplegable de DNS

Aparece el Asistente de creación de la primera vista. Llena la pantalla con el nombre de la vista, un comentario opcional y (muy importante) seleccione la casilla “Habilitar recursividad”. Esto permitirá Infoblox no consultas recursivas a plazo dominios autorizados para la resolución en el Internet.

Haga clic en Siguiente hasta el final de la configuración

vista de DNS
vista de DNS

El siguiente paso es definir los clientes que deben hacer sus consultas en esta vista. En “Clientes de partido”, haga clic en Conjunto de ACE. En complemento de red IPv4, especifique la red y la máscara de las redes (en nuestro caso, sólo una red / 23). En el permiso, ajuste “Permitir” como parámetro y, finalmente, haga clic en Agregar.

pasos para configurar la vista DNS a través del interfaz web de Infoblox
pasos para configurar la vista DNS a través del interfaz web de Infoblox

La configuración en ejecución debe ser similar a la de la imagen de abajo.

Haga clic en Guardar y cerrar para el final de la configuración.

permisos de vistas en Infoblox
permisos de vistas en Infoblox

Volver a la pantalla de menú Zonas DNS Infoblox, consulte la vista creada. Justo debajo de ella, vemos una vista “default” surgió. Este punto de vista, de hecho, siempre ha existido. Todo lo relacionado con DNS se crea dentro de este punto de vista.

No se muestra si no hay otros puntos de vista configurados.

ya tenemos las vistas en DNS view
ya tenemos las vistas en DNS view

No se pueden eliminar, pero se puede cambiar. Es lo que hacemos ahora.

Seleccione el “default” Ver y haga clic en “Editar”

editando la configuracion default de la vista de DNS
editando la configuracion default de la vista de DNS

En General> Básico, cambie el nombre a “clientes externos” o cualquier otro nombre descriptivo, añada un comentario (opcional) y salir y la opción “Habilitar la recursividad” discapacitado, como se muestra a continuación.

Me explico: ¿No es interesante que los clientes consulten a un dominio de mi autoridad podrá remitir consultas recursivas a mi servidor, ya que no es de nuestro interés que todo el mundo piense que nuestro DNS está abierto, como los servidores DNS de obras públicas Google.

Haga clic en “Clientes Match” al final de la configuración.

vista de DNS default
vista de DNS default

Básicamente vamos a repetir lo que hicimos en la creación de la vista anterior, con la diferencia de especificar “Deny” en el permiso. Con esto, le estamos diciendo al Infoblox para negar las consultas de los clientes internos a este punto de vista. En pocas palabras, el usuario medio dentro de la LAN ni siquiera saber de la existencia de estos datos.

Haga clic en Guardar.

reglas de coincidencia de clientes en Infolox
reglas de coincidencia de clientes en Infolox

Otro paso importante: Haga clic en Agregar nuevo y seleccione la opción “Cualquier dirección / Red”. Con esto, estamos lanzando cualquier otra consulta clientes de la red (Internet).

Este debería ser el aspecto final de la configuración.Haga clic en Guardar y cerrar para el final de la configuración.

guardamos la regla de redes permitidas en Infoblox
guardamos la regla de redes permitidas en Infoblox

Saliendo del asistente se puede ver tanto en las vistas creadas. Nuestro siguiente paso es configurar las áreas dentro de Vistas. Vamos a empezar con la vista de los clientes externos haciendo clic en él.

diferentes vistas de clientes DNS internos y externos en Infoblox
diferentes vistas de clientes DNS internos y externos en Infoblox

Luego haga clic en el botón “+” y seleccione “zona autorizada”

comprobando y definiendo la vista de clientes externos en Infoblox
comprobando y definiendo la vista de clientes externos en Infoblox

Seleccione la opción “Añadir en la zona de mapeo hacia adelante con autoridad” y haga clic en Siguiente.

Dé un nombre para el área y asegúrese de que está seleccionada la vista DNS “Los clientes externos”.

Haga clic en Siguiente cuando haya terminado.

configurando el nombr e de la vista
configurando el nombr e de la vista

En la siguiente pantalla, seleccione los servidores de nombres de zona.

En nuestro caso, vamos a añadir un solo servidor de nombres como el servidor principal.

Al hacer clic en Grid Primary , haga clic en Seleccionar y seleccione el servidor de nombres que desee.Haga clic en Agregar para terminar.

 

Ahora, vamos a agregar un registro a la zona. Haga clic en la zona creada.

 

modificando la vista de clientes externos
modificando la vista de clientes externos

Luego haga clic en “Agregar”> Registro> The Record, como se indica a continuación.

registros de la zona creada
registros de la zona creada

La siguiente pantalla mostrará el registro creado.

definiendo el registro de la zona
definiendo el registro de la zona

Ahora, vamos a realizar el mismo procedimiento para la vista interna. El proceso es el mismo que el área de la creación en los ejemplos anteriores. Vamos a agilizar el proceso y saltar a la creación del registro A. Tenga en cuenta que la dirección IP que estamos usando ahora es diferente.

Tenga en cuenta que el campo MNAME (servidor principal de la zona) en el registro de puntos de SOA para el mismo servidor de nombres utilizados en la creación de la zona anterior situado en el otro punto de vista.

campo MNAME SOA
campo MNAME SOA

Al final de la configuración, debe reiniciar el servicio para que los cambios surtan efecto.

servidor Infoblox y reinicio del servicio para actualizar los cambios
servidor Infoblox y reinicio del servicio para actualizar los cambios

Comprobaciones y pruebas finales al acabar de definir vistas DNS con Infoblox

Ahora, vamos a las pruebas.

En primer lugar, vamos a celebrar la prueba de una máquina interna (que pertenece a la red 10.1.2.0/23). A continuación se presentan los ajustes de la máquina de prueba.

Ahora, vamos a ejecutar una consulta mediante DIG por www.clienteabc.com.br .

comando DIG de comprobacion
comando DIG de comprobación

Vemos que la IP 192 168 100 150 que se devolverá en la consulta. Ahora, vamos a realizar una consulta de un dominio no autoritativo para forzar la recursividad para internet. En el caso, vamos a buscar techcenter.agilitynetworks.com.br . Si todo va bien, recibimos una dirección IP en la respuesta.

comando DIG dominio no autoritativo
comando DIG dominio no autoritativo

Para simular el entorno externo, cambiado la IP de la máquina virtual a otra dirección, como se muestra a continuación.

Ahora, vamos a comprobar si el cliente puede realizar consultas recursivas, pidiendo www.agilitynetworks.com.br.

peticion consultas recursivas
peticion consultas recursivas

Mirad que no se devolvió ninguna dirección. Tomemos el parámetro de control “más corto” para ver el mensaje de respuesta completa y comprobar lo que está pasando.

ejemplo de error y warning en consulta DIG
ejemplo de error y warning en consulta DIG

Ver el campo “estado” se “se negó”, en respuesta a la consulta y la advertencia “ATENCIÓN: recursividad pertinente pero no está disponible” que se muestra. Esto indica que el servidor ha recibido una consulta recursiva, pero no fue capaz de procesarlo (debido al bloqueo de la recursividad en Vista externa).

El uso de las vistas en Infoblox es muy útil en situaciones donde los costos de limitación y complejidad del entorno crecen juntos, como es habitual en la vida de los administradores de TI entregar más con menos.

En lugar de tener dos servidores que sirven diferentes entornos, podemos utilizar un solo dispositivo para hacerlo.

Con esto se disminuye el gasto y aumenta la productividad en la gestión . Por supuesto que tenemos que tener en cuenta la cantidad de consultas que el DNS recibe en este caso y el medio ambiente del crecimiento esperado en los próximos meses y años para evitar infradimensión de la solución. ¡Nos vemos el próximo artículo!

Referencias

Gracias a las aportaciones de Paolo Costa Elias gran experto en la materia!

 

Definir vistas DNS con Infoblox
5 (100%) 6 votos

Dejar respuesta

Please enter your comment!
Please enter your name here