Aller au contenu
Lecture · 1 min

Override DNS interne avec CoreDNS

Faire résoudre ses domaines publics vers des adresses privées, proprement.

FiableMaintenable

Le problème

Les services portent des noms publics (service.domaine.fr) mais vivent sur un réseau privé. Depuis l’intérieur, résoudre le nom public pose deux problèmes. Le trafic sort pour revenir : détour inutile, dépendance à la connectivité externe. Et pour les services privés, le nom ne doit tout simplement pas résoudre publiquement ; il faut bien que quelqu’un réponde en interne.

Les solutions naïves vieillissent mal : fichiers hosts par machine (divergence garantie, impossible sur mobile), ou noms internes exotiques (service.local) qui cassent TLS et obligent à tout configurer en double.

Le pattern

Une zone interne qui fait autorité sur les domaines auto-hébergés, servie par CoreDNS uniquement aux clients du réseau privé :

Le même nom fonctionne donc partout (réseau interne, Internet, tailnet), et TLS reste valide puisque le certificat wildcard couvre le nom public utilisé.

Les pièges

Pourquoi c’est intéressant

C’est un petit montage, mais il touche à un invariant système réel : la résolution de noms est contextuelle. Le comprendre, c’est comprendre une classe entière de bugs réseau réputés impossibles.