Split Horizon DNS : Vues Internes et Externes

Retournez des adresses IP différentes selon l'origine de la requête DNS.

Le split horizon DNS (ou split-brain DNS) est une technique où le serveur DNS retourne des réponses différentes selon l'origine de la requête. Typiquement, les requêtes internes (depuis le LAN) reçoivent des adresses IP privées tandis que les requêtes externes reçoivent des adresses IP publiques. Cela optimise le routage, évite le hairpinning NAT, et peut sécuriser l'accès aux ressources internes. C'est une configuration courante mais qui complique le monitoring et le troubleshooting.

Symptômes de Problèmes Split Horizon

  • Un service marche en interne mais pas en externe (ou inversement)
  • L'IP retournée par dig varie selon le réseau depuis lequel vous testez
  • Les tests de monitoring externes ne correspondent pas à l'expérience interne
  • Les certificats SSL signalent un mismatch de domaine

Cas d'Usage du Split Horizon

  • Accès intranet : intranet.company.com retourne 10.0.1.50 en interne et n'existe pas (ou redirige) en externe.
  • Optimisation NAT : Évite le hairpinning NAT où le trafic interne sortirait sur Internet pour revenir.
  • Sécurité : Cache la topologie interne aux requêtes externes tout en permettant l'accès nommé en interne.

Diagnostic Split Horizon

  1. Testez depuis l'interne : dig @serveur-dns-interne example.com pour voir la réponse interne.
  2. Testez depuis l'externe : dig @8.8.8.8 example.com pour voir la réponse publique.
  3. Comparez les deux résultats et vérifiez qu'ils correspondent à la configuration attendue.
  4. Documentez quels domaines utilisent le split horizon et quelles sont les réponses attendues.

Monitoring Multi-Vues

MoniTao peut surveiller les deux faces de votre split horizon :

  • Monitoring depuis Internet pour valider la vue externe
  • Configuration de monitors internes pour la vue privée
  • Alerte si une vue retourne une réponse inattendue

Bonnes Pratiques Split Horizon

  • Documentez clairement quelle réponse est attendue pour chaque vue
  • Utilisez des sous-domaines explicites quand possible (internal.example.com)
  • Assurez-vous que les certificats SSL couvrent les deux cas d'accès
  • Testez régulièrement les deux vues pour détecter les drifts de configuration

FAQ - Split Horizon DNS

Le split horizon est-il une faille de sécurité ?

Non, c'est une technique de segmentation légitime. Mais une mauvaise configuration peut exposer des infos internes.

Comment configurer le split horizon ?

Avec BIND, utilisez les "views". Avec DNS cloud, créez des zones privées. Les détails dépendent de votre stack.

Le CDN fonctionne-t-il avec split horizon ?

Oui, mais configurez le CDN pour utiliser l'IP publique. Les requêtes internes peuvent bypasser le CDN si souhaité.

Comment monitorer les deux vues ?

Configurez des monitors MoniTao depuis des IPs dans chaque réseau, ou utilisez un agent interne pour la vue privée.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs