Aller au contenu

[TUTO] DNS Server


Fenrir

Messages recommandés

Bonjour,

Tout d’abord merci aux contributeurs (Fenrir, Mic13710 , ...) des différents tutos tous très intéressants.

Pourtant je bute sur celui-ci.

Un point avait attiré mon attention car je n’ai jamais réussi à me connecter à mon routeur sans créer d’exception.

Mic13710 disait:

'':Mais un des gros avantages que j’ai trouvé au serveur DNS combiné au reverse proxy c’est la possibilité d'accéder à mes Rasp en https sans utiliser leurs certificats.

En effet, si je rentre https:\\domo.s1.mondomaine, j’accède bien à Domoticz sur mon Raspberry 1, sans passer par le certificat Domoticz puisque le reverse proxy communique avec lui via une adresse en http. Le serveur DNS transfère l’adresse https non pas vers le Rasp mais vers le NAS comme on l’a vu plus haut et de là, c’est le reverse proxy qui met en relation le NAS avec le Rasp. C’est donc le certificat du NAS qui est sollicité.''

J’ai donc tenté de me connecter en passant par le DNS local (en cname) et le reverse proxy (https vers https).

La liaison se fait bien en sécurisé, et je me connecte au routeeur sous le compte administrateur.

Mais dans l’onglet ‘user’ le compte admin a le statut ‘Inactive’.

Je n’ai pas les droits d’administration.

Pas d’info sur les débits, l’occupation CPU de la RAM ….

 

Avez-vous une piste pour m’aider à trouver l’origine de l’anomalie ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

C'est un peu une devinette ton post.

Toutes les applications ne sont pas compatibles, ou pas simplement, avec un reverse proxy, c'est le cas de l'interface d'administration des EdgeRouter car elle utilise des websocket sur certains écrans.

Tu peux essayer avec ce tuto :

et ce post : https://community.ubnt.com/t5/EdgeMAX/Access-Edgemax-gui-via-nginx-reverse-proxy-websocket-problem/td-p/1544354

Lien vers le commentaire
Partager sur d’autres sites

Merci de cette réponse extrêmement rapide.

Je vais examiner ces posts attentivement.

Mais j'ai déjà une question sans doute bête.

Cette solution marchera-telle en parallèle du reverse proxy natif du DSM ou, comme je m'en doute faut-il  tout regrouper sur ce nouveau proxy?

Et également, comment fonctionne la solution employée par Mic13710 dans le tuto pour accéder à son routeur (sans exception semble-t-il)?

 

Modifié par PPJP
Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, PPJP a dit :

Et également, comment fonctionne la solution employée par Mic13710 dans le tuto pour accéder à son routeur (sans exception semble-t-il)?

J'accède tout simplement directement au routeur sans passer par le reverse proxy.

Comme il est indiqué dans mon tuto, j'ai seulement un enregistrement A pour l'adresse routeur.mondomaine qui renvoie simplement vers l'IP du routeur. Je ne passe donc pas par le certificat du NAS car, comme vous l'avez remarqué, ça ne peut pas fonctionner pour les raisons évoquées par Fenrir.

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai pas lu en détail ce que propose @CoolRaoul, mais comme il utilise une instance dédiées de nginx, ça ne devrait pas interférer. Par contre ça ne sera pas sur le même port.

Il est aussi possible que ça fonctionne en modifiant simplement ce fichier /etc/nginx/app.d/server.ReverseProxy.conf (ou en faisant un include de ta conf perso).

Lien vers le commentaire
Partager sur d’autres sites

Merci a vous deux..Je vais tenter de passer par nginx bien je je crois que cela va m’être difficile.

Je ne comprend toujours pas comment Mic13710 n'a pas de problème de certificat avec son routeur!

Ce routeur n'est pas de mon niveau, hélas, je n'en utilise qu'une infime partie de ses possibilités.

Et je ne situe pas certaines erreurs (qui heureusement n’empêchent pas son fonctionnement basique)

Modifié par PPJP
Lien vers le commentaire
Partager sur d’autres sites

@Mic13710 se connecte juste à son routeur en direct, il n'a pas dit qu'il n'avait pas de problèmes de certificats avec.

Soit dit en passant, rien ne t’empêche d'installer un certificat valide dessus, il suffit d'inclure son petit nom dans la liste des SAN que tu utilises avec LetsEncrypt, mais ça implique que son nom soit sur tes DNS publiques. Une fois le certificat créé sur le nas, tu l'exportes, tu créés un fichier avec le certificat et la clef (les 2 dans le même fichier), tu le recopies dans le routeur (dans /config/user-data) et t'installe avec la commande "set service gui cert-file /config/user-data/certificat.pem".

Néanmoins, s'agissant d'un équipement de sécurité, je te recommande plutôt d'utiliser un certificat privé (que tu as créé toi même, comme un autosigné) et de ne pas le rendre accessible depuis Internet (hors VPN, et encore ...)

Lien vers le commentaire
Partager sur d’autres sites

Merci, C'est la réponse idéale pour moi.

Rassures toi il n'a été accessible sur internet que le temps de créer le certificat LetsEncrypt le concernant (et seulement pour les 2 IP qui vont bien).

Merci encore à vous et bonne soirée.

Lien vers le commentaire
Partager sur d’autres sites

Il y a effectivement un soucis de reconnaissance du certificat du routeur ER-X, mais il suffit de mettre une exception pour s'y connecter. Ce n'est pas un problème en soit dans la mesure ou on ne s'y connecte pas tous les jours. Je ne m'y connecte pas de l'extérieur mais uniquement à partir du LAN. C'était plus gênant pour mes Rasp, d'où mon passage par le reverse proxy.

Lien vers le commentaire
Partager sur d’autres sites

J'avais simplement crû comprendre que tu avais trouvé une solution pour résoudre ce problème.

D’où mes essais avec le DNS et le reverse proxy

Je n'ai pas l'intention d'exposer ce routeur sur internet

Je l'ai déclaré sur le DNS public le temps de validation du certificat LETSENCRYT.

Et immédiatement supprimé du DNS Publique.

Je vais passer à un certificat privé, cela me permettra de faire une première modif de conf de l'erx en ligne de commande.

PS: Je n'ai jamais trouvé de site en français sur la gestion de conf en ligne de commande de l'erx.

Cela existe-t-il?

J'ai des errors et warning que je ne comprend pas tous

Lien vers le commentaire
Partager sur d’autres sites

Le pb de faire un certificat LE pour le routeur c'est que tu vas devoir refaire la manip tous les 3 mois (tous les 2 mois en pratique). Perso j'utilise uniquement des certificats signés par ma propre autorité pour ce type d'équipement, comme ça je peux mettre des durées assez longues.

On sort largement du cadre du tuto, mais pour la CLI, retiens juste l'existence de la touche TAB ou ? (TAB ou ? pour la liste des commandes, 2xTAB ou 2x? pour un peu d'aide). Tu peux aussi chercher des docs sur vyatta, comme par exemple : https://openclassrooms.com/courses/introduction-a-vyatta

 

Lien vers le commentaire
Partager sur d’autres sites

Comme je l'ai indiqué ci-dessus je vais passer au certificat perso.

C'est effectivement la meilleure solution.

Je suis bien conscient que des questions sur les routeurs non synology sortent du cadre de ce forum.

Je profitais juste de ma difficulté de comprendre l'anomalie rencontrée avec le le reverse proxy pour demander où je pouvais trouver de la doc en français pour l'erx.

Je n'ai d'ailleurs jamais posé de questions sur ce site concernant les erreurs constatées sur mon routeur.

Encore merci de votre aide rapide et efficace.

Modifié par PPJP
orthographe
Lien vers le commentaire
Partager sur d’autres sites

Salut Fenrir, 

Je réponds ici, suite à mon topic "Contrôleur de Domaine" où tu m'indiquais de suivre ce tuto avant tout.
Chose que j'ai fait avec beaucoup de curiosité.

J'en arrive au moment où il faut faire le test sur le site ZoneMaster, sauf que pour ma part, j'ai une erreur :

Les serveurs de noms de la zone parente et les serveurs de noms de la zone ne retournent pas suffisamment de serveurs (1) faisant autorité ({ns.mondomaine.fr). La limite inférieure étant fixée à 2.


D'après ton tuto, et en lisant l'erreur, je crois comprendre d'où viens mon erreur : Je n'ai pas renseigné de Serveur DNS secondaire : j'ai bon ?
Si c'est bien le cas, ce qui ne m'étonnerais que très peu, je pense que c'est parce que je ne sais pas comment enregistré ce second serveur DNS.

 

Mon NDD je l'ai acheté chez GANDI, et j'avoue que je suis un peu paumé avec leurs interface. 
C'est bien chez eux que je doit récupérer l'adresse d'un de leurs serveur DNS, et l'enregistrer sur mon NAS, c'est ça ?
 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, DaG33K a dit :

D'après ton tuto, et en lisant l'erreur, je crois comprendre d'où viens mon erreur : Je n'ai pas renseigné de Serveur DNS secondaire : j'ai bon ?

oui

Il y a 1 heure, DaG33K a dit :

C'est bien chez eux que je doit récupérer l'adresse d'un de leurs serveur DNS, et l'enregistrer sur mon NAS, c'est ça ?

non

=>si tu fais la dernière partie du TUTO, ce que je te déconseille (au moins pour le moment), tu dois installer, configurer et déclarer un nouveau serveur DNS en mode "slave" quelque part en dehors de chez toi (avec une autre IP publique).

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

Merci à Fenrir pour le Tuto, ça m'a rappelé mes heures de vi sur Linux pour refaire tout l'infra DNS d'une boîte (14 pays...), très bien.

Je l'ai appliqué sur le Routeur Syno RT1900ac (devrait aussi fonctionner sur RT2600ac du coup !) (après avoir installé le pkg DNS), ça marche nickel, et j'ai aussi ajouté la zone reverse.  Sans compter la conf du reverse-proxy sur le NAS, plus besoin de ports pour les services (dans les URLs) et c'est bcp plus rapide ...

J'ai utilisé .intra  (ce que bcp d'entreprise utilise, ou souvent du .intra.corp).

Merci.  ++

Ritchie

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour terminer la configuration DNS, il faut rajouter dans le serveur DHCP le nom du domaine local, ce qui évite ensuite d'avoir à chaque fois à l'entrer dans une URL.  Au lieu de mettre l'URL : "https://nas.fenrir.tuto:5001/" pour s'y connecter, on me mettra plus que "https://nas:5001/" et cela va de soi pour tous les autres services dispos.

Comme j'ai mis la conf. DNS sur mon routeur RT1900ac, dans la fenêtre Local Network, rubrique Serveur DHCP, on ajoute le nom du domaine local dans le champ Domain name : 598c57628df81_Capturedcran2017-08-1014_50_33.png.af4bc3ce0921290d635205977ebea81c.png

 

Alors, ce le NAS Syno, si vous êtes en IP manuelle, cela n'aura aucun impact, il faut soit se mettre en DHCP avec réservation d'@IP, soit modifier le fichier /etc/resolv.conf et rajouter la ligne "domain migneron.intra".

Sur la plupart des équipements bien "goalés" au niveau système, le système rajoutera automatiquement cette ligne.  Sur Mac, il rajoute dans /etc/resolv.conf la ligne "search migneron.intra" qui a le même effet.

Maintenant, reste plus qu'à ajouter toute la partie IPv6 à cette conf DNS ...  (et qui marche avec Free et un Routeur Syno ...  ça marche pas chez moi avec la conf dans le sujet associé...)

Voilà,

++

Ritchie

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Ritchie a dit :

Au lieu de mettre l'URL : "https://nas.fenrir.tuto:5001/" pour s'y connecter, on me mettra plus que "https://nas:5001/" et cela va de soi pour tous les autres services dispos.

C'est une très mauvaise idée de faire ça :

  • les utilisateurs vont prendre l'habitude d'entrer le hostname et ne comprendront pas pourquoi ça ne marche pas de partout ou avec tous les périphériques
  • ça rend impossible (ou complique) l’utilisation des certificats
  • ça empêche l’utilisation de plusieurs domaines (y compris avec le même domaine parent)
  • ça peut interférer avec les protocoles (à la con) comme netbios ou bonjour
  • ça facilite grandement l'interception de données (usurpation, ...)
  • ...
  • ça entre dans les historiques des navigateurs, ce qui amplifie les problèmes précédents

Tout ça pour gagner ... rien du tout puisque avec la complétion des navigateurs et des logiciels ça revient au même en terme de temps.

Chez toi tu fais comme tu le sens, c'est ton réseau et tes équipement :mrgreen:, mais pour ceux qui passeraient pas là, je vous recommande de ne pas suivre cet exemple.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.