molinadiaz

@PiwiLAbruti Quelle solution de DoT/DoH existe-t-il sur Synology ? J'ai entendu parler de "DNSCrypt" aussi. Une piste ?

@PiwiLAbruti Ah ?! Par quel(s) procédé(s) l'ISP parvient-il à faire cela ? À cause de leur box (et donc de leurs serveurs DNS) en amont du routeur ?

@oracle7 Après si vous me dites que les requêtes DNS de mes clients DHCP sont invisibles aux yeux de l'ISP, moi ça me va ! Ça me réconforte déjà dans mon idée d'indépendance. EDIT : Y'a vraiment des routeurs qui peuvent physiquement remplacer une box ? Perso, je me suis toujours mis en bridge derrière la box de l'ISP mais j'ai jamais su qu'on pouvait physiquement supprimé la box d'un ISP pour n'avoir qu'un seul et unique périphérique (routeur). C'est possible chez quel ISP, ça ? EDIT 2 : après, si mes clients DHCP utilisent actuellement la résolution des noms de mes propres DNS .. qui donc utilise la résolution des noms depuis les DNS de l'ISP ? Le routeur, vraiment ?

@oracle7 Elle fonctionne parfaitement ! J'ai vraiment zéro soucis. Mes clients DHCP utilisent mes DNS bien distincts sur des machines bien distinctes. Si un DNS primaire tombe, le secondaire prend le relais. Le seul truc que je voulais, c'était mon routeur sur des DNS autres que ceux de l'ISP, mais c'est touchy donc tant pis.

@.Shad. Bah, via connexion VPN sur adresse IP plutôt que sur nom de domaine ! Mes IP ne changent pas (sauf si modem ISP down pendant plus de 4 heures, environ).

@.Shad. Réutilisation des DNS par défaut de l'ISP le temps que DSM/DNS Server soit up. Je ne m'en fais pas trop pour ça.

Tu veux parler ici d'un problème avec le paquet DNS Server de Synology à proprement parler ? @.Shad. @Jeff777 Oui, 2 noms de domaine ! Et le schéma que tu viens de résumer est le bon. C'est effectivement ma configuration ! J'imagine qu'elle te semble okay ?

@.Shad. Pourquoi parlais-tu de ceci ? Je ne comprends pas l'utilité d'un 3ème serveur. Par ailleurs, si on pouvait aussi m'expliquer comment accéder aux requêtes DNS d'un client DHCP sur un Synology ? Le paquet DNS Server ne permet pas ça 😕 J'ai bien tenté de retrouver des logs en SSH mais rien vu .. Merci, les gars !

@.Shad. Mon routeur Paris n'utilise pas l'IP publique de mon NAS à Paris. Je le stipulais bien plus haut, j'utilise mon IP privée à Paris sur Paris, et mon IP privée à Madrid sur Madrid. Les IP publiques ne sont utilisées que pour les DNS secondaires. Par ailleurs, Paris est esclave de Madrid et Madrid est esclave de Paris. Les MAJ sur les zones maîtres de Paris sont envoyées sur Madrid. Et les MAJ sur les zones maîtres de Madrid sont envoyées sur Paris. À ce niveau, je suis okay partout ! Je sens bien sur le forum que vous faites tous la confusion ! Raison pour laquelle j'essaye d'être le plus précis possible. J'ai sur mon routeur deux emplacements différents pour la gestion des DNS : Network > DHCP Server : pour paramétrer les DNS distribués à mes clients DHCP. Ça, c'est fait et ça fonctionne très bien. Mes clients DHCP à Paris utilisent Paris primaire (IP privée) + Madrid secondaire (IP publique). Mes clients DHCP à Madrid utilisent Madrid primaire (IP privée) + Paris secondaire (IP publique). Bref tout est okay ! Network > Internet : pour paramétrer les DNS de mon routeur. Il est impossible d'utiliser des IP privées à ce niveau (le routeur ne le permet pas). Je ne peux utiliser que des IP publiques. Souhaitant que mon routeur s'affranchissent des DNS de mon ISP, je me suis dit que j'allais y encoder les IP publiques de mes DNS Paris + Madrid. Mais cela provoque des bugs.

Bonjour @oracle7, Donc, pour vulgariser, en utilisant sur le routeur Paris les serveurs DNS de Paris + Madrid, mon ISP peut-il avoir une vue sur les DNS queries opérées sur un client DHCP du routeur Paris ? L'idée étant de faire en sorte que la réponse soit NON 😛 Cordialement,

@.Shad. C'est que je me tue à tenter de résoudre 😕 Je veux que mon routeur utilise mes DNS primaire et secondaire (mes NAS) au même titre qu'un client DHCP. Mais "WAN connection error!" par intermittence.

@.Shad. À domicile (c'est que j'appelle "Paris" pour situer géographiquement), mon routeur est la passerelle de tous mes équipements réseau. Mais mon routeur, lui, est client DHCP d'une passerelle en amont chez mon ISP. Je n'ai donc pas le sentiment que mes clients DHCP soient réellement affranchis de l'ISP dans la mesure où, tout en haut de la chaîne, il y a de toute façon mon ISP. Me trompe ? EDIT : mon routeur récupère les DNS du modem de l'ISP, quoi. Oui.

Bonjour @.Shad. J'ai fait un test sous Network > DHCP Server (toujours le réseau, mettons, Paris) : DNS Primaire : IP locale du NAS à Paris. DNS Secondaire : IP publique du NAS à Madrid Si je coupe le serveur DNS primaire, je peux toujours avoir la résolution des noms grâce au serveur DNS secondaire de Madrid. Lorsque je coupe le serveur DNS à Madrid, plus aucune résolution de nom n'est possible. Top, ça marche, on dirait que mes clients DHCP sur le réseau Paris utilisent bel et bien mes serveurs DNS, comme tu l'as souligné. Ma question : si mon routeur fait passerelle sur le réseau Paris .. mais que ce dernier utilise ses propres DNS récupérés au préalable par DHCP sur sa propre passerelle (celle du FAI), puis-je en déduire que mes propres clients DHCP ne sont pas parfaitement et complètement affranchis du FAI ? Un 3ème serveur ? Oula, non ! 2 serveurs, un primaire à Paris et un second à Madrid, ne sont pas suffisants ? Il faudrait que les 2 tombent en panne en même temps pour que je sois down.

@Jeff777 Apparemment, ce n'était même pas une question d'IP à autoriser ! Je viens de remarquer que c'était les sites en "HTTP" qui posent problème. Il n'y a qu'avec eux que je rencontre des bugs de chargement. Tous les sites en HTTPS passent crème ! Tiens, tiens .. je continue d'investiguer !

Cela ne nous concerne pas ici, @Jeff777 ! Mon IP est la même depuis des années ! Pour qu'elle change, il faudrait que le modem-routeur de mon ISP soit mis hors-tension pendant plusieurs heures. Non, vraiment, le soucis est ailleurs ! Et je cherche toujours .. EDIT : Résolu ! J'avais zappé d'ajouter mon IP publique dans la liste des adresses IP autorisées à la résolution dans le paquet DNS Server. Tout bête.

C'est ce que j'ai fait, mais j'ai les bugs intermittents cités dans mon premier post de tout à l'heure .. @Jeff777

Bonsoir @Jeff777 et merci pour ta réponse ! Dans les paramètres de mon serveur DHCP du routeur, j'ai ceci : Le Primary DNS paramétré sur 192.168.1.100, c'est l'IP locale de mon NAS. C'est bien ce qui me permet d'utiliser le résolveur local de mon NAS avec le paquet DNS Server, non ? Mais à ce stade, je ne peux pas encore m'affranchir de mon ISP, je me trompe ? Mon ISP a toujours la main, non ? Changer les adresses IP des serveurs DNS de mon ISP, ce n'est pas ce qu'il faut faire pour reprendre la main sur ce dernier ? Depuis le menu Network > Internet de mon routeur, j'ai en tout cas la possibilité de changer les adresses IP publiques des serveurs DNS : À quoi cela sert-il, alors ? En d'autres termes, si je voulais remplacer les DNS de mon ISP par les DNS de Google, c'est bien sous Network > Internet que je devrais indiquer 8.8.8.8 en vis-à-vis du Primary DNS, non ? Ce qui signifierait que ce n'est plus mon ISP qui se chargerait de la résolution mais bien Google, non ? Moi, ce que je veux, c'est que la résolution de n'importe quel nom de domaine sur Internet ne se fasse ni par mon ISP, ni par Google, mais par le paquet DNS Server de mon NAS ! C'est possible, non ? Cordialement,

Bonjour, Je vous reviens toujours dans le cadre de la mise en place de mon propre NS/SOA. Mon cache DNS local fonctionne. Ma zone DNS locale fonctione. Ma zone DNS publique semble fonctionner, elle aussi. Dernière étape : changer les serveurs DNS, du point de vue de l'Internet, depuis l'interface de mon routeur de façon à ce qu'ils ne pointent plus vers les adresses IP publiques des serveurs DNS du FAI mais plutôt vers les adresses IP publiques de mes serveurs DNS. Ce que vous voyez en rouge, c'est ce que je ne peux pas changer. Ce que vous voyez en vert, ce sont des champs paramétrables. En vis-à-vis de Primary DNS, j'ai donc inséré l'adresse IP publique de mon NAS 1 (qui correspond, vous vous en doutez, à mon adresse IP publique en rouge !). Ce NAS 1 est situé en position géographique X (mettons Paris). En vis-à-vis de Secondary DNS, j'ai donc inséré l'adresse IP publique de mon NAS 2. Ce NAS 2 est situé en position géographique Y (mettons Madrid). J'ai ipconfig /flushdns sur mon poste fixe Windows 10. J'ai nettoyé les données de mon navigateur (historique, cookies, etc.). J'ai éteint mon routeur et mon PC avant de les redémarrer ensuite (pour bien jouer le truc à fond). Problème : certains sites internet sont résolus et s'affichent correctement. D'autres mettent un certain temps à charger avant d'être considérés comme étant inaccessible : Et l'accès à d'autres sites me redirigent immédiatement vers l'interface de mon routeur avec le message suivant : Bref, sauriez-vous me dire de quel côté je dois checker ma conf ? Un tout grand merci ! Cordialement,

@.Shad. Je vois ! Sur le principe, je cherche à ne plus dépendre de mon FAI. Si c'est pour transposer la chose en dépendant de mon hébergeur, le sens de ma démarche sera toujours un peu biaisée. Mais j'ai compris l'idée concernant l'hébergeur détenant ses propres IP. Merci 🙂

Justement, @.Shad., ce que je ne comprends pas, c'est comment l'hébergeur aurait-il lui, de son côté, la main sur le PTR de son propre FAI ? L'hébergeur, quel qu'il soit, ne se retrouverait-il pas dans la même situation que moi ?

Bonjour @oracle7 et @Jeff777, Oui, je me suis aussi rendu compte qu'oracle7 n'hébergeait pas sa zone quand j'ai lu sa dernière réponse. Tout s'éclaire. Pour le reste, je ne sais pas si ça vaut la peine de contacter mon FAI pour leur exposer ma situation. Car il s'avère que mon IP est semi-fixe. En effet, il suffirait que je me mange une coupure d'électricité durant plusieurs heures ou que mon routeur soit éteint durant plusieurs heures (bref, on sait jamais ce qui peut arriver et je n'ai pas d'UPS ..), alors au redémarrage je me verrais allouer une nouvelle IP. En supposant que les techniciens de mon FAI aient réalisé l'enregistrement PTR au préalable .. la configuration ne serait de toute façon plus bonne de leur côté puisqu'il faudrait que le PTR en question pointe vers la nouvelle IP. Il faudrait réitérer l'opération chez le FAI et c'est absolument inenvisageable.

Bonjour @oracle7, J'ai l'impression de tourner fou. Comment est-il possible de faire tourner un serveur mail à la maison si, plus haut, l'on me spécifiait (tu en faisais partie) que le reverse DNS au niveau public est impossible ?! Pour faire tourner un serveur mail correctement sans embûche, il faut que l'enregistrement "PTR" retourné corresponde à mon nom de domaine personnalisé et non à celui de mon FAI ! Or, l'on me raconte que je n'ai pas autorité avec mon serveur pour définir le reverse DNS de mon domaine ! Puis, l'on me dit que c'est quand même possible d'avoir un serveur de mail à la maison qui tourne. Mais pour que ça tourne, il faut que l'enregistrement "PTR" retourné corresponde à mon domaine personnalisé et non à celui de mon FAI ! Or, l'on continue de me dire que je n'ai pas autorité avec mon serveur pour définir le reverse DNS de mon domaine ! Mais on me rétorque que c'est quand même possible d'avoir un serveur mail à la maison qui tourne. Mais pour que ça tourne, il faut que l'enregistrement "PTR" .. Tu la sens, la boucle infinie de notre discussion sans fin ? Haha ! Cordialement,

@oracle7 Qu'est-ce qu'un hébergeur comme OVH ou o2switch a de plus que nous ? Comment se fait-il qu'héberger un serveur mail à la maison avec une boîte mail poserait plus de soucis (au niveau de l'authentification des mails sortant) qu'une boîte mail hébergée sur les serveurs d'OVH, par exemple ? Moi, ce que je cherche à faire, in fine, c'est l'hébergement de mon propre serveur mail avec ma propre boîte mail sans dépendre de quoi que ce soit. Pas possible ?

@Jeff777 Ça confirme donc le problème que je soulevais dans mon premier post. La question étant maintenant de savoir si l'enregistrement de mes SPF / DKIM / DMARC peuvent suffire à avoir un serveur mail sans pénalité ou si cette histoire de reverse DNS sur lequel je n'aurai jamais la main va finalement me poser des soucis d'envoi à cause d'une authentification presque okay mais pas totalement.. Mais ce qui est étonnant, c'est que @oracle7 semble dire que c'était possible de reverse DNS de mon nom de domaine avec le DNS perso. Qui a raison, du coup ? 😅

L'ennui, c'est que le tuto ne spécifie pas la déclaration de zones inversées pour le WAN @oracle7 😞