artere

@.Shad. Je viens d'essayer cette config : DNS côté RT désactivé DHCP côté RT: DNS primaire = 192.168.1.5 (NAS) DNS côté NAS : redirecteur 1 = 192.168.1.1 et redirecteur 2 = 1.1.1.1 J'ai le même souci qu'avant concernant SafeAccess : facebook est filtré (visible dans le log et site inaccessible), reddit est pseudo filtré (visible dans le log mais site accessible) J'ai également des soucis de résolution de DNS avec une erreur : DNS_PROBE_POSSIBLE. Je reviens à la configuration d'avant. J'ai contacté le support Synology pour les problèmes que je rencontre sur le RT, à savoir la connexion internet qui saute partiellement (impossible d'accéder à internet via un navigateur, mais RT connecté correctement à la box et VPN fonctionnel). Ce problème, je le rappelle, est résolu en redémarrant le RT, ce qui permet de dépanner mais n'est pas pérenne. Je n'ai rien trouvé dans les logs et j'espère que Synology trouvera la faille. Je suis toujours à la recherche de la bonne configuration entre mon NAS (qui a un serveur DNS du fait du Directory Server) et mon RT (qui doit pouvoir filtrer le trafic sortant (SafeAccess) tout en gérant les VPN). Pour l'instant, ce n'est pas stable et je n'ai pas la bonne config visiblement. Si quelqu'un a une idée, je suis preneur.

@.Shad. Je pense que le blocage s'applique sur l'ensemble des IP du réseau local. J'ai fait le test sur un PC donc normalement "filtré". Ce qui est étonnant, c'est que dans le cas de Reddit, SafeAccess indique bien que le site est filtré et pourtant la navigation reste possible. Faudra que je creuse.

@.Shad. J'avais fait le test de mettre le DNS uniquement sur le NAS et d'indiquer dans le DHCP du routeur uniquement le NAS en DNS Primaire. Cela semblait fonctionner hormis pour une chose assez étrange : safeaccess. En effet, le filtre de certains sites n'étaient pas correctement appliqué. Par exemple, je filtre les réseaux sociaux : facebook : le navigateur indique que le site est bloqué et SafeAccess indique dans son log que Facebook a été filtré (jusqu'ici tout va bien) reddit (autre réseau social) : le navigateur permet de naviguer sur le site (pas de blocage) mais de son côté SafeAccess indique dans son log que Reddit a été filtré ?!? Du coup, j'avais remis comme avant, mais si vous avez une explication pour le cas détaillé ci-dessus je suis preneur et j'envisagerais de basculer le DNS uniquement sur le NAS.

Je ne sais pas si ça peut aider, mais je viens d'aller faire un tour dans les logs du DNS (côté RT) et j'ai 3 notifications qui semblent correspondre au moment où j'ai essayé de joindre le domaine sur la machine virtuelle et que ce domaine n'était pas trouvé :

@.Shad. @PiwiLAbruti EDIT : Autant pour moi, je viens de faire un test en ajoutant un CNAME côté NAS pour voir si il apparaissait côté RT (zone Slave) et il est bien présent. Du coup, le problème reste entier et la question porte plutôt sur la deuxième partie : pourquoi lorsque je ne mets que le DNS du RT dans le DHCP (192.168.1.1) avec une zone Slave qui semble être bien liée au DNS de l'Active Directory, je n'arrive pas à joindre le domaine sur un poste client ? MESSAGE ORIGINAL : Bon, j'ai tenté la manip d'ajouter une zone esclave dans le DNS du routeur mais... 1. Dans le DNS du NAS (celui où se situe l'ActiveDirectory), je ne peux pas modifier les IP des zone esclaves. Le fait que les deux zones soient gérées par le paquet Directory Server fait qu'on n'a pas accès à toutes les options. J'ai pu cocher "Limiter le transfert de zone" et y ajouter l'ip du RT. Mais par contre, je peux pas ajouter le RT aux IP des zones esclaves, ce qui fait que ma zone esclave ne se met pas à jour automatiquement. Voilà ce que j'ai de mon côté : J'ai essayé de changer le statut, mais je n'ai pas la main dessus. J'ai essayé également de désactiver le paquet Directory Server, mais une fois désactivée, les enregistrement DNS sont supprimés. 2. J'ai tout de même poursuivi la manip et retiré le NAS (192.168.1.5) du DHCP (géré par le routeur) pour ne laisser que le routeur (192.168.1.1). Sur une machine virtuelle, je suis sorti du domaine pour y re rentrer et voir si il le trouvait... résultat, nop. Le domaine ne peut pas être trouvé en passant par le RT. On touche presque au but mais cet enregistrement DNS géré par l'ActiveDirectory est vraiment pénible. Une idée ?

@.Shad. Je vais regarder cette manip de @PiwiLAbrutivoir si cela règle le problème. @PiwiLAbruti Est-ce que tu pourrais me détailler comment rédiger la zone esclave (nom de domaine, enregistrement de ressources) et cette histoire de clé. Je vais regarder de mon côté si je trouve des informations sur le net, mais si tu as un exemple de config, je suis preneur. C'est assez étrange comme situation, sachant que la config fonctionne un certain temps puis semble tomber en panne de manière impromptue. C'est le RT qui gère le DHCP avec en DNS primaire le NAS (192.168.1.5) et en secondaire le RT (192.168.1.1). Le NAS est en primaire pour que le domaine soit trouvée par les postes clients. Du coup, quand je fais un nslookup sur un poste, la requête est envoyée au NAS (192.168.1.5) et c'est peut-être là que ça fini par planter. Je suppose que le NAS a un moment donné n'envoie plus les requêtes "externes" vers le RT. Un tracrt montre bien que c'est le RT qui s'occupe de la résolution.

Bon, j'ai toujours des soucis qui viennent de mes deux DNS (un côté NAS pour le Directory Server et un côté Routeur pour internet). J'ai à nouveau eu un souci (le même que la dernière fois) à savoir : la connexion internet fonctionne : le vpn fonctionne, je peux me connecter à la box et voir que la connexion est ok par contre, sur chaque poste client, impossible d'accéder à internet : le routeur bloque les requêtes ou n'arrive pas à résoudre les adresse. Par ailleurs, un nslookup me renvoie un "timed out" J'ai donc à nouveau redémarré le routeur et c'est rentré dans l'ordre... le problème, c'est que la panne est aléatoire et que ce n'est pas une solution que de redémarrer systématiquement le routeur Autre point dans mes recherches, j'ai tenté de suivre le tuto pour mettre en place un certificat via acme.sh et lorsque j'essaie de télécharger le paquet, j'ai semble-t-il là aussi un problème de DNS (pourtant, parallèlement, internet fonctionne) : voici les erreurs que j'obtiens via putty (sur un ns lookup et wget) : J'ai pensé un moment à SafeAccess, mais le site est accessible depuis un navigateur. L'adresse ip que l'on voit (169.254.172.197) est celle renseignée au niveau du DNS dans le Directory Server (voir copie écran ci-dessous). Là encore, je ne comprends pas bien comment cette adresse est paramétrée automatiquement par Synology. En toute logique, je devrais avoir l'adresse du NAS. Je ne sais pas d'où vient cette adresse. Elle ne correspond à aucun format de mes réseaux locaux. J'ai tenté de désinstaller le paquet Directory Server et le réinstaller pour voir si l'adresse IP du DNS changeait, mais rien à faire. Côté NAS, dans le DNS, les Enregistrements de Ressources (A et AAAA) sont bien dirigées vers l'IP du NAS (192.168.1.5). Enfin, côté Routeur, dans le journal du DNS, j'ai pas mal d'erreur de ce type : C'est assez étrange. Je ne sais pas si c'est inquiétant mais l'erreur ressemble à celle visible dans putty et à un problème de résolution de nom de domaine. L'autre point, c'est que ces erreurs ont lieu le 31 alors qu'aucun utilisateur n'était connecté. Bref, c'est un peu le boxon et surtout pas très stable.

Intéressante la dernière mise à jour de VPN Plus Server, il y avait semble-t-il un problème avec OpenVPN et le certificat LE. https://www.synology.com/fr-fr/releaseNote/VPNPlusServer?model=RT2600ac&major=5&minor=2

Ok. Donc, un seul DNS sur le NAS (via une app Docker pour ta part) et le DHCP côté routeur qui renvoie vers le DNS du NAS. Ca me semble plus clair. Après, j'ai toujours un problème avec le certificat, mais il faut que je me penche sur le tuto d' @oracle7 pour générer un certificat depuis le NAS puis l'exporter vers le routeur pour tout ce qui est service tel que le VPN, SafeAccess. Pour l'instant, j'ai un certificat auto-signé qui me permet de faire fonctionner OpenVPN. Si je fais un certificat LE depuis le routeur pour un site en .synology.me, OpenVPN refuse de se connecter et me renvoie une erreur TLS (je n'ai plus le code exact en tête). Donc, pour résumer, l'auto-signé fonctionne pour OpenVPN mais par contre, créé des problèmes en local notamment sur la navigation internet (voir sujet original du Post).

Ok Oracle, je vais suivre ton tuto mais du coup sur le NAS et non sur le RT. Ok pour l'idée. Dans vos configs respectives, vous avez un DNS sur chaque appareil (RT et NAS) ou un seul DNS sur le NAS ?

J'ai laissé tomber le tuto avec Acme.sh, accès root en ssh et tout le toutim... pas adapté à un routeur de toutes façons (le tuto est fait pour un NAS) Non, je n'ai toujours pas réglé mon problème de certificat. Pour l'instant, je génère le certificat via le routeur (et ça bloque, un certificat let's encrypt n'est disponible qu'avec un domaine en synology.me) et un certficat auto-signé provoque des problèmes au niveau navigateur). Mais de ce que tu me dis, c'est que je pourrais potentiellement générer le certificat sur le NAS puis l'exporter sur le routeur ?

J'ai regardé le log pour comprendre d'où pouvait venir le problème d'accès internet après avoir fait les deux modifications citées... j'ai pas compris. Entre temps, l'ip fixe de mon FAI a changé, c'est peut-être la cause du problème. Qui dit IP fixe qui change, dit VPN a reconfiguré. Je me penche actuellement sur les tutos cités plus notamment pour le certificat, mais ces tutos sont fait pour un NAS (DSM) et non un routeur (SRM) donc je ne sais pas si ils sont applicables. Donc, pour répondre à ta question, non la question du haut n'est pas résolu puisqu'initialement, j'ai surtout un problème de certificat (mais on a un peu dévié depuis :))

@oracle7 Alors, j'ai pas fait grand chose comme manip: j'ai juste retirer l'IP du NAS (192.168.1.5) dans le redirecteur 2 du NAS... puisque que comme toi, je pensais qu'il n'y avait pas d'intérêt... j'ai modifié le redirecteur 2 du DNS (Routeur) pour le remplacer par celui de CloudFlare (1.1.1.1) Bizarrement, après ces modifs, je n'ai pas eu de souci... mais, 24 heures après, aucun poste ne pouvait accéder à internet "en sortie". C'est à dire que je pouvais me connecter au VPN par exemple, donc internet fonctionne, mais une requête internet ne pouvait être résolue. NSlookup me renvoyait par ailleurs un "Request timed out". Il m'a fallu redémarrer le routeur et le NAS pour que tout rentre dans l'ordre. Sur le NAS, au niveau du journal au niveau du DNS, j'ai ces deux types d'erreur (à partir du moment où l'accès à internet ne fonctionnait plus) : samba_dlz: spnego update failed client 192.168.1.102#61768: update '*****.local/IN' denied Je ne sais pas si ces erreurs ont un rapport, le fait que j'en ai une plâtrée à partir du moment où la connexion internet a commencé à buggé. Par contre, j'ai toujours client 192.168.1.102#61768: update '*****.local/IN' denied même la connexion internet restaurée. Bref, rien n'est clair.

@oracle7 Je vais résumer : NAS: DNS -> Résolutions -> Redirecteur 1 (192.168.1.1 Routeur) / Redirecteur 2 (192.168.1.5 NAS) DHCP -> non Routeur: DNS -> Résolutions -> Redirecteur 1 (80.67.169.12) / Redirecteur 2 (80.67.169.40) DHCP -> Oui -> DNS Primaire (192.168.1.5 NAS) / DNS Secondaire (192.168.1.1 Routeur) Est-ce que c'est correct ?

@oracle7 Côté NAS, le DNS est bien configuré avec comme Redirecteur 1 (IP du Routeur), redirecteur 2 (IP du NAS) A quel niveau ? Au niveau du DHCP ou au niveau du DNS. Niveau DHCP: j'ai bien en DNS primaire l'ip du NAS et en secondaire l'IP du routeur Au niveau du DNS, j'ai comme redirecteur 80.67.169.12 et 80.67.169.40 (basé sur le tuto de @Fenrir). Est-ce qu'il faudrait que je remplace le premier redirecteur par l'IP du NAS. Est-ce que ça ne fait pas doublon avec le DNS primaire du DHCP ? @PiwiLAbruti Je vois. Je mets quoi comme nom de domaine, celui de l'ActiveDirectory (domain.local) ? Si je comprends bien ou bien je me trompe, j'ai deux possibilités : configurer le DNS primaire côté DHCP et faire pointer le premier DNS vers l'IP du NAS ou configurer les redirecteurs côté DNS et donc dire au DNS du routeur de résoudre les requêtes vers le domaine local en redirigant vers le DNS du NAS. Est-ce que l'un ne va pas sans l'autre ou bien, si je choisis la solution 2 (redirecteurs du DNS), dans ce cas, je peux remettre en place le DOH sur le DHCP ? Merci en tout cas pour votre aide bien précieuse.

@oracle7Sur le routeur, tu ne peux pas avoir d'Active Directory (ou plutôt Synology Directory Server). Lorsque ce package est installé sur le NAS, il installe également le package DNS qui est automatiquement configuré pour accueillir le domaine. Une fois que tout est installé, j'ai effectivement tenté de reproduire les deux lignes correspondant au domaine et présentes dans le DNS, pour les mettre dans le DNS du routeur, mais cela ne fonctionne pas... du moins, le domaine devient alors injoignable et les postes informatiques n'arrivent plus à se connecter. Je pense que Synology Directory Server ne peut pas fonctionner avec un DNS situé sur un autre matériel ou alors je n'ai pas encore trouvé comment faire, ou je n'ai pas bien cherché 🙂 Quand je regarde les enregistrements de ressources pour les deux lignes présentes dans le DNS du NAS il y a un paquet de ligne qui me semble-t-il sont mises à jour automatiquement, notamment des Ressource A avec le nom des PC du domaine. Je pense qu'à chaque fois qu'un nouveau PC rejoint le domaine une ligne de ce type est créé et je ne suis pas sûr que ce soit quelque chose de faisable avec le paquet DNS directement. Il doit y avoir des scripts dans le package Synology Directory Server qui s'occupent de ces mises à jour du DNS. Je viens de trouver ça https://kb.synology.com/en-nz/DSM/help/DirectoryServerForWindowsDomain/synologydirectoryserver_dns_auto_registering?version=6 qui semble confirmer mes dires.

@oracle7 Oui, il me semblait plus logique que le DNS soit sur le routeur également... le problème étant le "conflit" entre le DNS du routeur qui va gérer quasi tout le réseau et le DNS du NAS qui lui ne gère que le domaine ActiveDirectory. Je n'ai pas encore trouvé la solution pour informer le DNS du routeur de l'existence du domaine et lui dire de rediriger proprement toutes les requêtes qui concerne le domaine vers le DNS du NAS.

Merci pour le recap des tutos. Je vais regarder ça un peu plus en profondeur, voir si effectivement, je ne devrais pas centraliser le DNS sur le NAS quitte à supprimer celui du routeur. Je vous tiens au courant.

Visiblement non. Lorsque tu génères un certificat dans la partie "services" du RT (SRM), c'est le certificat qui sera utilisé par OpenVPN mais aussi par VPN Plus, etc... l'interface est différente de DSM dans laquelle tu peux avoir plusieurs certificats. Là, tu ne peux pas attribuer le certificat à telle ou telle application vu qu'il y en a qu'un. Via ce tuto (https://jeangalea.com/setup-ssl-synology-nas/), le certificat est bien assigné à la fois au domaine mais également à l'IP (bon, là il s'agit d'un NAS, mais je pense que c'est la même avec un RT). Par contre, c'est une chose que je n'ai pas fait pour le certificat actuel ce qui est potentiellement à l'origine d'une partie du problème. Le problème de changer le certificat, c'est qu'à chaque fois, il me faut recréer le fichier de config d'openvpn et demander aux utilisateurs de mettre à jour leur client. Vu que je fais pas mal de test en ce moment, faudrait pas que je leur demande tous les 2 jours de faire la manip. Il me semble que c'est ce que j'ai fait mais je ne suis pas sûr de la config de mon DNS sur le routeur. J'ai comme config : Autre point, ayant à la fois un DNS sur mon NAS qui gère l'Active Directory et un DNS sur le RT, j'ai été obligé dans les paramètres DHCP du réseau local de mettre en DNS primaire celui du NAS (AD) puis en secondaire, celui du RT... je ne sais pas si cela peut jouer. J'ai fait dans cet ordre car sinon, lorsqu'un utilisateur se logue à Windows, le domaine n'est pas trouvé... c'est le sujet d'un autre poste où je demande de l'aide et auquel tu as participé d'ailleurs 😉 J'aurais aimé idéalement que le RT soit capable de rediriger vers le NAS lorsque la demande d'un PC est d'atteindre l'Active Directory, mais je n'ai pas trouvé comment faire.

Bonjour à tous, A nouveau besoin de votre aide. Oui le titre évoque beaucoup de paramètres mais tous sont liés. Voilà la situation, l'ensemble se situe sur un routeur RT2600ac. J'ai configuré le certificat pour être auto-signé et attribué à un domaine, disons domain.fr. En créant le certificat, j'ai associé à un wildward *.domain.fr. [1er point : après lecture de plusieurs tutos, j'aurais peut-être du ajouter l'adresse ip du routeur (192.168.1.1)... on verra pourquoi par la suite. Pourquoi un certificat auto-signé et non un certificat Let'sEncrypt (LE) ? Parce que j'ai rencontré des soucis d'OpenSSL avec Openvpn dans le cas d'un certificat LE. Par contre, aucun souci avec un certificat auto-signé et durée de vie plus longue. Ensuite, concernant le DNS : j'ai fait une simple configuration en Master avec le domain.fr pointant vers le routeur. Du côté de mon hébergeur, domain.fr pointe vers l'adresse ip fixe, mais je pense que cela n'interfère pas dans mon soucis. Côté Safeaccess, pas grand chose de configuré. J'ai juste choisi un filtre de base pour voir. Côté PC, j'ai ajouté le certificat généré par le routeur dans le gestionnaire de certificat de Windows au niveau de l'onglet : Autorités de certification racines de confiance. Voici les problèmes (ils sont multiples) : lorsque je me connecte au routeur (192.168.1.1) : j'ai un message d'erreur de certificat (pourtant dans le navigateur, le certificat est considéré comme valide). C'est là que le fait que l'adresse ip du routeur n'ait pas été ajoutée au certificat peut causer cette erreur... pas grave, mais pas terrible lorsque je me connect à un site qui est filtré par Safeaccess, là ça se complique... le certificat n'étant pas reconnu et le routeur étant sensé émettre une page en lieu et place du site visité (page qui permet à l'utilisateur de demander à l'administrateur de débloquer la page), j'obtiens également une erreur de certificat, sauf que là pas moyen de contourner, normal vu que le site est filtré. Mais du coup, d'un point de vue ergonomie c'est très moyen, l'utilisateur ne pouvant pas me signaler que son site favori est inaccessible Je vous épargne les problèmes avec VPN Plus et l'accès au bureau à distance qui semble aussi souffrir de ce certificat pas bien reconnu. Quels sont vos avis, vos conseils, vos solutions ? Un grand merci d'avance.

C'est plus clair et presque logique. Je vais tester sur un PC dont l'IP est attribué par le DHCP.

Ok. Je vais donc me passer du DoH, dommage. Je vais donc paramétrer des deux côtés (NAS et Routeur) et voir si le domaine est trouvé sans renseigner le DNS dans les paramètres de la carte réseau. Merci pour les infos. Edit : Quand je retire l'ip du nas (DNS préféré) dans les paramètres de la carte, je ne trouve toujours pas le domaine mais je perds également la connexion internet ?! J'ai testé sur un PC dont l'ip est configuré manuellement (et non par le DHCP du routeur) avec comme passerelle l'ip du routeur (192.168.1.1). Est-ce que ça peut être la raison ?

Ok. Par contre, j'ai activé l'option DoH (DNS sur HTTPS) et lorsqu'elle est activé, les paramètres DNS Principal/Secondaire du DHCP sont grisés. Je ne sais pas si cela veut dire qu'ils ne sont pas pris en compte. Pour l'instant, j'ai désactivé l'option DoH pour voir si cela règle le problème.

Bonjour à tous, Autodidacte en informatique, je travaillais initialement dans la biotechnologie... vous allez me dire rien à voir. Pour chaque poste que j'ai occupé, je me suis beaucoup impliqué dans la structuration de réseau informatique, de développement d'outil pour simplifier et fluidifier le travail. Il y a quelques années, j'ai décidé de franchir le pas et de me lancer en tant qu'auto-entrepreneur. Plusieurs entreprises me font confiance dans le déploiement de structure mais également dans le conseil et l'accompagnement. Alors bien sûr, je ne sais pas tout faire, mais je m'améliore et j'apprends vite. Je viens chez vous car j'apprécie de travailler depuis quelques années avec du matériel Synology. Je serais ravi de partager mes expériences et mes conseils/découvertes. Longue vie. Et puis comme il faut lire la documentation, voici le complément d'information conseillé : Age : 41 Personnellement, je n'ai pas encore de NAS (hé oui), mais chez mes clients : FS6400 (Disque SAS) / DS218+ / DS216se / RT2600ac Niveau : modestement, je dirais doué mais le champ de connaissance est tellement vaste que je préfère rester raisonnable Depuis 6 ans avec du matériel Synology

Bonjour à tous, Je n'ai pas encore pris le temps de faire ma présentation mais je me suis noté d'y penser. Je viens d'installer un couple NAS FS6400 et Routeur RT2600ac. J'ai un Directory Server (Domaine AD) sur le NAS (192.168.1.5) qui est forcément couplé avec son propre Serveur DNS, puisqu'à l'initialisation du domaine, des zones sont ajoutées automatiquement dans le Serveur DNS. Sur mon routeur, j'ai également un DNS configuré selon le tuto de Fenrir. Mes postes informatiques accèdent au NAS en passant obligatoirement par le routeur qui leur attribue une adresse IP. Ils passent donc par le DNS du routeur (192.168.1.1). Seulement, voici ma question : lorsque j'essaie de rejoindre le domaine depuis un poste informatique (connecté en filaire au routeur), je suis obligé d'ajouter sur chaque poste, dans les paramètres de la carte réseau, en DNS préféré celui du NAS (192.168.1.5), puisqu'en passant par le DNS du routeur, il n'arrive visiblement pas à trouver le domaine. Est-ce que cela est contournable , je veux dire est-ce qu'il faut obligatoirement modifier chaque carte réseau de chaque poste ou bien y'a-t-il moyen sur le DNS du routeur d'indiquer que si l'on cherche le domaine on doit aller sur le DNS du NAS. J'ai essayé avec une zone de redirection (nom du domaine, IP du nas) mais rien à faire. Si quelqu'un a la solution, qui je suis sûr existe, je suis évidemment preneur. Merci grandement d'avance.