[TUTO] DNS Server

[TuringFan]

Le 19/03/2025 à 12:54 PM, PiwiLAbruti a dit :

Vérifie les paramètres réseau du PC client. Est-ce que l'adresse 192.168.10.1 est définie manuellement ou est distribuée par DHCP ? Quelle est l'adresse du serveur DHCP ?

J'ai effectué la même manipulation sur plusieurs clients qui me donnent à chaque fois la même chose. En revanche mea culpa cette IP correspond bien à quelque chose : c'est la passerelle indiquée sur mon LAN et donc aussi son DNS. Dois-je changer cette config ?



Je pensais que via cette passerrelle les clients de mon LAN passaient justement sur mon routeur qui les passaient ensuite sur ma livebox qui les passaient ensuite sur Internet. N'est ce pas cela ?

Et je viens aussi de remarquer que j'avais bien configuré un DoH qui ne semble plus fonctionner ... J'imagine par ailleurs que quand le DoH est configuré alors les autres champs DNS sont ignorés et c'est le DoH qui prend le dessus non ? 

Je viens d'essayer avec un autre DoH et cela ne semble toujours pas fonctionner ...

 

Une idée de ce qui pourrait clocher ?

Modifié le 21 mars par TuringFan

[PiwiLAbruti]

il y a 6 minutes, TuringFan a dit :

Je pensais que via cette passerrelle les clients de mon LAN passaient justement sur mon routeur qui les passaient ensuite sur ma livebox qui les passaient ensuite sur Internet. N'est ce pas cela ?

Oui.

Le routeur RT2600ac fait donc office de serveur DNS (via DNS Server) pour les clients sur le LAN (192.168.10/24).

Seulement, les requêtes DNS expirent avant de pouvoir renvoyer un résultat, ce qui indique que le paquet DNS Server est mal configuré (voir dans la section Vues) ou que le pare-feu n'expose pas le serveur DNS (udp/53) sur le LAN, ou les deux.

[TuringFan]

Bonjour,

Je vous prie de bien vouloir m'excuser pour le retour tardif mais j'ai eu deux semaines très chargées.

Je pense que le problème venait notamment des serveur DNS de FDN que j'utilisais comme l'indique leur site.

 

 

[TuringFan]

Voici ma du coup ma nouvelle configuration qui utilise le DNS 1.1.1.1 de Cloudfare.

Pouvez-vous svp me dire si elle vous semble bonne ?

SRM (routeur)

Configuration de l'accès à internet.

J'ai indiqué l'IP de la passerelle en DNS Server et 1.1.1.1 en tant que DNS préféré.

Quelle est différence entre le champ DNS Server de la section Interface principale et le champ Serveur DNS préféré de la section configurer manuellement DNS Server ?

Je comprends que le champ Serveur DNS préféré prend le dessus à partir du moment où il est renseigné. Est-ce bien cela ?

Configuration du LAN.

Les champs DNS du DHCP indiquent l'IP de la passerelle mais ils sont grisés, j'imagine car j'ai configuré plus bas le DoH.


 

Configuration du DoH Cloudfare.

A noter que celui de Google (proposé par défaut comme Cloudfare) et de FDN ne passent pas le test de connexion.


 

Paquet DNS Server (sur le routeur)

J'ai configuré une zone ndd.tld avec typiquement des entrées du type :

• nas.ndd.tld A 86400 192.168.10.21 
• vpn.ndd.tld A 86400 192.168.10.21
• box.ndd.tld A 86400 192.168.10.1
• rt.ndd.tld CNAME 86400 ns.ndd.tld
• ns.ndd.tld A 86400 192.168.10.1

A noter que 

• 192.168.10.1 est l'IP locale de mon routeur
• 192.168.10.21 est l'IP locale (bail infini via DHCP) de mon NAS
• j'ai ensuite un reverse proxy sur mon NAS
  • il renvoie par exemple vpn.tld.ndd vers le paquet VPN Server (sur le routeur) avec le bon port  
  • j'utilise parfois des contrôles d'accès imposant une IP LAN ou VPN comme par exemple pour accéder aux interfaces de gestion de routeur et du NAS

Résolution du DNS et IP sources autorisés.

Vue du DNS



DSM (NAS)



Sur cet écran @.Shad. suite à ta remarque que me conseilles tu de mettre ?

 

 

 

Modifié le 5 avril par TuringFan

[TuringFan]

Aujourd'hui je semble avoir récupéré un accès fonctionnel à internet sauf le cas ci-dessous.

Comme évoqué dans mon précédent message j'ai de nombreux "raccourcis" du type service.ndd.tld qui me permemnt d'accéder à différents services (souvent des paquet sur mon NAS) et correspondent à des entrées du type :

• service.ndd.tld CNAME 0 ndd.tld sur le DNS de mon registrar (OVH) pour les IP sources du WAN
• service.ndd.tld A 86400 192.168.10.21 sur le paquet DNS Server (installé sur mon routeur) pour les IP sources du LAN
• https://service.ndd.tld:443 vers http://localhost:X sur mon reverse proxy (installé sur mon NAS) pour les IP sources du LAN/VPN/WAN
  • avec parfois des contrôles d'accès sur certaines entrées du reverse proxy qui imposent d'utiliser une IP source sur une plage LAN/VPN

J'observe alors que je n'ai aucun problème dans la majorité des cas sauf pour les entrées avec contrôle d'accès imposant une IP source LAN / VPN ! Evidemment depuis mon LAN en remplaçant par l'IP du NAS et le bon port cela fonctionne !

Avez-vous une idée de ce qui cloche ?

Modifié le 5 avril par TuringFan

[Ging]

Le 12/02/2025 à 6:42 PM, Mic13710 a dit :

Le 12/02/2025 à 10:52 AM, Ging a dit :

e reverse proxy du nas (et non le firewall 😇) transfère alors la requête à la bonne application sur le nas.

Je rejoins @Jeff777.

Bonjour et désolé du décalage

J'ai suivi vos conseils et suis revenu à une configuration  plus classique en passant par le port https par défaut et maintenant cela fonctionne bien du lan et du wan.

Mais j'ai maintenant un autre problème avec le DNS server activé sur le NAS c'est que les requêtes DNS prennent 2 à 3 secondes à aboutir ce qui ralentit tout le traffic.

J'ai mis l'adresse lan du NAS comme DNS1 dans mon routeur (et un DNS de FDN en tant que DNS2)

Toutes les machines connectées sur le LAN recupère donc l'adresse du NAS en tant que DNS.

Mais toutes les requêtes sont plus longues. Si je passe directement par les DNS de FDN (sans passer par le DNS server du NAS), les temps sont normaux.

Quelqu'un a t'il déjà eu ce problème ?

Et avez-vous une idée de la manière d'investiguer ?

 

Merci d'avance de votre aide.

Ging.

Modifié dimanche à 14:35 par Ging

[Jeff777]

Bonjour @Ging

Vérifie le paramétrage de ta zone locale.

[PiwiLAbruti]

Les clients ne gèrent pas tous les serveurs DNS qui leur sont distribués de la même manière. Ils peuvent très bien interroger le deuxième serveur DNS sans défaillance du premier.

Les zones locales créées dans DNS Server ne pouvant pas être résolues par le serveur FDN, les accès peuvent être aléatoirement lents car les noms sont impossibles à résoudre (ou pointent vers une adresse IP publique).

[CyberFr]

Il y a 23 heures, PiwiLAbruti a dit :

Les clients ne gèrent pas tous les serveurs DNS qui leur sont distribués de la même manière. Ils peuvent très bien interroger le deuxième serveur DNS sans défaillance du premier.

C'est embêtant parce que sur mon Mac et sur la Freebox j'ai mis en priorité le serveur DNS du NAS et j'ai entré l'adresse d'un serveur quad9 de secours au cas où le NAS serait injoignable. Mais si arbitrairement le Mac et/ou la box utilisent le serveur de secours il ne me reste plus qu'à le supprimer de la liste.

[Jeff777]

Il y a 10 heures, CyberFr a dit :

la box utilisent le serveur de secours il ne me reste plus qu'à le supprimer de la liste.

ça c'est vérifié pour moi avec mes deux piholes en dns. J'avais mis un dns de secours en troisième position et parfois je récupérais des pubs alors que sans ce dns c'était clean. 

[CyberFr]

Il y a 14 heures, Jeff777 a dit :

ça c'est vérifié pour moi avec mes deux piholes en dns. J'avais mis un dns de secours en troisième position et parfois je récupérais des pubs alors que sans ce dns c'était clean. 

Il faut donc que je supprime le DNS de secours au niveau du Mac et éventuellement au niveau du NAS où il est défini comme serveur DNS de remplacement bien que dans ce dernier cas si le NAS tombe en panne ça ne change rien puisque j'envisage le cas ou le NAS est injoignable.

Il faut aussi que je supprime le DNS via HTTPS défini dans Firefox puisqu'il pointe sur le serveur quad9.

Par contre je n'ai trouvé aucun réglage DNS au niveau de la Freebox, impossible donc de modifier un paramètre par défaut.

[Jeff777]

Il y a 19 heures, CyberFr a dit :

Par contre je n'ai trouvé aucun réglage DNS au niveau de la Freebox, impossible donc de modifier un paramètre par défaut.

Dans freeboxos ( mafreebox.freebox.fr)  le paramètre dhcp donne accès au dns.

Chez moi c'est le seul endroit du réseau où on trouve les dns, ailleurs c'est en auto. 

Si mes deux piholes plantent je n'ai plus d'accès à internet, mais j'ai toujours accès à l'intranet pour changer les dns puis rétablir les piholes avant ďe les remettre en dns. 

[Mic13710]

Il y a 2 heures, Jeff777 a dit :

Si mes deux piholes

Deux pihole ? J'ai moi aussi 2 pihole mais sur 2 sites différents.

[CyberFr]

Il y a 1 heure, Jeff777 a dit :

Dans freeboxos ( mafreebox.freebox.fr)  le paramètre dhcp donne accès au dns.

Je ne me serais pas attendu à trouver les serveurs DNS dans la rubrique DHCP. Quel rapport avec la choucroute ? 😀 Mais effectivement tu as raison. Lors de l'installation de la Freebox j'ai bien renseigné les DNS.

 

Il y a 2 heures, Jeff777 a dit :

Chez moi c'est le seul endroit du réseau où on trouve les dns, ailleurs c'est en auto. 

Sur un Mac je n'ai rien trouvé qui permette cela malgré une première recherche sur Internet. Il faudra que j'approfondisse.

[Jeff777]

il y a 7 minutes, CyberFr a dit :

Sur un Mac je n'ai rien trouvé qui permette cela malgré une première recherche sur Internet. Il faudra que j'approfondisse.

Quand tu changes les dns sur la freebox il faut que tu la redémarres pour qu'ils soient pris en compte par tes périphériques, à la condition que ceux-ci soient en auto

Modifié jeudi à 07:03 par Jeff777

[CyberFr]

Le 28/04/2025 à 10:26 AM, PiwiLAbruti a dit :

Les zones locales créées dans DNS Server ne pouvant pas être résolues par le serveur FDN, les accès peuvent être aléatoirement lents car les noms sont impossibles à résoudre (ou pointent vers une adresse IP publique).

Hier, j'ai vérifié tous les endroits sur le réseau où l'on pouvait utiliser un serveur DNS de secours.

Dans les réglages système du Mac. Dans les réglage réseau du NAS où j'ai supprimé le serveur DNS de remplacement. Dans Firefox où j'ai désactivé DNS via HTTPS.

Mais décidément Vaultwarden me disait toujours que je m'étais connecté à partir de l'adresse 192.168.1.254 qui est celle de la Freebox.

Sans rien changer j'ai refait le test ce matin et cette fois ci Vaultwarden me dit que je me suis connecté à partir de l'adresse 192.168.1.1 qui est celle du Mac sur le réseau ! La seule différence est que dans l'intervalle j'ai redémarré le Mac et le NAS et relancé Firefox. Il faut croire qu'un redémarrage est nécessaire quelque part dans le réseau pour que les changements soient pris en compte.

Merci à @PiwiLAbruti et à @Jeff777 pour votre aide précieuse.

Maintenant il me faut définir une alternative au cas où DNS Serveur serait indisponible. Parce que si le NAS tombe en panne il n'y a pas grand chose à faire !

Il suffit je pense de disposer d'une configuration de secours au niveau des DNS du Mac faisant appel à un fournisseur tiers comme quad9 ou autre et de basculer sur celle-ci en cas de problème. Cela fonctionnera même si le NAS tombe en panne.

Il me faut désactiver "Configurer manuellement le serveur DNS" dans les réglages réseau du NAS (car j'ai saisi en dur l'adresse IP de DNS Serveur) afin que les DNS utilisés soient ceux définis au niveau du Mac.

Dois-je réactiver DNS via HTTPS dans Firefox ? Parce que si on ne sait pas par où tu passes, on sait où tu arrives. Et surtout cela revient à court-circuiter DNS Server qui, pour le coup, perd beaucoup de son intérêt.

[Jeff777]

il y a 12 minutes, Mic13710 a dit :

Deux pihole ? J'ai moi aussi 2 pihole mais sur 2 sites différents

Pihole1 sur nas1, Pihole1 sur nas2. Si un nas est inaccessible, l'autre prend le relai

[Mic13710]

Je comprends mieux. Mes pihole sont sur des rasp.

[Ging]

Le 28/04/2025 à 7:49 AM, Jeff777 a dit :

Vérifie le paramétrage de ta zone locale.

Bonjour,

quel paramétrage en particulier sur la zone locale ?

Car j'ai vérifié, tout est défini comme dans le 1er post du tuto

 

Le 28/04/2025 à 10:26 AM, PiwiLAbruti a dit :

Les clients ne gèrent pas tous les serveurs DNS qui leur sont distribués de la même manière. Ils peuvent très bien interroger le deuxième serveur DNS sans défaillance du premier.

D'accord, j'ai le problème sur un PC et donc dans ce cas soit les requêtes sont rapides (j'utilise le deuxième DNS) soit très lentes (plusieurs secondes dans le cas ou je passe par le DNS du NAS)

 

Le 28/04/2025 à 10:26 AM, PiwiLAbruti a dit :

Les zones locales créées dans DNS Server ne pouvant pas être résolues par le serveur FDN, les accès peuvent être aléatoirement lents car les noms sont impossibles à résoudre (ou pointent vers une adresse IP publique).

D'accord avec toi, si je suis sur le deuxième DNS, je n'accède au LAN que par IP et non par les noms

 

Personne n'a eu un souci similaire de lenteur avec le DNS du NAS ?

 

Ging.

Modifié jeudi à 11:20 par Ging

[CyberFr]

Grace à la remarque de @Jeff777 je suis parvenu à rendre les DNS "dynamiques" de telle sorte qu'un changement de DNS au niveau de la Freebox soit répercuté au niveau du Mac après un redémarrage de celle-ci le cas échéant.

Il y a 4 heures, CyberFr a dit :

Dois-je réactiver DNS via HTTPS dans Firefox ?

Oui c'est possible car on peut définir des exceptions dans Firefox concernant DNS via HTTPS. J'ai donc entré les deux noms de domaine que je gère (sous la forme ndd.fr sans http:// ou https:// devant le nom de domaine) et ça marche, DNS Server sur le NAS est interrogé.

En cas de problème je peux accéder à Freebox OS en indiquant une IP locale de type 192.168.1.254 qui ne nécessite pas de résolution DNS.

[cadkey]

Il y a 5 heures, Ging a dit :

Personne n'a eu un souci similaire de lenteur avec le DNS du NAS ?

Bonjour,

Si hélas, j'ai également un problème de lenteur avec mon DNS que je n'arrive pas à résoudre depuis pas mal de temps. J'ai parfois le DNS qui répond rapidement et d'autres fois où il peut être très lent pour la même requete.

Dans mon cas c'est en accédant au NAS ou ses services via le reverse proxy depuis mon réseau local.

Modifié jeudi à 16:41 par cadkey

[PiwiLAbruti]

Je n'ai jamais rencontré de problème de lenteur avec DNS Server.

Les serveurs DNS définis sur le NAS sont ::1 et 127.0.0.1 pour qu'il puisse utiliser ses propres zones locales.

Pour assurer la continuité des résolutions DNS par les clients en cas de panne du NAS (ce que je trouve inutile, mais admettons), il y a une solution possible pour Windows (je ne la connais pas pour Mac/Linux) :

Il faut indiquer aux clients d'utiliser un serveur DNS public quelconque. Et renseigner le serveur DNS à utiliser pour les zones locales avec la commande PowerShell Add-DnsClientNrptRule :

https://learn.microsoft.com/fr-fr/powershell/module/dnsclient/add-dnsclientnrptrule?view=windowsserver2025-ps

Ainsi, lorsque le client doit résoudre un nom terminant par un domaine résolu en local, on lui indique l'adresse IP du serveur DNS à utiliser.

À l'origine, j'utilise cette commande sur les clients Windows en VPN afin qu'ils puissent accéder aux ressources locales.

[cadkey]

Il y a 11 heures, PiwiLAbruti a dit :

Je n'ai jamais rencontré de problème de lenteur avec DNS Server.

Je ne parle pas de DNS Server, je ne l'ai pas. J'ai essayé mais je ne comprends pas, je n'ai pas eu d'amélioration en l'utilisant. J'ai suivi les tutos, en vain...