[TUTO] DNS Server

[unPixel]

Et bien tu mets 🙄

Si tu as un reverse proxy ce que je te recommande, tu mets nas.ndd.tld et en ports, tu mets 80 et 443

Revois aussi toute ta configuration, tu dois avoir un paramètre qui est en conflit par rapport à ton ancienne box ou opérateur.

Modifié le 24 octobre 2018 par InfoYANN

[littlewhite]

Ok ca marche, je vais tout repointer, et éventuellement tout refaire (ce que je voulais éviter), mais avant je tenter une dernière fois de voir si je peux trouver le problème

Merci à toi et bonne journée

[unPixel]

De rien. Tiens nous au courant 😉

[homer67]

Bonjour,

merci pour cet excellent tuto.

J'ai simplement une question concernant la zone master décrite dans le tuto.

Est ce qu'il est possible d'attribuer une IP au le nom de domaine correspondant à la zone master (fenrir.tuto) ?

Je m'explique : j'ai configuré ma zone comme décrit ici mais j'aimerais que "nslookup fenrir.tuto" renvoie une IP
Est ce possible ?

[Fenrir]

DSL les gens, je ne suis pas repassé par ici depuis trop longtemps, donc trop de questions pour y répondre ou pour savoir ce qui a déjà été traité.

@Spi : ta segmentation probablement inutiles, sauf si tu veux donner des réponses différentes aux clients ipsec de celles des clients openvpn et des celles des clients du lan et ton soucis de résolution vient du client qui n'utilise pas les DNS proposés

@homer67 : fenrir.tuto est un nom de domaine tout comme www.fenrir.tuto, donc oui tu peux et c'est même recommandé (à la limite de l'obligatoire), c'est indiqué dans le tuto

 

Le 29/01/2017 à 01:58, Fenrir a dit :

(edit) : ce n'est pas dans la capture, mais il faut aussi créer un enregistrement pour le "naked domain", le domaine lui même, ça doit être un type A

 

 

 

[Spi]

Hello @Fenrir ,

Merci pour ta réponse! J'avais segmenté parce-qu'en lisant tes tutos tu avais l'air de sous-entendre qu'il fallait créer des vues différentes pour le LAN et le VPN.
Tu expliquais dans le tuto VPN serveur que l'adresse du NAS changeait en 10.x.x.x d'où ma confusion... En y réfléchissant, les IP "normale" du NAS étant accessible et le DNS les renseignant au client, il n'y a pas de soucis.
L'intérêt de la vue se limiterais donc à une requête venant du WAN dans mon cas je suppose.

En reparamétrant tout sur la même zone, je n'ai pas de soucis pour l'IPSEC.
J'atteins ce qui est nécessaire et le certificat est valide.

Concernant OpenVPN par contre ça ne fonctionne pas...
J'ai les options suivantes:

redirect-gateway def1
dhcp-option DNS 172.16.1.1
L'interface TAP indique bien comme DNS "172.16.1.1"

Mais si je fais un nslookup sur nas.mondomaine.be il me renvoit l'ip publique.
Alors que si je fais "nslookup nas.mondomaine.be 172.16.1.1" j'ai l'ip privée.
Donc c'est probablement bien un soucis de config niveau client... Je n'ai pas encore trouvé la solution. 😞

 

[Fenrir]

Ça dépend de si tu tu fais passer tout le trafic de tes clients par le VPN ou non.

Il y a une option dans la conf VPN coté client pour interdire les autres DNS

En plus de "dhcp-option DNS ip.privée.du.nas" ajoute "setenv opt block-outside-dns"

nb : ça ne marche pas avec tous les clients

[Spi]

Hello,

Je fais bien passer tout le trafic VPN par le serveur dans ce cas.
L'étape suivante ce sera de regarder à un petit script pour la config des routes... mais ça n'a plus rien à voir avec le DNS. 🙂

Merci pour l'info, ça fonctionne avec le block outside!

[razekiel]

Bonjour,

Possesseur d'un NAS je souhaite faire les choses bien en terme de securité. J'ai donc lu à plusieurs reprises les différents tuto, et je les applique dans l'ordre 1-Securité, 2-DNS, 3-reverse proxy.

J'en suis au tuto sur le DNS. Je ne suis pas un expert, il y a des notions qui sont encore flous. Je continue de me documenter, mais du coup, j'ai besoin d'aide.

1- au test nslookup nas-forum.com 192.168.0.2 j'ai une réponsedonc ca semble être bon?

2- Une question basique, dois je souscrire un nom de domaine (service payant) ou le service DDNS de synology me permet-il de suivre le tuto avec le NDD fenrir.synology.me?

Merci pour vos précisions.

Modifié le 6 novembre 2018 par razekiel

[Spi]

Hello,

1) La commande nslookup permet de résoudre un nom de domaine, donc de demander au serveur DNS quelle est l'ip derrière le nom demandé (ou l'inverse).
Du coup tu ne dois pas taper "nslookup nas-forum.com 192.168." mais bien "nslookup nas-forum.com". Tu reçois une réponse en ipv6, est-il bien désactivé sur ton NAS?
Si tu peux refaire la commande et poster le résultat ce serais plus simple.

2) Le nom de domaine "fenrir.synology.me" est là pour l'exemple. Dans tous les cas tu dois utiliser un nom qui t'es propre.
Soit en passant par synology et tu auras un nom qui est: TonChoix.synology.me , la partie en vert est ce que tu peux choisir.
Tu n'es pas propriétaire du domaine non plus.

Soit en passant par un autre hébergeur en achetant un nom de domaine, il t'appartient et sous réserve qu'il soit dispo tu peux le prendre.
Tu pourrais utiliser par exemple nas.razekiel.com , la partie en orange est le nom que tu achètes. La partie verte est un enregistrement DNS utilisé pour joindre ton serveur par exemple.
Tu peux créer autant de parties vertes que nécessaires si besoin.

Bon... j'ai vulgarisé un max pour essayer d'être compréhensible... J'espère que ça t'aidera.
Perso, je te conseillerais d'acheter ton nom de domaine... C'est pas pour les 3€/an que ça coûte.
Dernière petite info, le prix varie également suivant l'extension. .com, .ovh, .fr etc.

[unPixel]

Et le plus important aussi. Prendre un fournisseur de nom de domaine qui fasse DynDNS parce que si tu n'as pas une IP fixe alors tu seras coincé et l'IP dynamique ne sera pas mise à jour chez le fournisseur.

[Fenrir]

@razekiel et aussi pour contredire un peu @Spi et @InfoYANN 🙂

1-oui c'est bon mais pas suffisant, la commande nslookup machin.à.resoudre serveur.a.utiliser (nslookup nas-forum.com 192.168.0.2) te permet de vérifier que le résolveur DNS (ton nas je suppose) fait bien son travail et le fait d'avoir ou non une réponse en IPv6 n'a aucun lien avec le fait qu'l'ipv6 soit ou non activé sur le nas (ni même sur la connexion Internet).

Maintenant il faut faire en sortie que tes clients (ton pc par exemple) utilisent par défaut ce serveur DNS, ce que tu peux vérifier en faisant nslookup machin.à.résoudre (sans préciser le serveur DNS à interroger)

2-je te recommande aussi de prendre un nom de domaine, ça ouvre plein de possibilités et ce n'est pas grave s'il ne gère pas les IP dynamiques, on peut quand même s'en sortir facilement

[razekiel]

Je n'avais pas été notifié de vos réponses.
Merci pour l'aide.
Merci d'avoir vulgarisé le sujet pour mieux comprendre.
Je capte le sens du DNS après une bonne analogie avec un annuaire/numéro de téléphone :)
Je pourrais de nouveau tester dès demain afin de savoir ce qui bloque.

Ok pour le nom de domaine. En effet, c'est pas pour le prix. Disons que je vais d'abord tester avec synology.me. Si je parviens à me faire fonctionner Cets que j'aurai compris. Je prendrai un nom à ce moment.

Je voulais déjà savoir si en effet avec le NDD synology.me je pouvais faire la configuration. Je vous tiens au courant.

Merci d'apporter votre aide aux néophytes !

Envoyé de mon CLT-L29 en utilisant Tapatalk

[unPixel]

@Fenrir

Intéressé de savoir comment faire quand on a pas de DynDNS si tu veux bien en parler rapidement stp. Il y a de forte chance que je perde bientôt mon IP fixe...

[razekiel]

@Spije te confirme avoir Désactivé l'IPv6, conformément aux conseils de @Fenrir dans son tuto sécurisation.

J'avais bien indiqué un nom de Domaine dans la section Reseau/DDNS du style comme tu l'as indiqué TonChoix.synology.me

Voici le résultat du

Idem....

En relisant encore et encore le tuto, j'ai une question "bête", la commande nslookup nas-forum.com  je l'a fait bien depuis l'invite de commande du PC?

 

Pour l'adresse IP, j'ai indiqué dans les paramètres de ma box une IP fixe 192.168.1.XX et dans DSM, Reseau/Interface Reseau/IPv4 j'ai indiqué une Adresse Manuelle, la même que sur ma box.

On parle bien de l'IP fixe LAN, et non l'IP WAN lié à la Box?

 

C'est embêtant car, je bloque dès le début du tuto sur la partie simple... Dans le tuto @Fenrir emet une remarque

Citation

 

N'oubliez pas de modifier votre serveur DHCP pour qu'il renseigne vos clients sur l'adresse de votre serveur DNS.

le soucis peut-il être là?

Merci de votre aide.

Modifié le 7 novembre 2018 par razekiel

[Fenrir]

@InfoYANN

truc.synology.me => ça va créer un type A dans les serveurs DNS qui gèrent "synology.me", associé à l'ip du jour du nas

il suffit de créer un enregistrement de type CNAME avec ton domaine qui correspond au type A précédent => www.domaine.fr. IN CNAME truc.synology.me.

@razekiel

oubli la réponse en IPv6, ce n'est pas un problème, c'est normal

les commandes sont à faire sur le client qui te sert à tester

pour l'ip, je recommande de laisser le NAS en client DHCP si possible et de fixer l'adresse via le serveur DHCP (ici c'est ta box), sauf que comme la plupart des box ne permettent pas de préciser les serveurs DNS à utiliser, il faut souvent couper le serveur DHCP de la box et le remplacer par le serveur DHCP du NAS

la commande nslookup machin ip.du.nas (privée ou publique, peu importe du moment qu'il est joignable) permet justement de tester independemment de la conf DHCP

une autre manière de faire que je déconseille et de fixer les DNS sur la carte réseau du client

=>si ton serveur DHCP (ta box) permet de choisir les DNS des clients, configure la, sinon coupe son DHCP et montes en un autre

[unPixel]

@Fenrir

Ah oui, j'avais pas compris au départ que tu allais me parler de synology.me

Donc on ne peut pas le faire sans passer par les services de Synology en gros. C'est bien ça ?

[Spi]

@razekiel Fenrir à répondu à tout... du coup. 😉

[razekiel]

Bonjour @Fenrir

J'ai continué à tenter de mettre en place les deux premières parties du tutos mais en vain.

Mon objectif dans la mise en place du tuto était de pouvoir désactiver Quickconnect et permettre un accès sécurisé à certaines de mes applications avec la mise en place du Reverse Proxy.

1/La mise en place de DNS Server n'est pas obligatoire pour faire le reverse Proxy. Avec le DDN synology.me cela fonctionne.

2/En tant que novice, il y a un pré-requis sur lequel je pense il serait intéressant de développer et indiquer comment faire c'est la modification du DNS sur les clients PC/Tablette/Mobile

Du coup, j'ai fais le test le plus rapide à savoir modifier le DNS sur mon PC portable. J'ai indiqué le DNS primaire (IP du NAS) dans les paramètres Réseau IPv4 cf capture. Malgré cela un nslookup m'indique que je ne passe pas par le Serveur DNS du NAS. Une idée de la cause?

@Fenrir tu conseilles de plutot utiliser le DHCP du NAS plutot que celui de la box mais je voulais déjà tester comme ca avant de partir dans une conf plus longue.

Une question: pourquoi mettre en place le DNS local si avec le DDNS synology.me (mon NDD) je parviens déjà à accéder à mon NAS/Application via mon adresse nas.synology.me autant localement qu'en externe?

 

Merci pour votre aide 😉

Modifié le 17 novembre 2018 par razekiel

[Fenrir]

Le 17/11/2018 à 11:29, razekiel a dit :

Malgré cela un nslookup m'indique que je ne passe pas par le Serveur DNS du NAS

capture d'écran stp

Le 17/11/2018 à 11:29, razekiel a dit :

tu conseilles de plutot utiliser le DHCP du NAS plutot que celui de la box

seulement si la box ne permet pas de configurer les DNS

Le 17/11/2018 à 11:29, razekiel a dit :

pourquoi mettre en place le DNS local si avec le DDNS synology.me (mon NDD) je parviens déjà à accéder à mon NAS

c'est plus fiable et rapide (trop lgt à développer, cherche loopback)

[razekiel]

c'est plus fiable et rapide (trop lgt à développer, cherche loopback)

C'est exactement la même capture que dans mon post précédent...

Pour la box, c'est une Livebox 4 avec cette option DNS mais pour autant ça ne semble pas fonctionner.



Envoyé de mon CLT-L29 en utilisant Tapatalk

[Fenrir]

ta capture précédente montre un fonctionnement en IPv6, donc l'ipv6 est actif sur ton réseau interne (surement la box) et comme l'ipv6 est prioritaire sur l'ipv4 ...

=>soit tu coupes totalement l'ipv6 chez toi (ou à minima sur ton client en décochant la case), soit tu fais les configuration en conséquence (pas toujours possible ni simple, ça dépend bcp des box)

pour ta capture DNS, ça n'a pas de lien avec ton pb

[razekiel]

Ok je vais regarder du côté de l'ipv6. Je te tiens au jus.

Envoyé de mon CLT-L29 en utilisant Tapatalk

[Hitman_11]

Bonjour,

J'ai renseigné les mêmes DNS redirecteurs que ceux conseillés et en faisant le test "nslookup nas-forum.com 192.168.0.2" le résultat n'est pas celui attendu dans le tuto.

Je viens de recommencer la procédure DNS serveur et le champs redirecteur 1: j'ai l'adresse ip de la box.

 

 

Modifié le 25 novembre 2018 par Hitman_11

[unPixel]

Et si tu nous disais ce que donne l'erreur nslookup ;)