Aller au contenu

[TUTO] DNS Server


Fenrir

Messages recommandés

@.Shad. À domicile (c'est que j'appelle "Paris" pour situer géographiquement), mon routeur est la passerelle de tous mes équipements réseau. Mais mon routeur, lui, est client DHCP d'une passerelle en amont chez mon ISP. Je n'ai donc pas le sentiment que mes clients DHCP soient réellement affranchis de l'ISP dans la mesure où, tout en haut de la chaîne, il y a de toute façon mon ISP. Me trompe ?

EDIT : mon routeur récupère les DNS du modem de l'ISP, quoi. Oui.

Modifié par molinadiaz
Lien vers le commentaire
Partager sur d’autres sites

Hormis sur certains périphériques (sur certains modèles Android par exemple, où Google force ses DNS par-dessus ceux reçus par DHCP sur un réseau wifi), les DNS envoyés par le serveur DHCP seront ceux utilisés par le périphérique, point. Donc pour les clients c'est bon, pour le routeur lui-même si tu laisses l'IP du modem dans ses serveurs DNS, oui il utilisera les DNS de ton FAI car il hérite de la résolution DNS de ton modem.

Si tu en spécifies d'autres il en utilisera d'autres, tout simplement.

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, .Shad. a dit :

pour le routeur lui-même si tu laisses l'IP du modem dans ses serveurs DNS, oui il utilisera les DNS de ton FAI car il hérite de la résolution DNS de ton modem.

Si tu en spécifies d'autres il en utilisera d'autres, tout simplement.

@.Shad. C'est que je me tue à tenter de résoudre 😕 Je veux que mon routeur utilise mes DNS primaire et secondaire (mes NAS) au même titre qu'un client DHCP. Mais "WAN connection error!" par intermittence.

Lien vers le commentaire
Partager sur d’autres sites

@molinadiaz

Bonjour,

Si je peux me permettre, il te faut bien séparer les choses :

  • Le serveur DHCP de ta box distribue aux périphériques qui sont connectés sur son réseau local, les serveurs DNS de ton FAI, donc entre autres à ton routeur Paris.
  • Le serveur DHCP de ton routeur Paris distribue quant à lui aux périphériques qui sont connectés à son réseau local, les serveurs DNS que tu as installés sur ton routeur Paris via le package DNS Server et que tu as désignés dans la configuration du routeur Paris. Ce ne sont donc pas ceux de ton FAI. Donc sur le routeur Paris tu dois avoir en serveur DNS primaire le routeur Paris et en serveur DNS secondaire le routeur Madrid.

En clair, chaque serveur DHCP n'intervient que sur le sous-réseau local qui le concerne.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@molinadiaz Ton routeur Paris n'a pas à utiliser l'IP publique de ton NAS à Paris, il peut utiliser son IP privée directement, pourquoi passer en résolution publique ? Ce que DNS Serveur Paris ne saura résoudre, il le transfèrera aux redirecteurs (a priori tout sauf ce qui a été mis en cache et ce qui concerne ton nom de domaine, vu que tu fais autorité pour répondre).

Et en deuxième DNS, l'IP publique de celui à Madrid.

A Madrid tu peux faire l'inverse par exemple.

Quelle zone est esclave de l'autre ? Est-ce que la modification de la zone maître entraine bien la mise à jour de la zone esclave ?

EDIT : Je trouve ça non intuitif d'utiliser ta propre IP publique pour la résolution DNS de ton routeur. Une partie des problèmes pourrait venir de ce point.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad. Mon routeur Paris n'utilise pas l'IP publique de mon NAS à Paris. Je le stipulais bien plus haut, j'utilise mon IP privée à Paris sur Paris, et mon IP privée à Madrid sur Madrid. Les IP publiques ne sont utilisées que pour les DNS secondaires. Par ailleurs, Paris est esclave de Madrid et Madrid est esclave de Paris. Les MAJ sur les zones maîtres de Paris sont envoyées sur Madrid. Et les MAJ sur les zones maîtres de Madrid sont envoyées sur Paris. À ce niveau, je suis okay partout !

il y a 12 minutes, .Shad. a dit :

EDIT : Je trouve ça non intuitif d'utiliser ta propre IP publique pour la résolution DNS de ton routeur. Une partie des problèmes pourrait venir de ce point.

Je sens bien sur le forum que vous faites tous la confusion ! Raison pour laquelle j'essaye d'être le plus précis possible. J'ai sur mon routeur deux emplacements différents pour la gestion des DNS :

  1. Network > DHCP Server : pour paramétrer les DNS distribués à mes clients DHCP. Ça, c'est fait et ça fonctionne très bien. Mes clients DHCP à Paris utilisent Paris primaire (IP privée) + Madrid secondaire (IP publique). Mes clients DHCP à Madrid utilisent Madrid primaire (IP privée) + Paris secondaire (IP publique). Bref tout est okay !
  2. Network > Internet : pour paramétrer les DNS de mon routeur. Il est impossible d'utiliser des IP privées à ce niveau (le routeur ne le permet pas). Je ne peux utiliser que des IP publiques. Souhaitant que mon routeur s'affranchissent des DNS de mon ISP, je me suis dit que j'allais y encoder les IP publiques de mes DNS Paris + Madrid. Mais cela provoque des bugs.
Modifié par molinadiaz
Lien vers le commentaire
Partager sur d’autres sites

@molinadiaz

Bonjour,

il y a 17 minutes, molinadiaz a dit :

mon ISP peut-il avoir une vue sur les DNS queries opérées sur un client DHCP du routeur Paris ?

Tu donnes toi-même la réponse : c'est NON. Tout au plus pour ton FAI, les requêtes DNS d'un client de ton routeur Paris, sont noyées dans le flux cryptés qu'il voit passer entre lui et ton routeur Paris. Toutes tes requêtes DNS passent par tes serveurs DNS et comme te l'a dit justement @.Shad., s'ils ne savent pas les résoudre, elles ont alors renvoyées aux redirecteurs externes (par ex FND, Cloudfare, Qwant, etc ...) qui ne doivent être en au cas les serveurs DNS de ton FAI si tu veux être indépendant de celui-ci.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 Attention que par défaut, le trafic DNS (port 53) n'est pas chiffré, c'est aussi le cas de DNS-over-HTTPS, sauf que le trafic étant noyé dans le flux sur le 443, il est quasi impossible de l'analyser, d'où le fait qu'on considère ce protocole "sécurisé", contrairement à DNS-over-TLS, où là c'est usuellement le port 853 qui est utilisé, et où le trafic est effectivement chiffré.

A ma connaissance, DNS Server (sur DSM) ne permet ni DoT ni DoH.

Lien vers le commentaire
Partager sur d’autres sites

  @.Shad.

Il y a 4 heures, .Shad. a dit :

Est-ce que tu as pris soin d'avoir un 3ème serveur de nom via un hébergeur autre ?

Pourquoi parlais-tu de ceci ? Je ne comprends pas l'utilité d'un 3ème serveur.

Par ailleurs, si on pouvait aussi m'expliquer comment accéder aux requêtes DNS d'un client DHCP sur un Synology ? Le paquet DNS Server ne permet pas ça 😕 J'ai bien tenté de retrouver des logs en SSH mais rien vu ..

Merci, les gars !

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Tu as parfaitement raison pour le non chiffrement du flux DNS à la base et quand je parlais de requêtes noyées dans le flux crypté, je sous-entendais effectivement le flux global sur le port 443.

il y a 14 minutes, .Shad. a dit :

A ma connaissance, DNS Server (sur DSM) ne permet ni DoT ni DoH.

C'est pour cela que je passe par le couple NextDNS/YogaDNS pour bénéficier de la DoH avec SRM sur mon routeur.

Et garanti, cela est super efficace et transparent !

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 21 minutes, molinadiaz a dit :

Pourquoi parlais-tu de ceci ? Je ne comprends pas l'utilité d'un 3ème serveur.

Imagine un problème avec DNS Server, ça touchera aussi bien ton NAS à Paris qu'à Madrid. Et ton domaine ne pourra plus être résolu publiquement, sauf pour les endroits où le cache sera encore actif. Avoir un serveur de nom délocalisé chez un hébergeur type Cloudflare, Hurricane Electric ou d'autres permet une vraie redondance.

il y a 21 minutes, molinadiaz a dit :

Par ailleurs, si on pouvait aussi m'expliquer comment accéder aux requêtes DNS d'un client DHCP sur un Synology ? Le paquet DNS Server ne permet pas ça 😕 J'ai bien tenté de retrouver des logs en SSH mais rien vu ..

Pour ce genre de choses c'est la commande tcpdump qu'il faut utiliser, ou Wireshark via Docker en mode host. C'est de l'analyse de trames qui te donne ces informations, il n'y a pas de logs pour ce type de requêtes.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@molinadiaz

Quelque chose qui demeure flou. Tu utilises un nom de domaine ou deux noms de domaine.

Je suppose que c'est 2 puisque tu as une zone principale sur chaque nas et une zone secondaire  qui est l'esclave de la zone principale du second. C'est bien cela ?

En résumé :

nas1 IP1 héberge zone principale ndd1(avec ndd1 A IP1)  et zone slave ndd2

nas2 IP2 héberge zone principale ndd2(avec ndd2 A IP2) et zone slave ndd1

Peux-tu nous mettre l'image de tes zones principales (en remplaçant IP et domaines par ce qui précède) ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 18 minutes, .Shad. a dit :

Imagine un problème avec DNS Server, ça touchera aussi bien ton NAS à Paris qu'à Madrid.

Tu veux parler ici d'un problème avec le paquet DNS Server de Synology à proprement parler ? @.Shad.

@Jeff777

Oui, 2 noms de domaine ! Et le schéma que tu viens de résumer est le bon. C'est effectivement ma configuration ! J'imagine qu'elle te semble okay ?

 

Lien vers le commentaire
Partager sur d’autres sites

@molinadiaz

Bonjour,

Au final, ta configuration telle que rappelée précédemment par le schéma de @Jeff777, elle marche ou pas ?

Car j'ai l'impression que l'on glause beaucoup autour cela.

Sauf à faire la même erreur que toi et j'aurai alors aussi raté un truc, pour moi ta redondance de serveur DNS est bien effective avec des serveurs DNS bien distincts sur des machines bien distinctes elles aussi. Donc si un serveur DNS tombe, l'autre (désigné secondaire) reçoit la requête et répond en donnant la bonne route que l'on soit en local ou depuis l'extérieur, non ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, oracle7 a dit :

Au final, ta configuration telle que rappelée précédemment par le schéma de @Jeff777, elle marche ou pas ?

@oracle7 Elle fonctionne parfaitement ! J'ai vraiment zéro soucis. Mes clients DHCP utilisent mes DNS bien distincts sur des machines bien distinctes. Si un DNS primaire tombe, le secondaire prend le relais. Le seul truc que je voulais, c'était mon routeur sur des DNS autres que ceux de l'ISP, mais c'est touchy donc tant pis.

Lien vers le commentaire
Partager sur d’autres sites

@molinadiaz

Bonjour,

il y a 14 minutes, molinadiaz a dit :

Le seul truc que je voulais, c'était mon routeur sur des DNS autres que ceux de l'ISP, mais c'est touchy donc tant pis.

Tant que ton routeur sera derrière une box, tu n'auras pas le choix, il héritera obligatoirement via le DHCP de la box, des serveurs DNS de ton FAI.

Maintenant, si ton routeur peut remplacer ta box et accueillir un serveur DNS alors tu seras indépendant, mais là c'est pas n'importe quel routeur qui peut faire cela et là effectivement tu as raison c'est "touchy" à mettre en place (du moins pour le remplacement de la box).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 Après si vous me dites que les requêtes DNS de mes clients DHCP sont invisibles aux yeux de l'ISP, moi ça me va ! Ça me réconforte déjà dans mon idée d'indépendance.

EDIT : Y'a vraiment des routeurs qui peuvent physiquement remplacer une box ? Perso, je me suis toujours mis en bridge derrière la box de l'ISP mais j'ai jamais su qu'on pouvait physiquement supprimé la box d'un ISP pour n'avoir qu'un seul et unique périphérique (routeur). C'est possible chez quel ISP, ça ?

EDIT 2 : après, si mes clients DHCP utilisent actuellement la résolution des noms de mes propres DNS .. qui donc utilise la résolution des noms depuis les DNS de l'ISP ? Le routeur, vraiment ?

Modifié par molinadiaz
Lien vers le commentaire
Partager sur d’autres sites

Le trafic DNS n'est pas chiffré par défaut. Donc, tout ton trafic internet traversant le réseau de ton FAI, ce dernier peut techniquement capturer toutes les requêtes DNS de ses clients (et pas que). Il y a tout un tas de possibilités (mirroring sur les équipements de commutation/routage interne, et/ou proches du peering, ...), mais légalement le FAI n'a le droit d'y procéder que sous requête de la justice, des services de renseignement, ...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.