[TUTO] DNS Server

[Jeff777]

Et si tu fais 192.168.1.51:5001 tu y arrives ?

[Pinpon_112]

Si j'essaye de mettre cela dans les paramètres de la box, je ne peux mettre que ceci : 192.168.1.51:500, après ce n'est plus possible, c'est visiblement limiter en nombre de caractère

[Jeff777]

Ah je me suis mal exprimé. Dans ton navigateur tu tapes 192.168.1.51:5001 pour vérifier que tu arrive bien sur le DSM

Si tu y arrives alors c'est ta zone DNS privée qui est mal configurée. Revérifie le tuto de Fenrir notamment la configuration des vues.

Modifié le 15 avril 2020 par Jeff777

[Pinpon_112]

Le 29/01/2017 à 01:58, Fenrir a dit :

Et configurez-la comme suit :

On est bien d'accord que dans le nom de domaine, je mets bien ndd.net et pas nas.ndd.net ?

Le 29/01/2017 à 01:58, Fenrir a dit :

Pour la "Liste d'IP source", mettez ceci :

Ici, je dois bien recopié tout tel quel ?  Sinon, je pense que ça coince là...

Lorsque je fais une url https://nas.detiege.net:5001, j'ai ceci comme message d'erreur : "Impossible de trouver l'adresse IP du serveur de nas.ndd.net; DNS_PROBE_FINISHED_NXDOMAIN"

[Jeff777]

il y a 59 minutes, Pinpon_112 a dit :

On est bien d'accord que dans le nom de domaine, je mets bien ndd.net et pas nas.ndd.net ?

oui

 

il y a 59 minutes, Pinpon_112 a dit :

Ici, je dois bien recopié tout tel quel

oui

 

Au fait ça marche avec 192.168.1.51:5001 dans le navigateur ? Sui cela fonctionne c'est la résolution de l'adresse nas.ndd.net qui ne se fait pas dans le DNS local.

Donc vérifie  les ressources du dns local. 

 Qu'est ce que tu as mis en ressources de ta zone du DNS local? Si tu n'as pas mis  :  nas.ndd.net   A  192.168.1.51      ça va pas le faire 😊

Modifié le 15 avril 2020 par Jeff777

[Pinpon_112]

il y a 2 minutes, Jeff777 a dit :

Qu'est ce que tu as mis en ressources de ta zone du DNS local? Si tu n'as pas mis  :  nas.ndd.net   A  192.168.1.51      ça va pas le faire 😊

Voilà :

[Jeff777]

mets aussi nas.ndd.net    A   192.168.1.51

[Pinpon_112]

Pour faire cela, j'ai du supprimer nas.ndd.net CNAME ns.ndd.net

Et cela ne marche pas.  Comprend rien 😞 

[Jeff777]

As-tu fait une vue ?

Si oui as tu as bien renseigner les IP locales si tu as coché limiter le service IP source. Et as tu bien séléctionné ta zone dans le second onglet ?

[Pinpon_112]

J'ai fait une vue et là aussi, j'ai recopié mot pour mot ce que Fenrir renseignait.

[Jeff777]

nslookup nas.ndd.net 192.168.1.51

donne quoi en ligne de commande

[Pinpon_112]

Il y a 1 heure, Jeff777 a dit :

nslookup nas.ndd.net 192.168.1.51

donne quoi en ligne de commande

nslookup nas.ndd.net 192.168.1.51

Server: 192.168.1.51

Address: 192.168.1.51#53

 

Name: nas.ndd.net

Address: 192.168.1.51

[Jeff777]

Donc ta zone fonctionne bien puisque ton adresse nas.ndd.net est résolue en 192.168.1.51 localement.

Conclusion cela vient du port 5001. Tu as essayé 192.168.1.51:5000 et 192.168.1.51:5001 dans ton navigateur ?

Si aucun ne fonctionne  c'est le pare-feu du NAS qui bloque le port ou bien la box ne redirige pas celui-ci vers le NAS

[maxou56]

Il y a 9 heures, Pinpon_112 a dit :

nslookup nas.ndd.net 192.168.1.51

Bonjour,

Si tu as configuré le serveur DNS dans le serveur DHCP, Il ne faut pas spécifier l'ip du serveur DNS "192.168.1.51" pour nslookup.

(car cela sert à testé les réglages d'un serveur DNS, mais si tu fait ça, tu ne peux pas savoir si ton PC utilise bien le serveur DNS)

Avec cette commande tu dois obtenir ceci:

nslookup nas.ndd.net

Server: 192.168.1.51

Address: 192.168.1.51#53

 

Name: nas.ndd.net

Address: 192.168.1.51

 

Second point, dans le serveur DHCP de la Box Internet il ne faut pas mettre de second DNS.

Si tu souhaite en mettre plusieurs, il faut le faire dans le serveur DNS (Dans "DNS Server - Résolution  - Activer les redirecteurs - Redirecteur 1 et Redirecteur 2).

Modifié le 16 avril 2020 par maxou56

[Jeff777]

Bonjour @maxou56

Il y a 5 heures, maxou56 a dit :

tu ne peux pas savoir si ton PC utilise bien le serveur DNS)

Oui c'est vrai mais tu sais au moins s'il répond correctement en étant interroger non ?

C'est vrai qu'il peut ne pas l'être. 😕

Il y a 5 heures, maxou56 a dit :

Second point, dans le serveur DHCP de la Box Internet il ne faut pas mettre de second DNS.

Quand tu dis il ne faut pas c'est que cela ne sert à rien ?

[.Shad.]

Il y a 20 heures, Jeff777 a dit :

Et si tu fais 192.168.1.51:5001 tu y arrives ?

 

Il y a 19 heures, Jeff777 a dit :

Ah je me suis mal exprimé. Dans ton navigateur tu tapes 192.168.1.51:5001 pour vérifier que tu arrive bien sur le DSM

Si tu y arrives alors c'est ta zone DNS privée qui est mal configurée. Revérifie le tuto de Fenrir notamment la configuration des vues.

 

Il y a 14 heures, Jeff777 a dit :

Tu as essayé 192.168.1.51:5000 et 192.168.1.51:5001 dans ton navigateur ?

@Jeff777 Je crois qu'il n'a pas envie de te répondre 😛 

[Jeff777]

Tu as raison, et moi je radote.... 🤣

[.Shad.]

il y a 14 minutes, Jeff777 a dit :

Quand tu dis il ne faut pas c'est que cela ne sert à rien ?

En fait le problème c'est que parfois le PC risque d'utiliser le DNS de FDN, et dans ce cas-là sa résolution locale échouera, pour peu que le DNS principal mette un peu de temps à répondre ou qu'une autre requête lui arrive simultanément.
Dans ce genre de situation, on préfère mettre un 2ème serveur DNS esclave du premier, ainsi tu assures la redondance et le même fonctionnement quelque soit le DNS choisi (ça peut être un serveur dns bind9 dans une marchine virtuelle ou un conteneur d'ailleurs, pas nécessairement une machine physique, la machine physique étant quand même préférable en cas de défaillance du NAS).

Avant de rapatrier sur pfSense, j'avais 2 serveurs DNS, un sur le NAS et un (bind9) sur raspberry (esclave de celui du NAS), et chacun redirigeait vers sa propre instance de Pi-hole, qui redirigeait ensuite vers les DNS de FDN. 

[Jeff777]

il y a 7 minutes, .Shad. a dit :

En fait le problème c'est que parfois le PC risque d'utiliser le DNS de FDN, et dans ce cas-là sa résolution locale échouera,

Ah oui compris.

il y a 14 minutes, .Shad. a dit :

Dans ce genre de situation, on préfère mettre un 2ème serveur DNS esclave du premier, ainsi tu assures la redondance et le même fonctionnement quelque soit le DNS choisi

J'ai serveur primaire (DNS serveur) et serveur secondaire (HE) et en plus DNS serveur est sur les deux NAS avec une zone locale dans chaque NAS. Donc je dois être pas mal.

il y a 19 minutes, .Shad. a dit :

Avant de rapatrier sur pfSense, j'avais 2 serveurs DNS, un sur le NAS et un (bind9) sur raspberry (esclave de celui du NAS), et chacun redirigeait vers sa propre instance de Pi-hole, qui redirigeait ensuite vers les DNS de FDN

Largué ! je ne connais ni pfSense bind9 et Pi-Hole. J'ai vu plusieurs fois ces noms dans ce forum mais ne m'y suis pas (encore) intéressé 😉

 

[.Shad.]

En gros bind9 c'est la référence des serveurs DNS en ligne de commande, il y a pléthores de tutoriels sur le net pour le configurer.
Quand tu n'as pas deux NAS c'est pratique 😛

Pi-hole c'est un bloqueur de pub par DNS, qui fonctionnent sur les noms de domaine et les expressions régulières.
Et ça s'héberge facilement via Docker ou VM sur ton NAS 🙂 

Modifié le 16 avril 2020 par .Shad.

[Jeff777]

il y a 8 minutes, .Shad. a dit :

Pi-hole c'est un bloqueur de pub par DNS

Ah merci. Je m'y mettrais peut-être un jour. Pour l'instant j'utilise adblock sur Chrome et cela fonctionne pas trop mal. Sauf que des fois ça bloque un peu trop, mais il suffit de le désactiver sur le site en question.

[.Shad.]

Pour une utilisation desktop, un adblock, ublock, etc... sera beaucoup plus efficace que Pi-hole, car il redéfinit l'agencement de la page pour cacher les emplacements de pub, Pi-hole en est totalement incapable.
Là où Pi-hole brille, c'est sur mobile, où on n'a pas d'outils aussi performants, voire pas d'outil du tout : objets connectés, Smart/Android TV, etc...
Pour les objets connectés, ça permet de vérifier notamment qu'il n'y a pas de fuite de données vers des sites suspects 🙂

[Jeff777]

il y a 3 minutes, .Shad. a dit :

Là où Pi-hole brille, c'est sur mobile

Ah alors ça m'est d'aucune utilité. Je n'ai pas de mobile 🤣

il y a 10 minutes, .Shad. a dit :

Pour les objets connectés, ça permet de vérifier notamment qu'il n'y a pas de fuite de données vers des sites suspects

Ah là peut-être !

J'ai un Rasberry Pi que l'on m'a donné. J'ai vu que des membres installaient Pi-Hole sur Rasberry. Cela pourrait me faire un projet intéressant pendant le confinement 😉.

Bon j'arrête car on va me dire que je suis hors sujet !

[Pinpon_112]

Il y a 15 heures, Jeff777 a dit :

Donc ta zone fonctionne bien puisque ton adresse nas.ndd.net est résolue en 192.168.1.51 localement.

Conclusion cela vient du port 5001. Tu as essayé 192.168.1.51:5000 et 192.168.1.51:5001 dans ton navigateur ?

Si aucun ne fonctionne  c'est le pare-feu du NAS qui bloque le port ou bien la box ne redirige pas celui-ci vers le NAS

Actuellement, je me connecte avec l'adresse suivante : 192.168.1.51:5001.  L'adresse 192.168.1.51:5000 me renvoie vers le 192.168.1.51:5001 et j'ai accès au nas.  Actuellement, le pare-feu du NAS ne fonctionne pas, je sais, c'est pas bien mais une chose à la fois 😉 

De plus, les choses changent...  Si je fais nas.ndd.net:5001, j'obtiens ceci maintenant :

[.Shad.]

Je vais, comme @Jeff777 essayer de te résumer ce à quoi doit ressembler ton architecture pour que ce que tu veux faire fonctionne.
il y aura de la redite sûrement, mais je n'ai pas le courage de parcourir les 3 dernières pages avec des infos dans tous les sens.

Tu souhaites atteindre l'interface de ton NAS, que tu sois en local ou à l'extérieur, depuis https://nas.ndd.net, juste ?

https://nas.ndd.net c'est équivalent à https://nas.ndd.net:443, donc ça veut dire qu'il faut utiliser un proxy inversé, sauf erreur de ma part, je ne vois nulle part que tu en as mis un en place, donc déjà ça ne peut pas marcher.

Pour la partie LAN :

PC 1 souhaite accéder à https://nas.ndd.net
|
PC 1 interroge le(s) serveur(s) DNS que le serveur DHCP lui renseigne, si tu veux une résolution locale, il doit pousser uniquement l'IP de ton NAS
|
Ta zone locale ndd.net dispose des entrées précisées plus avant par @Jeff777 (une entrée NS, A et CNAME). Attention aux vues, si tu les as configurées (voir ce tutoriel).
|
Le serveur local fait autorité pour ta requête, il transmet donc la requête à IP_PRIVEE_DU_NAS:443. Si tu n'as pas mis de proxy inversé en place, il n'y aura aucune raison que cette requête soit redirigée vers IP_PRIVEE_DU_NAS:5000 ou IP_PRIVEE_DU_NAS:5001, c'est le port 443 qui va être sollicité.
|
Une fois le proxy inversé en place, deux choses vont activer le mécanisme du proxy inversé, le nom de domaine demandé (nas.ndd.net) et le port (443). C'est ce qu'on appelle un frontend, c'est ce qui fait face, l'association de ces deux critères va, lorsque tu auras créé l'entrée appropriée, lui permettre de dire que ça correspond au backend (service en arrière-plan) officiant sur IP_PRIVEEE_DU_NAS:5000 (ou localhost:5000 vu que le proxy inversé et DSM sont sur la même machine) en http ou IP_PRIVEE_DU_NAS:5001 (localhost:5001) en https (on recommande d'utiliser le port HTTP lorsqu'on passe par un proxy inversé).
ATTENTION : SI tu utilises le port HTTP, la redirection HTTP -> HTTPS doit être désactivée dans le paramétrage du NAS (voir tutoriel sur la sécurisation, c'est précisé noir sur blanc)
|
Ta requête aboutira sur la page de login de DSM

A aucun moment on ne passe par le routeur dans cette chaîne, il intervient juste en amont dans l'adresse DNS qu'il aura poussée par son serveur DHCP.

Les conditions à remplir :
- Les ports 443, 5000 sont ouverts vers l'environnement local (voir tutoriel sur la sécurisation du NAS)
- Tu disposes d'un certificat pour le domaine ndd.net (voir tutoriel sur la sécurisation du NAS)
- Le certificat est associé pour chaque service exposé par ton proxy inversé

________________________________

Bien maintenant la partie WAN :

Mobile 1 souhaite accéder à https://nas.ndd.net 
|
Il interroge ses DNS, ceux de Google ou de ton FAI ou qu'importe
|
La réponse n'étant pas trouvée sur ces serveurs, la requête part aux serveurs racines, et va descendre la chaîne (root -> .net -> .ndd.net). Ok c'est là que ta zone DNS chez ton registrar entre en jeu. Si tu es IP statique, tu as les mêmes enregistrements que dans ta zone locale, avec ton IP publique statique à la place de IP_PRIVEE_DU_NAS. Si tu es en dynamique, alors tu dois créer un Dynhost, moi je partirais sur dynhost.ndd.net (différent de toute entrée de proxy inversé que tu pourras créer) qui va faire le lien entre ton IP dynamique et ta zone DNS, tu n'auras pas d'enregistrement de type A, mais un alias CNAME entre nas.ndd.net et dynhost.ndd.net
|
Donc là tu interroges l'IP associée à ton Dynhost, donc https://nas.ndd.net correspond à IP_PUBLIQUE:443, c'est ton routeur qui va recevoir ça. Tu veux que ton proxy inversé reçoive la requête, il faut donc qu'il redirige le port 443 vers l'IP prviée de ton NAS, ainsi le proxy inversé va être le frontend.
|
A partir de ce moment-là, on retombe dans le cas de figure de la résolution locale, le proxy inversé va voir une requête avec un domaine (nas.ndd.net) et un port (443). Il va ensuite rediriger vers le backend correspondant.

Les conditions à remplir sont similaires à celles pour la partie LAN, avec en outre :
- dynhost.ndd.net qui doit faire partie des alias repris par le certificat
- Le port 443 correctement redirigé vers le NAS depuis ton routeur

________________________________

En dernier lieu, je ne comprends pas ton acharnement à ne pas essayer de comprendre ce que tu fais, appliquer c'est bien, mais ce forum n'est pas un SAV, si tu n'as pas le temps ou/ni l'envie de comprendre ce qui y est proposé, peut-être devrais-tu te contenter de QuickConnect ou d'un accès à ton NAS en précisant les ports. La mise en place d'un serveur DNS local (et encore plus d'un publique) avec un nom de domaine valable suivant plusieurs vues est l'aboutissement d'au moins 3 ou 4 tutoriels références de ce forum, ça demande clairement que les notions abordées dans les autres tutoriels soient assimilées (et encore une fois, Fenrir le précise noir sur blanc d'emblée dans son tutoriel)

Modifié le 16 avril 2020 par .Shad.