[TUTO] DNS Server

[_DR64_]

Bonjour les Loulous,

j'ai dernièrement enfin réussi à installer mon serveur DNS sur mon RT2600ac. Cela fonctionne plutôt pas mal.
Afin de peaufiner tout ça, j'aimerai rajouter un serveur DNS secondaire sur 1 de mes 2 NAS présents sur mon LAN.

Est-ce que quelqu'un a déjà fait ça ou connait la conduite à tenir ?

Merci!

PS : c'est peut-être marqué dans les 42 pages de ce tuto mais j'avoue ne pas avoir envie de toutes me les taper :x 

Merci encore à @oracle7 pour l'idée du CNAME en "*.domaine.tld" vers ip du NAS pour mon reverse proxy.
C'est tout simplement parfait 😉

[Jeff777]

il y a 13 minutes, GrOoT64 a dit :

j'aimerai rajouter un serveur DNS secondaire sur 1 de mes 2 NAS présents sur mon LAN

Bonjour,

Je ne suis pas sûr de ce que tu veux dire par serveur DNS secondaire. Un vrai serveur DNS secondaire c'est un serveur DNS à l'extérieur de ton réseau donc avec une adresse IP publique différente et avec une zone publique esclave de la zone publique de ton serveur DNS primaire. Ceci est obligatoire si tu veux pousser le tuto de Fenrir jusqu'au bout.

Maintenant si tu veux juste une recopie de ta zone privée tu peux le faire sur ton LAN mais quel est ton but?? 

 

EDIT :

Attention tout serveur DNS ne peux pas forcément faire office de serveur DNS secondaire. J'avais essayé sans succès d'utiliser les serveurs DNS d'OVH.

J'ai finalement trouvé un serveur DNS gratuit chez Hurrican Electric. Mais pas simple de mise en oeuvre.

Après....je suis d'accord c'est pas top au niveau de l'indépendance. Le mieux serait d'avoir mon deuxième nas à l'extérieur du LAN. Peut-être un jour...

Modifié le 1 juillet 2021 par Jeff777

[.Shad.]

@Jeff777 Et bien s'il redémarre son NAS principal que sa résolution DNS locale ne soit pas HS car le deuxième serveur prend le relais, c'est courant comme setup. 🙂

@GrOoT64 Il faut simplement faire une zone esclave sur le deuxième NAS au lieu d'une zone maître et entrer l'IP du NAS principal comme zone maître. Tu peux éventuellement limiter le transfert de zone à l'IP du NAS secondaire dans les paramètres de la zone maître.

[Jeff777]

il y a 1 minute, .Shad. a dit :

Et bien s'il redémarre son NAS principal que sa résolution DNS locale ne soit pas HS car le deuxième serveur prend le relais, c'est courant comme setup. 

Ok donc c'est une zone esclave qu'il veut faire. J'utilise la clé TSIG pour cela c'est assez simple.

 

[.Shad.]

La clé c'est surtout utile pour sécuriser une connexion distante, en local chez lui ça me semble too much... 😉 

Modifié le 1 juillet 2021 par .Shad.

[_DR64_]

Bonjour @Jeff777, 
Il m'arrive parfois de débrancher mon routeur (me demande pas pourquoi stp lol)
Je perds donc internet à ce moment là mais aussi le server DNS du coup.
 

J'aimerai donc recopier ma zone master sur un de mes NAS pour que mes périphériques se voient entre eux, malgré l'absence du routeur.

[Jeff777]

@GrOoT64

Oui @.Shad. avait bien compris. Et oui il a raison aussi pour la clé TSIG. Je l'avais utilisée entre DNS principale et secondaire (donc en externe) et comme j'ai trouvé ça pratique j'ai continué sur la zone privée.

[_DR64_]

Merci à vous 2 🙂
Donc en gros je créé une zone slave sur mon NAS qui a le reverse proxy par exemple.
Je lui dis que le DNS principal est mon routeur.
et c'est tout ?

Je vois que je ne peux pas y faire d'enregistrement 

ensuite, je suppose que je dois rajouter dans mon serveur DHCP l'ip du NAS en serveur DNS secondaire.

[Jeff777]

il y a 2 minutes, GrOoT64 a dit :

Je vois que je ne peux pas y faire d'enregistrement 

Les enregistrements seront une recopie de ton DNS principal quand le transfert s'effectuera. 

[_DR64_]

Bonjour, 
Dernière question (enfin j'espère)

J'utilise plusieurs reverse proxy dont 3 qui pointent vers mes NAS.
Avec le serveur DNS en place, quand je me connecte sur mes NAS secondaires, j'ai le port DSM qui vient se rajouter tout seul à la fin de mon adresse (https://NAS2.domaine.tld:5001) par exemple
Cela ne se fait pas sur le NAS principal puisque c'est le qui gère le reverse proxy. 
Donc je me retrouve avec https://NAS1.domaine.tld tout simplement.

J'utilise Secure Sign in avec mon portable.
J'ai rajouté mes 3 NAS (avec les adresse attribuées a chacun (nas1;nas2;nas3.domaine.tld)
ça fonctionne en LAN, mais pas en WAN.
J'ai également testé avec le port :443 en fin d'adresse 

Je ne sais pas trop comment paramétrer ça

[.Shad.]

Explique nous pourquoi déjà tu utilises 3 proxy inversés en premier lieu.

[Jeff777]

@.Shad. il veut peut-être dire 3 entrées de mon proxy inversé

Il y a 4 heures, GrOoT64 a dit :

ça fonctionne en LAN, mais pas en WAN.

Ton domaine pointe bien sur ton adresse publique et le(s) port(s) 80/443 sont bien redirigés vers le NAS qui à le proxy inverse ?

[_DR64_]

Il y a 7 heures, .Shad. a dit :

Explique nous pourquoi déjà tu utilises 3 proxy inversés en premier lieu.

nas1.domaine.tld  --> nas1
nas2.domaine.tld --> nas2
nas3.domaine.tld --> nas3

Sachant que nas1 est le propre hébergeur du reverse proxy alors pourquoi le mettre dedans ? tout simplement pour la gestion du contrôle d'accès.

 

Il y a 5 heures, Jeff777 a dit :

Ton domaine pointe bien sur ton adresse publique et le(s) port(s) 80/443 sont bien redirigés vers le NAS qui à le proxy inverse ?

Oui oui, tout fonctionne mais si je me déconnecte du wifi avec mon tel il faut que je me reconnecte (avec la même adresse) en 4G

Il y a 5 heures, Jeff777 a dit :

@.Shad. il veut peut-être dire 3 entrées de mon proxy inversé

Oui 3 entrées! sorry

[.Shad.]

Si tu peux mettre une copie d'écran de ta zone DNS sans cacher les IP locales (pour la compréhension). Ainsi que celles de tes entrées de proxy inversé.

Modifié le 3 juillet 2021 par .Shad.

[_DR64_]

En traduction de la capture :

domaine.tld --> ns --> ns.domaine.tld
ns.domaine.tld --> A --> 192.164.64.1 (Ip du RT2600ac hébergeur du serveur DNS pricipale)
nas1.domaine.tld --> A --> 192.164.64.10
nas2.domaine.tld --> A --> 192.164.64.11
nas3.domaine.tld --> A --> 192.164.64.12
*.domaine.tld --> CNAME --> nas1.domaine.tld

Modifié le 4 juillet 2021 par GrOoT64

[Jeff777]

Bonjour @GrOoT64

c'est pas plutôt *.ndd  ==> CNAME==>ns.ndd

[_DR64_]

Pour le reverse proxy :

NAS1 : 
https://nas1.domaine.tld (443) vers https://localhost:5001 (oui c'est HTTPS 2 fois par rapport à VideoStation)

NAS2 :
https://nas2.domaine.tld (443) vers http://192.168.64.11:5000

NAS3 :
https://nas3.domaine.tld (443) vers http://localhost:5000

Bonjour @Jeff777

il y a 9 minutes, Jeff777 a dit :

c'est pas plutôt *.ndd  ==> CNAME==>ns.ndd

A ouais ? Je comprends pas pourquoi mais je modifie ça 🙂

Modifié le 4 juillet 2021 par GrOoT64

[Jeff777]

il y a 2 minutes, GrOoT64 a dit :

Je comprends pas pourquoi mais je modifie ça

C'est sûr qu'avec cette modif si le serveur de nom du routeur tombe en rade celui du nas1 ne prendra pas le relais.

C'est là que pourrait intervenir l'IPV6.

Mais si tu pointes vers le nas1 et que celui-ci tombe en rade tu ne pourras plus résoudre les adresses truc.ndd

[.Shad.]

il y a 32 minutes, Jeff777 a dit :

c'est pas plutôt *.ndd  ==> CNAME==>ns.ndd

Non car son serveur de nom est son routeur, le wildcard doit pointer sur le proxy inversé, donc le NAS.

@GrOoT64

Mais c'est le même problème que d'habitude avec ce tutoriel, tu confonds périphérique et service.
Là tu définis le nom pour les périphériques.

nas1.ndd.tld ce n'est pas DSM, c'est le NAS lui-même.
Si tu veux que ça marche tu crées des entrées dsm-nas1, dsm-nas2 et dsm-nas3, qui pointent toutes vers nas1.ndd.tld (en laissant tes entrées nas1, nas2 et nas3 existantes).

Ensuite dans ton proxy inversé tu transformes tes entrées nas1.ndd.tld en dsm-nas1.ndd.tld, nas2.ndd.tld en dsm-nas2.ndd.tld, etc...

Et tu verras que ça marche.

EDIT : Je pense que je vais créer un petit tutoriel / memento pour expliquer le système DNS dans les grandes lignes, ce sont toujours les mêmes questions qui reviennent (gros manque du tutoriel).

Modifié le 4 juillet 2021 par .Shad.

[_DR64_]

il y a 9 minutes, .Shad. a dit :

Si tu veux que ça marche tu crées des entrées dsm-nas1, dsm-nas2 et dsm-nas3, qui pointent toutes vers nas1.ndd.tld

Ensuite dans ton proxy inversé tu transformes tes entrées nas1.ndd.tld en dsm-nas1.ndd.tld, etc...

Bonjour @.Shad. c'est pour MOI tout ça ? comme tu parles à @Jeff777

Modifié le 4 juillet 2021 par GrOoT64

[.Shad.]

Tu en vois d'autres qui ont 3 NAS dans le coin 😄

Oui c'est toi, désolé j'aurais dû te citer. 😉 

[_DR64_]

LOL 

il y a 1 minute, .Shad. a dit :

Tu en vois d'autres qui ont 3 NAS dans le coin 😄

Ouais jsuis pété de tunes mdr

[Jeff777]

il y a 17 minutes, .Shad. a dit :

Je pense que je vais créer un petit tutoriel / memento pour expliquer le système DNS dans les grandes lignes, ce sont toujours les mêmes questions qui reviennent (gros manque du tutoriel).

Ah oui...ça m'évitera de me faire des noeuds au  🧠

[_DR64_]

Ok @.Shad.

Donc si je veux joindre dsm en WAN, je modifie également les redirections d' OVH en dsm-nas1.ndd.tld ?
car sinon je vais me retrouver avec 2 adresses ?

[.Shad.]

Pour de l'IPv4 en WAN, les enregistrements nas1, nas2, etc... n'ont pas d'utilité, tout est derrière une même IP publique. C'est en effet les adresses pour les services qui doivent y être si tu souhaites un accès externe.