[TUTO] DNS Server

[taxesurleprix74]

Merci Oracle7 je viens de faire ma présentation  🙂

Je confirme l'adresse ip dynamique (préférentielle dans mon cas).

J'ai déjà un revers proxy nginx sur mon nas unraid et ça marche/marchait  bien sans le DNS server. La seule chose est que je sortait sur internet pour revenir sur mes services interne. --> Ou je me trompe?

Comme indiqué plus haut pour surfer je passe par adguardhome (lui même sur cloudflare family 1.1.1.3)

Mon idée était: DNSServer ->Adguardhome->1.1.1.3 afin de garantir un minimum de sécurité de surf pour mes enfants. Et grâce au DNS plus de sortie sur internet pour accéder à mon domaine en interne

Du coup  je me demande si le DNS Server est vraiment utile/possible dans mon cas et/ou un prérequis pour le serveur de mail.

Le tuto que tu as fait pour le mail plus serveur était le suivant sur ma liste, c'est d’ailleurs  lui qui m'a dirigé sur ce tuto dns server.

 

Cdt,

Franck

 

 

[oracle7]

@taxesurleprix74

Bonjour,

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

il y a une heure, taxesurleprix74 a dit :

La seule chose est que je sortait sur internet pour revenir sur mes services interne. --> Ou je me trompe?

Cà, sauf erreur de ma part, c'est dû au loopback sur le réseau local.

il y a une heure, taxesurleprix74 a dit :

Mon idée était: DNSServer ->Adguardhome->1.1.1.3 afin de garantir un minimum de sécurité de surf pour mes enfants. Et grâce au DNS plus de sortie sur internet pour accéder à mon domaine en interne

Du coup  je me demande si le DNS Server est vraiment utile/possible dans mon cas et/ou un prérequis pour le serveur de mail.

DNS Serveur (avec uniquement une zone DNS locale) dans ton cas (comme dans le mien) n'est utile que si tu veux pouvoir utiliser des noms de sous-domaine pour atteindre tes périphériques locaux plutôt que d'utiliser leur @IP locale. Il permet aussi de contourner le fait que la box ne gère pas le loopback. Ainsi tes requêtes DNS locales restent locales et ne sortent donc pas.

Maintenant, vu que tu as un RT2600 pourquoi n'utilises-tu pas le package "SafeAccess" pour gérer la sécurité du surf de tes enfants ? Il est très efficace et facile à mettre en oeuvre.

D'un autre coté si tu tiens absolument quand même passer par Adguardhome, il suffit de désigner son @IP locale comme redirecteur dans DNS Serveur. A charge pour lui (à toi de le configurer) ensuite de renvoyer les requêtes externes vers des DNS externe de confiance tels que FND et Cloudfare (80.67.169.12 et 1.1.1.1) par exemple.

Cordialement

oracle7😉

[taxesurleprix74]

@oracle7

Il y a 1 heure, oracle7 a dit :

Cà, sauf erreur de ma part, c'est dû au loopback sur le réseau local.

Je vais voir ce point Je me trompe peut être dans ce cas. Peut être que je ne sort pas et que je reste en interne. Il est vrai que la commande tracert ne renvoit qu'une ligne qui fait référence à l'ip externe de mon rt2600ac:

tracert sousdomaine.domaine.ovh

Détermination de l’itinéraire vers domaine.ovh [85.203.xx.xxx]
avec un maximum de 30 sauts :

  1    <1 ms    <1 ms    <1 ms  YYYYYYYYYYY.ozone.net [85.203.xx.xxx]

Itinéraire déterminé.

Il y a 1 heure, oracle7 a dit :

Maintenant, vu que tu as un RT2600 pourquoi n'utilises-tu pas le package "SafeAccess" pour gérer la sécurité du surf de tes enfants ? Il est très efficace et facile à mettre en oeuvre.

D'un autre coté si tu tiens absolument quand même passer par Adguardhome, il suffit de désigner son @IP locale comme redirecteur dans DNS Serveur. A charge pour lui (à toi de le configurer) ensuite de renvoyer les requêtes externes vers des DNS externe de confiance tels que FND et Cloudfare (80.67.169.12 et 1.1.1.1) par exemple.

J'utilisais aussi safe access , tu as raison très pratique pour la gestion du temps d'internet ou pour les périphériques purement dédiés aux enfants (nintendo ds par exemple) mais le souci est pour l'utilisation des ordinateurs/tv avec youtube... s'il faut y passer toute la maison... 😒. De plus en délégant à adguard home sur mon nas unraid bien plus puissant, je couvre la maison et je libère du cpu au routeur (il serait temps que synology face évoluer aussi le routeur...) déjà le threat Prevention ça consomme...

 

DNS Server était une bonne idée mais les port différents en fonction de mes services vont être une galère à gérer....

Je vais valider que le routeur gère bien le loopback et ensuite voir comment me passer de dns server pour mailplus server...

Je pense que ce sera le mieux non?

Cdt,

Franck

 

[oracle7]

@taxesurleprix74

Bonjour,

il y a 25 minutes, taxesurleprix74 a dit :

Peut être que je ne sort pas et que je reste en interne. Il est vrai que la commande tracert ne renvoit qu'une ligne qui fait référence à l'ip externe de mon rt2600ac:

Si je ne dis pas de bêtises, en fait tu ne sorts pas vraiment, tu repasses simplement par le port WAN du routeur qui lui correspond à ton @IP externe.

il y a 9 minutes, taxesurleprix74 a dit :

Je vais valider que le routeur gère bien le loopback

Le problème de gestion du loopback est sur la box Internet pas sur le routeur.

il y a 11 minutes, taxesurleprix74 a dit :

DNS Server était une bonne idée mais les port différents en fonction de mes services vont être une galère à gérer....

DNS Server ne fait que mettre/(traduire en) la bonne @IP en face du nom de domaine contenu dans l'URL de la requête. Il est donc utile surtout pour éviter d'utiliser des @IP, un nom de domaine est quand même plus facile à retenir pour un utilisateur lambda.

Sauf erreur de ma part, c'est le Reverse Proxy qui redirige les URL entrantes (toutes uniquement par le port 443) vers la bonne destination interne soit un@IP et port spécifique à chaque application/service. Là, tu connais tous tes clients par un couple (nom de domaine xxxx.ndd.tld et une @IP locale 11.22.33.44[:999]), donc rien de compliqué il me semble. L'URL transite ensuite par Adguard qui filtre avant d'atteindre enfin (ou pas) le client voulu.

Je m'exprime peut-être mal mais l'esprit est là....

Cordialement

oracle7😉

 

[Mic13710]

il y a 40 minutes, oracle7 a dit :

c'est le Reverse Proxy qui redirige les URL entrantes (toutes uniquement par le port 443) vers la bonne destination interne soit un@IP et port spécifique à chaque application/service.

Il est vrai que le 443 étant le port https par défaut, c'est le plus utilisé car le plus pratique. Mais je ne pense pas que le reverse proxy se limite à ce seul port pour les URL rentrantes.

Si tu diriges le port x vers le NAS, tu peux très bien le traiter dans le reverse proxy comme tu le ferais avec le 443. La règle est alors la suivante : source : ndd:x, et la destination est celle que tu veux lui associer.

 

[oracle7]

@Mic13710

Bonjour,

il y a 10 minutes, Mic13710 a dit :

Mais je ne pense pas que le reverse proxy se limite à ce seul port pour les URL rentrantes.

Oui tu as raison techniquement et dans l'absolu mais ce type d'usage reste il me semble très à la marge. Tu admettras tout de même que mon abus de langage en employant le mot "uniquement", correspond à l'usage le plus répandu pour des utilisateurs lambda et ce d'autant plus où tout est fait par ailleurs pour que l'on (Google, FireFox, en tête) nous pousse à utiliser des modes de communication sécurisés (je pense essentiellement via le protocole HTTPS).

Cordialement

oracle7😉

 

[taxesurleprix74]

@oracle7

Il y a 13 heures, oracle7 a dit :

Si je ne dis pas de bêtises, en fait tu ne sorts pas vraiment, tu repasses simplement par le port WAN du routeur qui lui correspond à ton @IP externe.

+

Il y a 13 heures, oracle7 a dit :

Le problème de gestion du loopback est sur la box Internet pas sur le routeur.

Cool ça me va comme ça. J'oubliais de préciser que dans mon cas mon routeur = box ozone. j'ai cloné l'adresse mac, je suis donc direct derrière le boitier pon.

@oracle7& @Mic13710

Pour le revers proxy il permet justement de transmettre un sousdomaine.domaine &port entrant sur n'importe quelle ip/port ce qui le rend très flexible et performant car on peut aussi y associer un certificat par cible , forcer le https.....

Sachant que c'est le routeur en entrée qui, par transmission de port(eg le 1111 vers le 443 de nginx), envoit n'importe quelle port en entré sur le revers proxy

ça fonctionne J'avais juste peur que je ressorte sur internet pour revenir.

 

 

Donc dans mon cas j'oublie le DNS Server.

Merci en tout cas ,

Cdt

Franck

[molinadiaz]

Bonjour,

J'ai mon domaine.tld qui enregistré chez OVH. Sur mon panel OVH, j'ai modifié les zones DNS de mon domaine.tld comme suit :

• ns1.domaine.tld (qui redirige vers le paquet DNS Server de mon Synology DS720+ à Madrid)
• ns2.domaine.tld (qui redirige vers le paquet DNS Server de mon Synology DS918+ à Paris)

Je désire utiliser une adresse email contact@domaine.tld qui ne soit PAS hébergée sur mon Synology DS720+ à Madrid. En effet, je préfère utiliser le serveur mail de mon hébergeur OVH.

Comment puis-je dès lors spécifier un enregistrement TXT pour la signature DKIM pour ma zone publique dans le paquet DNS Server si je n'utilise pas de serveur mail sur mon Synology ?

Merci pour votre aide !

Modifié le 28 décembre 2021 par molinadiaz

[oracle7]

@molinadiaz

Bonjour,

Si ton serveur de mails est chez OVH, alors il te faut ajouter cet enregistrement TXT DKIM (il y a aussi un SPF et DMARC à prendre en compte) dans ta zone DNS chez OVH.

Sinon, il te faut alors installer le package MailPlusServer sur ton NAS Paris et le configurer. Regardes ce TUTO tu y trouveras des éléments (pas tous car il est spécifique comme tu le verras) mais cela t'aidera déjà à configurer ton serveur Mail.

Cordialement

oracle7😉

[Mic13710]

Il faut dans ce cas diriger domaine.tld vers le 918.

Dans votre zone DNS, vous faite pour domaine.tld soit un enregistrement A si IP publique fixe, soit un DynHost si IP dynamique qui pointe vers l'IP publique du 918.

Vous rajoutez un CNAME de domaine.tld pour le ns1.domaine.tld, et je suppose qu'il vous faudra un autre CNAME pour *.ns1.domaine.tld pour les domaines du reverse proxy.

Vous rajoutez ensuite tous les enregistrements MX etc.. pour votre serveur mail sur domaine.tld

[molinadiaz]

Merci pour vos réponses @oracle7 et @Mic13710 😉 Signature DKIM okay !

On avance. Mon serveur mail est finalement celui d'o2switch. Problème : je ne peux avoir qu'un seul MX sur les serveurs d'o2switch, déclaré en priorité 0 vers mail.domaine.tld (hébergé chez o2switch).

J'aimerais avoir un serveur MX de secours. Mais o2switch n'en propose pas. Puis-je créer la même adresse email contact@domaine.tld chez OVH afin de définir dans ma zone publique un second record MX en priorité 10 pointant vers mail2.domaine.tld (hébergé chez OVH) ? Ça fonctionnerait, ça ?

Modifié le 29 décembre 2021 par molinadiaz

[molinadiaz]

Bonjour,

Comment dois-je m'y prendre pour faire correspondre une adresse privée 10.2.0.x à l'adresse locale de mon desktop 192.168.1.x ? Je voudrais WOL mon desktop à Paris depuis Madrid.

Je peux déjà WOL avec une connexion VPN établie au préalable depuis un smartphone client vers le serveur OpenVPN de mon DS918+ (Paris), ce dernier assurant alors le relais du paquet vers 192.168.1.x (desktop).

Mais ayant créé un profil VPN de type L2TP/IPSEC entre mes 2 NAS Paris-Madrid, je devrais pouvoir WOL directement via le réseau privé en 10.2.0.x et non plus via le réseau local en 192.168.1.x, non ? Merci 😉

Modifié le 16 janvier 2022 par molinadiaz

[Mic13710]

Non. La seule adresse en 10.2.0.x est attribuée au client par son serveur. C'est ensuite le serveur qui établi une passerelle vers son réseau local en 192.168.x.x qui permet d'accéder aux équipements du réseau local. Même s'ils sont accessibles via le VPN du NAS ces équipements ne sont pas sur le réseau VPN et n'ont donc pas d'adresse attribuées pas le serveur VPN.

[molinadiaz]

Merci pour ces précisions, @Mic13710 ! Ce fonctionnement est valable aussi pour OpenVPN ? Ou bien est-ce propre au protocole L2TP/IPSEC ?

Modifié le 16 janvier 2022 par molinadiaz

[Mic13710]

Quel que soit le protocole. Le VPN ne fait qu'établir un tunnel entre deux machines.

[molinadiaz]

@Mic13710 J'imagine que si je ne parviens pas à joindre l'adresse 192.168.1.x à Paris depuis le NAS en 192.168.0.x à Madrid, c'est à cause de l'absence de loopback sur la box de l'ISP à Madrid ?

[Mic13710]

Non plus. En fait, le serveur VPN établi un tunnel avec son client. Si votre serveur est le NAS de Madrid, alors il n'est pas possible de joindre les équipements de Paris car VPN Serveur sur le NAS ne permet pas l'accès du client vers son réseau local. Par contre, le client lui peut accéder au réseau privé du serveur à la condition bien entendu que ce soit autorisé dans ses paramètres.

Pour pouvoir accéder au réseau local du client, il faut passer par un serveur VPN qui permet ce type de connexion, mais il n'est pas disponible sur les NAS Synology, uniquement sur leurs routeurs. Il s'agit du serveur VPN plus.

Ceci étant, je m’aperçois que j'ai fait une erreur entre serveur et client dans mon explication plus haut. J'ai corrigé.

[PiwiLAbruti]

il y a 13 minutes, Mic13710 a dit :

Si votre serveur est le NAS de Madrid, alors il n'est pas possible de joindre les équipements de Paris [...]

Même avec une règle de routage côté serveur ? (je n'ai pas testé)

[Mic13710]

@PiwiLAbruti C'est le fonctionnement par défaut du serveur VPN du NAS. Pas possible à partir du réseau du serveur de joindre le réseau du client. Je n'ai pas testé avec une règle de routage, mais je ne pense pas qu'il soit possible d'en définir dans le serveur. En tout cas, je ne vois pas où.

S'il n'est pas possible d'utiliser le même protocole sur un NAS pour qu'il soit à la fois serveur et client, il est par contre tout à fait possible de faire fonctionner en simultané un serveur L2TP/IPSec et un serveur OpenVPN sur un même NAS.

A titre personnel, j'utilise L2TP/IPSec pour les liaisons VPN inter NAS pour y faire principalement des sauvegardes bidirectionnelles. et aussi du CMS. Lorsque je veux joindre chaque NAS à distance ainsi que son réseau privé à partir de mon PC, je passe par OpenVPN.

Je n'utilise pas L2TP pour mes connexions externes car il n'est pas possible de faire des réservations d'IP dans le serveur. C'est premier arrivé, premier servi, et donc l'adresse IP programmée pour CMS ou Hyperbackup peut très bien être utilisée par un autre client. C'est une des lacunes du serveur VPN des NAS.

[PiwiLAbruti]

il y a 13 minutes, Mic13710 a dit :

Je n'ai pas testé avec une règle de routage, mais je ne pense pas qu'il soit possible d'en définir dans le serveur. En tout cas, je ne vois pas où.

Dans les règles de routage statique de DSM, tout simplement.

[Juan luis]

il y a une heure, Mic13710 a dit :

 

Pour pouvoir accéder au réseau local du client, il faut passer par un serveur VPN qui permet ce type de connexion, mais il n'est pas disponible sur les NAS Synology, uniquement sur leurs routeurs. Il s'agit du serveur VPN plus.

 

Bonsoir, Cette fonction s'appelle "VPN site to site"  , elle n'est pas supportée par le NAS, ni par la freebox. Cette fonction existe dans certain routeurs, je l'utilise sur des Mikrotik .

[Al1ternet]

J'ai vu que le TP-LINK ARCHER AX55 AX3000 pouvait faire ce que je désirais

Modifié le 16 janvier 2022 par Al1ternet

[Al1ternet]

@Fenrir

Je ne sais pas configurer les port sur mon modem aucune config possible j'ai chercher le web et de nombreuse personne s'en plaignent donc ça je sais pas faire 

pour créer 2 règles de redirection de port :

• port 53 en TCP vers votre nas
• port 53 en UDP vers votre nas

Si je met un routeur derrière mon modem es que ça peux fonctionner et ainsi configurer mes ports ??

[Juan luis]

il y a 30 minutes, Al1ternet a dit :

@Fenrir

Je ne sais pas configurer les port sur mon modem aucune config possible j'ai chercher le web et de nombreuse personne s'en plaignent donc ça je sais pas faire 

pour créer 2 règles de redirection de port :

• port 53 en TCP vers votre nas
• port 53 en UDP vers votre nas

Si je met un routeur derrière mon modem es que ça peux fonctionner et ainsi configurer mes ports ??

Bonjour, Ce que l'on appelle un modem est souvent " un modem routeur" , donc avec des fonctions IP.

Est ce que votre équipement modem possède une fonction " bridge" ou DMZ ? ces fonctions permettraient d’éviter la redirection de port spécifique , puisque tous les ports seraient re-dirigé vers votre routeur.

[Al1ternet]

J'ai lu toute la doc sur mon Modem non il n'était bien en mode routeur et non bridge mais a part ça rien ne change aucune config possible ce modem c'est de la m....

Il n'y a pas que moi qui rencontre les même problèmes.
Je voulais simplement savoir si en mettant un routeur derrière mon modem es que ça peux fonctionner et ainsi configurer mes ports ??

sur celui que j'ai trouvé un VPN toutes ces config son possible le alors mettre mon modem en mode bridge pour qu'il n'ai aucune répercutions

Je crois que je vient de trouver ma réponse : https://kb.netgear.com/fr/28045/Que-ce-que-le-mode-bridge-et-comment-puis-je-le-configurer-sur-mon-routeur-Nighthawk?language=fr