[Aide] Configuration DNS SERVER et DNS OVH

[sly77]

Bonjour à tous 🙂

 

Tout d'abord merci @Fenrir pour ton tuto

J'ai mis en place les règle de sécurité de base, double MFA, changement des port natif, et déjà quelque règle de par feux. et par la suite je ferais le proxy mais pour le moment le dns qui je pense permet de valider cette première étape de la configuration.

J'ai réalisé la première parti local : Zone local + Résolution + Vue

Mais j'avoue après avoir fait la parti publique et tout décrémenté ensuite car, et vous aller le comprendre, avant de découvrir votre site j'ai fait l'acquisition de deux nom de domaine un en .fr et un en .com

C'est domaine est mon pseudodegeek.dc (.dc pour datacenter)  dans sont intégralité 😄

Enfin pour tenter de faire bref, je n'ai pas trop saisi ce que je devais faire pour la parti publique suite à l'indication en bleu :

Quel suite ? dois je faire les zone master .fr et .com ??

En faite dans le tuto je ne sais pas si je peux créer une zone master monpseudo.fr, et avec l'étape préparatoire dans les prérequis faut-il reprendre les SOA et NS avec les commandes indiqué 

demander les informations de zone : nslookup -querytype=SOA monpseudo.fr mon ip privé

demander la liste des serveurs de zone : nslookup -querytype=NS monpseudo.fr mon ip privé

demander la valeur d'un enregistrement : nslookup www.monpseudo.fr mon ip privé

de plus concernant le serveur dns secondaire, est ce que celui d'ovh peux être pris ? si j'ai bien compris actuellement mon registrar dns c'est ovh ?

Su ma console OVH j'ai les serveur dns suivant ( les deux sont activé avec anycast et  DNSSEC activé)

dnsxx1anycast.me

nsxx1anycast.me

dnsx2.ovh.net

nsx2.ovh.net

sur serveur dns il n'y a pas d'indication ip, mais dans zone dns les NS ayant ces cibles ci dessus ont un également un type A qui pointe sur l'ip xxx.xxx.xxx.xxx

ip que est identique au commande à effectuer en prérequis. 

 

enfin voilà ou j'en suis, je ne sais pas si je suis sur la bonne voix, de plus y a t'il aussi des opération à faire sur la console OVH ????

 

Merci d'avance pour votre attention et votre aide 🙂

 

[Jeff777]

Bonjour,

1/utiliser des serveurs sur internet généralement ceux de votre bureau d'enregistrement en tant que SOA et NS :

Chez OVH ce sera dans l'onglet DNS serveur de ton domaine que tu mettras les serveurs ns d'OVH. Par défaut je crois que tu y trouveras deux serveurs de noms OVH. Il faudra faire la zone publique dans l'onglet zone DNS (je crois que là aussi il y aura quelques enregistrements par défaut)

3/ pour être à la fois SOA et NS ce sont tes serveurs DNS primaire et secondaire qu'il faudra mettre dans l'onglet DNS serveur. Ta zone publique sera hébergée sur le NAS (DNS serveur).

Pour l'option 2/ je suppose (je n'ai jamais fait) que tu héberges ta zone mais tu utilise les serveurs de nom de OVH.

Déjà il faut que tu fasses ce choix, sachant que pour l'option 3 il te faudra un serveur secondaire qui ne devra pas être sur le même réseau local que ton DNS primaire (ton nas) et qui hébergera une zone slave de ta zone publique. Tu peux utiliser un nas extérieur ou un fournisseur de service internet (attention tous ne font pas DNS secondaire)

J'espère que mes explications t'aideront à faire ce choix.

[oracle7]

@sly77

Bonjour,

Le 29/01/2017 à 01:58, Fenrir a dit :

• Une architecture DNS se doit de disposer d'au moins 2 serveurs de nom (NS) pour une zone donnée. Il vous faut donc configurer un autre serveur DNS qui contiendra les mêmes valeurs que celles présentent dans votre NAS (le serveur secondaire recevra les données depuis votre NAS).

nb : un DNS secondaire (on parle plutôt d'esclave ou slave en anglais) est un serveur qui contient une copie du fichier de zone, il ne peut pas en modifier le contenu

Le plus simple pour ça et d'utiliser les serveurs DNS de votre bureau d'enregistrement, certains permettent de faire DNS "secondaire". Si ce n'est pas le cas il faudra trouver un autre serveur DNS acceptant de jouer ce rôle pour votre zone.

Sauf erreur de ma part, pour être à la fois SOA et NS OVH ne nous permet pas de faire office de DNS "secondaire". Il te faut trouver un autre prestataire pour cela : Hurricane Electric est gratuit me semble-t-il mais il doit y en avoir d'autres.

A ma connaissance, sur ce forum seul @Jeff777 a été jusqu'au bout et héberge sa propre zone publique. Il sera sûrement le plus compétent pour te renseigner comment il a procédé exactement.

Bon bah grillé par @jeff777 ....🤣

Cordialement

oracle7😉

Modifié le 20 novembre 2021 par oracle7

[Mic13710]

il y a 29 minutes, oracle7 a dit :

A ma connaissance, sur ce forum seul @Jeff777 a été jusqu'au bout et héberge sa propre zone publique.

Regarde à la page 2 du tuto....

Mais depuis que Free a sauvagement changé mon IP, j'ai basculé ma zone publique chez OVH.

[oracle7]

@Mic13710

Bonjour,

👍 Merci beaucoup pour l'info. Pour parfaire la bonne compréhension de ton REX, il est dommage que les images que tu avais mises ne soient plus disponibles.😟

Par ailleurs de toutes façons, il faut disposer d'une @IP externe fixe pour que cela marche.

Cordialement

oracle7😉

[sly77]

Bonjour à tous et merci pour votre retour 🙂

@Mic13710 la poisse pour toi, de mon côté je suis chez Free mais je suis en full stack me permettant en plus d'avoir une ip fixe dédié mais également non mutualisé et avoir à ma disposition l'ensemble des ports 🙂

J'ai déjà regardé à la page deux j'avoue qu'il faut que je le relise j'ai pas tous saisie encore 😛 et +1 pour les screen manquant

 

 

[Mic13710]

@sly77 j'ai bien un ip full stack (sinon ce serait la galère pour mon utilisation). 

C'est juste qu'un jour free ont décidé de changer l'IP que j'avais depuis des années pour la passer en ip partagée. Il a fallut demander une full stack, mais du coup j'ai perdu mon dns secondaire chez Fenrir. Je me suis donc résigné à rapatrier ma zone chez OVH pour ne plus avoir de problème. 

Concernant le vues du thread, c'est un souci d'hébergeur. Je l'avais déjà mis à jour en changeant d'hébergement mais le site a semble t'il fermé. Et comme mon sujet est quelque peu dépassé depuis les wildcard et les certificats via acme.sh. Il nécessiterait une maj et je n'ai pas beaucoup de temps pour ça. 

[sly77]

@Mic13710 ton retour d'expérience inclu dans mon projet un facteur risque non négligeable et me pousse a suivre le même exemple, n'étant pas sur un abonnement pro, il se peu effectivement qu'un jour free décide de la changer et ce qui vas entrainer pas mal d'incidence.

 

Du coup je peux garder ma zone local, mais quelle est la marche à suivre si je veux rediriger des services tel que mon serveur emby par exemple ?

 

 

[Jeff777]

@sly77

Si tu veux accéder tes services de l'extérieur en utilisant nom de domaine et reverse proxy il te faudra de toute manière configurer un serveur de nom avec une zone publique qui fera correspondre ton nom de domaine avec ton IP publique. Si celle-ci change il faudra le reconfigurer quelque soit la solution retenue. Si tu retiens la première option c'est plus simple. 

Le problème de @Mic13710 c'est qu'il était dans le cas 3 et qu'il n'avait pas la main sur son serveur secondaire hébergé par Fenrir. 

[sly77]

ok bon bas au boulot alors 😄

 

[PiwiLAbruti]

Le 20/11/2021 à 20:34, Mic13710 a dit :

Mais depuis que Free a sauvagement changé mon IP, j'ai basculé ma zone publique chez OVH.

Pour ma part, je laisse également la zone publique domain.tld chez OVH.

Par contre, j'héberge des zones publique de 3ème niveau sur le NAS du type nas.domain.tld qui sont totalement insensibles aux changements d'adresse IP.

Pour cela, il faut créer un enregistrement NS nas.domain.tld chez OVH pointant vers un DynHost dynhost-nas.domain.tld (ou n'importe quel service de DNS dynamique). Le DynHost est configuré sur le NAS pour qu'il soit mis à jour automatiquement avec l'adresse IP publique.

Ainsi, s'il y a un changement d'adresse IP publique, la zone publique du NAS nas.domain.tld redevient accessible dès que le DynHost a été mis à jour (1 minute d'indisponibilité maximum).

Inconvénients :

• Ça rallonge un peu les URL (https://dsm7.nas.domain.tld/ pour accéder à DSM par exemple), mais avec un 2ème niveau de 4 caractères (minimum disponible pour le grand public) ce n'est pas une grosse contrainte (abcd.tld).

Avantages :

• On peut gérer une infinité de zones publiques de 3ème niveau tout en conservant le domaine parent chez le registrar.
• Cette technique rend une zone publique exploitable même avec une connexion ne disposant pas d'une adresse IP fixe.
• L'accès peut être limité dans le pare-feu, très pratique pour sécuriser le serveur DNS. On peut aussi limiter les IP source directement dans les paramètres de chaque zone, mais le pare-feu à l'avantage de ne même pas exposer le port udp/53.

Modifié le 23 novembre 2021 par PiwiLAbruti

[Jeff777]

@PiwiLAbruti,

ça mériterai de faire un commentaire dans le tuto DNS Serveur pour ceux qui s'arrête aux prérequis.

[sly77]

je ne sais que dire je fais les test dans tous les sens et rien

car rien que mettre un redirection vers mon serveur emby sur ovh, et même quand je paramètre un type serveur avec le port et le lien https , je tombe systématiquement sur la page d'accès dsm et redirigé sur le port https que j'ai personnalisé,

Je ne veux pas que ma page d'accès dsm soit visible au reste du monde 😕

[Jeff777]

il y a une heure, sly77 a dit :

je ne sais que dire je fais les test dans tous les sens et rien

C'est bien là le problème. Si tu as suivi le tuto de DNS serveur+ celui sur le reverse proxy et effectué les vérifications recommandées à chaque phase tu devrais y arriver. 

Nous passons tous par ses moments de doute mais finalement on s'aperçoit que quelque chose nous avait échappé et tout s'éclaire. 

C'est difficile de t'aider car nous ne savons pas trop où tu en es.

[sly77]

j'ai juste laissé le dns local et remis le DDNS et renouvelé mes certification pour être en https

ha non je n'ai pas fait le reverse proxy 😕

Je vais peut être trop vite je vais reprendre les tuto de base que vous m'avez donné dans mon topic de présentation 🙂

[oracle7]

@sly77

Bonjour,

Il y a 2 heures, sly77 a dit :

'ai juste laissé le dns local et remis le DDNS

Je ne comprend pas : tu dis avoir une @IP externe full stack FIXE  et tu parles d'avoir remis le DDNS : cherchez l'erreur ????

Si tu as une @IP externe fixe, tu n'as pas besoin de "jouer" avec un "DDNS" (Dynamic Domain Name Server). Cela impacte la configuration de ta zone locale DNS chez OVH. C'est peut-être du coup la configuration de ce DDNS de trop qui perturbe tout, non ? A mon humble avis, il te faut reprendre cela.

Cordialement

oracle7😉

 

[sly77]

oui je m'en suis rendu compte en l'écrivant, c'était avant de m'inscrire ici, je ne comprenant pas pourquoi j'étais forcé de faire un DDNS, ce sont les recherche sur le web qui m'ont mis en erreur

Mon objectif est d'être non visible

je m'explique sur ovh quand on prend un nom de domaine on n'a la page de félicitation :

et je souhaite que cela reste ainsi car cette redirection est visible

Alors je suis allé déjà ici et j'ai mis mon ip publique et les ports personalisé

puis je suis allé ici et mis les setting correspondant ainsi que le nom de domaine

 

du coup ça avance quand même, depuis ma console ovh j'ai fait des redirection invisible dns https

j'ai modifier les ip pour que ça pointe sur mon ip publique

je fait des test depuis le vpn pour avoir des tests plus aboutie

mon dsm ne peux être atteinds en www.alias.nomdedomain.fr seul le https est possible les test de www. ou http donne une page blanche 

pour l'appli file j'ai créé les enregistrement dns sur ovh et configurer sur le nas les connexion et port personnalisé

pour le moment les test semble bon je reviens vers vous dès que tous est validé

 

Edit :

 

Oui tout fonctionne comme je le souhaite pour le moment

pour le DSM :

les www sont inconue au bataillons sur la toile

l'alias choisi name.nomdedomaine bascule bien sur la console DSM 

si je tape http c'est redirigé en https

 

pour file station  :

idem https uniquement tout autre connexion est refusé

 

après je ne suis pas expert est ce bien de ne pas faire de www ??? 😕

 

 

Modifié le 22 novembre 2021 par sly77

[Kramlech]

il y a 25 minutes, sly77 a dit :

après je ne suis pas expert est ce bien de ne pas faire de www

Le www est un sous domaine comme les autres ... https://www.prodomaines.com/nom-domaine-avec-sans-www

[sly77]

Il y a 14 heures, Kramlech a dit :

Le www est un sous domaine comme les autres ... https://www.prodomaines.com/nom-domaine-avec-sans-www

intéressent du coup aucun problème de ce côté, j'ai fais les enregistrement dns comme je le fais dans ma boite

j'ai du faire un choix car sur dsm ont ne peu pas attribuer plusieurs certificat à un service du coup je fait des non www, je trouve en plus le nommage plus court et sympa

[sly77]

bon du coup après l'étude du tuto de @Fenrirsur la sécurité.

j'ai crus être dans the walking dead 😄

J'ai supprimé mes redirections qui pointait sur le DSM et le DS file.

j'ai appliqué les configurations recommandé, j'ai quelque interrogation car le tuto date de 2016 et je suis en DSM7 certaine option son nommé ou interprété différemment.

Je reprendrais la suite de ce projet dns plus tard car j'ai encore la parti vpn et proxy à faire 😛

[sly77]

par contre je ne vois pas comment désactiver la fonction configuration du routeur ?

 

Je l'avais effectivement utilisé mais depuis la découverte du tuto pour sécuriser sont nas j'ai désactive l'option upnp sur ma box free et réalisé à la main les redirection de port

 

[Jeff777]

il y a 6 minutes, sly77 a dit :

par contre je ne vois pas comment désactiver la fonction configuration du routeur ?

Je ne l'ai jamais activée mais il n'y aurait pas une case "activé" à décocher puis cliquer sur appliquer ?

[sly77]

non, mais quand on clique sur l'un des bouton il dit qu'il faut activer le service bonjour, que j'ai désactivé suite au tuto

 

par contre y a quand même pas mal de changement côté administration entre le dsm6 et dsm7

 

[Jeff777]

 

il y a 14 minutes, sly77 a dit :

par contre y a quand même pas mal de changement côté administration entre le dsm6 et dsm7

Je te parle de cette case ci (identique chez DSM6 et DSM7):

[sly77]

et je ne comprend pas cette histoire de nom de domaine et hote

ici faut mettre quoi du coup ? l'ip de ma box ou son name ? ou le nom de mon nas ???

 

et ici

 

par ce que impossible de me connecter en dsm autre que l'ip du nas et du coup pas possible d'affecter un certificat puisque tout est en ip

il y a 6 minutes, Jeff777 a dit :

 

Je te parle de cette case ci (identique chez DSM6 et DSM7):

alors c'est décoché mais il y a toujours les restes mais ça ne communique plus 

 

Entre temps j'ai posté juste au dessus 😉