Un peu perdu sur DNS, VPN certificats entre router et Nas

[Tex5]

Bonjour,

J'ai une freebox POP et jusq'u'à présent elle me servait de routeur.

Je viens de mettre un RT2600 (config freebox en DMZ cf. tuto d'oracle 7 et config comme indiqué dans le tuto de unPixel)

Sur mon routeur sont connectés  plusieurs équipements : ordinateurs, smartphones, TV, NAS, etc.

Mon besoin est de pouvoir accéder depuis l’extérieur à mon NAS (Plex notamment, installé via docker avec macvlann cf. tuto d'Einsteinium ) mais aussi à termes de mettre en place une réplication de NAS à NAS avec la maison de campagne (il y aura aussi la bas un routeur derrière la freebox)

J'ai parcouru les différents TUTO et j'avoue que je suis perplexe.

- pour le sevreur DNS, est ce mieux de le mettre sur le router ou le Nas ou est ce indifférent ? j'aurais tendance à penser sur le routeur

- Pour le domaine et les certificats associés. Est ce que le domaine doit être pour la routeur (en vue du reverse proxy pour tout le réseau) ou sur le NAS ? ou est ce le même certificat à mettre sur les 2 ? Si oui j'ai vue le tuto acme.sh d'Einsteinium et celui de.Shad.

- pour le VPN, il y a celui du routeur et celui du NAS. J'aurais tendance à dire que celui du routeur est potentiellement plus pertinent avec un accès à l'ensemble du réseau

- pour le reverse proxy, là si j'ai bien compris c'est côté NAS (NGiNX via docker)

Comme vous l'aurez compris, je suis un peu perdu pour choisir la config la mieux adaptée à mon besoin.

Merci d'avance de vos conseils avisés

 

 

 

Modifié le 1 février 2022 par Tex5

[oracle7]

@Tex5

Bonjour,

• Q1 : Mettre le DNS Serveur sur le routeur est la meilleure chose à faire. Seule restriction à cela, si tu utilises la DoH sur le routeur avec un service tel que (NextDNS, Cloudfare, Quad, etc ..) cela casse la résolution DNS locale. Pour palier à cela j'ai installé en plus sur mes PC locaux YogaDNS et plus de problèmes.
• Q2 : Tu génères ton certificat LE pour ton domaine avec la méthode de ton choix (avec docker ou sans docker) sur le NAS puis tu exportes les fichiers du certificat que tu recharges/importes sur le routeur. C'est pas plus compliqué mais seule contrainte c'est à faire à chaque renouvellement.
• Q3 : Pour le VPN tu utilises VPN Plus Serveur sur le routeur, c'est le plus complet. Je te recommande Synology VPN SSL c'est le plus souple d'utilisation et de configuration. Garanti !!!
• Q4 : Pour le Reverse Proxy, ne t'embêtes pas utilises celui du NAS en standard, c'est bien suffisant. De toutes façons il n'y en a pas sur le routeur.

Voilà c'est ma vision qui n'engage que moi ...

Cordialement

oracle7😉

Modifié le 31 janvier 2022 par oracle7

[Tex5]

Merci du retour.

[oracle7]

@Tex5

Bonjour,

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

[Tex5]

@oracle7merci

[Tex5]

@oracle7 ok merci du tuyau 😉

[Tex5]

Bonjour,

 

@oracle7 notamment mais pas que, je viens chercher un peu d'aide car je ne m'en sort pas.

Mon besoin n'est pas d'exposer mes services internes (Plex, Transmission, etc.) à l'externe, je veux juste le faire sur mon LAN (simplifier les url en s'affranchissant des ports) et en bénéficier lorsque je me connecte via le VPN du routeur et uniquement dans ce cadre pour les connexions hors LAN.

J'ai un serveur DNS sur mon RT2600 avec une zone locale pour mon domaine du certificat LE :  xxx.synology.me (ce même certificat est sur mon NAS pour le reverse Proxy)

J'ai réussi à faire fonctionner VPN plus Synology SSL VPN sur port 443, (ce qui est peut-être une erreur d'après ce que je comprends du paramétrage du reverse proxy ?), ce qui me permet un accès à mon LAN depuis l'externe (smartphone etc.)

J'arrive à accéder à mon routeur avec le nom de domaine (en https) https://xxx.synology.me:8001  Jusqu'ici tout va bien.

Pour accéder à mon Nas en SSL (sans exception navigateur), si j'ajoute une entrée dans ma zone local DNS cela fonctionne : nas.xxx.synology.me  je tape donc https://nas.xxx.synology.me:5001 

Cette solution DNS permet de traiter une partie du problème, mais typiquement pas plex qui est en docker avec une ip dédiée. De fait elle n'est pas couverte par le certificat LE (ce que le reverse proxy du nas permet de faire logiquement, non ?)

Par contre impossible de le faire avec le reverse proxy.

J'ai configuré sur le NAS  l'alias nas.xxx.synology.me port 443 vers ip local du nas port 5001.

quand j'essaie (https://nas.xxx.synology.me) j'arrive sur la mire de connexion du VPN plus.

J'ai eu beau désactiver le VPN sur le routeur pour attribuer le port 443 à une règle reverse proxy qui renvoi vers le NAS, dans ce cas  j'arrive sur la mire de connexion du routeur. Dans mon navigateur, l'adresse nas.xxx.synology.me saisie est automatiquement transformée en https://nas.xxx.synology.me:8001

J'ai l'impression de faire de choses qui se contrarient l'une/l'autre.

J'ai lu les différents tutos mais y a forcement un truc qui m’échappe.

Je suis preneur de vos conseils avisés car je sature en peu du mode test and fail !!!

 

 

 

[Tex5]

Après plusieurs mois en standby je m'y remets.

 

Mon certificat LE est expiré et impossible de le renouveler même avant expirant. Je me demande si ce n'est pas parce que j'ai essayé de le renouveler sur le NAS, alors que je l'avais généré sur le RT2600 et ensuite exporté sur le NAS.

bref je suis convaincu qu'il faut mieux mettre quelques euros et avoir un vrai nom de domaine avec mise à jour auto (cf. différents tuto méthode ACME avec ou sans Docker)

Par contre je ne suis pas sûr d'y voir bien clair (mes cours de réseau remonte à 25 ans et y a des lacunes)

Avec un certificat OVH et la fameuse méthode ACME, j'ai compris que je pourrai le renouveler automatiquement sur le NAS. Est ce transposable sur le RT2600 ?

En effet, je souhaiterais avoir un domaine unique pour mon réseau et ensuite un reverse proxy pour le NAS, Plex, etc.

Ma vision à ce stade est :

- création d'un nom de domaine OVH cf. tuto de @unPixel

- si c'est possible, installation et renouvellement sur le RT2600 avec le tuto d' @oracle7 

- installation et renouvellement + reverse proxy sur le NAS cf. le tuto d' @.Shad.

Est ce pertinent ?

Je m'interroge aussi sur le fait de pouvoir "étendre ce domaine" à un autre site. Est possible d’avoir le même nom de domaine partagé sur 2 sites (chacun avec son propre accès internet. En première approche je serais tenté de dire non. Je crois me souvenir que plusieurs domaines peuvent être sur la même @ip mais pas l'inverse.

Merci d'avance pour les retours que vous pourriez faire à mes questions qui j'en suis conscient peuvent être stupides.

 

 

Modifié le 4 août 2022 par Tex5

[.Shad.]

C'est gentil mais je n'ai pas créé le tutoriel dont tu parles. 😄 

Il y a 8 heures, Tex5 a dit :

bref je suis convaincu qu'il faut mieux mettre quelques euros et avoir un vrai nom de domaine avec mise à jour auto

De manière générale, un nom de domaine acheté t'apporte plus de liberté au niveau du contrôle de la gestion DNS, et fait que tu dépends d'un registrar autre que Synology concernant l'hébergement de la zone DNS. Mais ça ne t'apporte pas plus d'automatisme, au contraire, car le renouvellement de certificat wildcard est totalement automatisé pour les domaines Synology via DSM.

Par contre, dans ton cas, si tu veux utiliser le même domaine sur deux sites différents, tu n'as pas le choix de prendre un nom de domaine personnel, car le DDNS xxx.synology.me que met à disposition Synology est unique et donc lié à une IPv4 (et IPv6).

On peut tout à fait faire pointer des sous-domaines vers des IP différentes dans une zone DNS classique :

site1.xxx.ovh             A             IP1
site2.xxx.ovh             A             IP2

 

[Tex5]

Merci @.shad

J'ai corrigé le lien vers le bon tuto (Certificat SSL & reverse proxy via Docker). 😉

Donc avec un domaine ovh, je peux avoir le même domaine et des sous domaines pour différents sites.

Est ce que cette configuration (sous domaines dans zone DSN) peut être faite au niveau d'OVH ou est ce que c'est à faire sur le serveur DNS local de mon routeur (site principal) ? J'essaie de comprendre si en cas de plantage/reboot de mon RT2600 principal mon site secondaire resterait toujours accessible.

Citation

Mais ça ne t'apporte pas plus d'automatisme, au contraire, car le renouvellement de certificat wildcard est totalement automatisé pour les domaines Synology via DSM

Là je suis vraiment perdu. J'avais justement compris qu'avec DSM il fallait manuellement mettre à jour ce certificat tous les 2/3 mis et qu'on ne pouvait pas l'automatiser, à la différence des tuto qui justement semblent permettre cette automatisation via API OVH.

Je vais relire tout ça car j'ai du aller trop vite.

Modifié le 4 août 2022 par Tex5

[.Shad.]

il y a 49 minutes, Tex5 a dit :

est ce que c'est à faire sur le serveur DNS local de mon routeur (site principal) ?

Ça ce n'est valable que si tu héberges ta zone DNS publique chez toi. Ce que globalement je déconseille si tu n'es pas préparé.

Généralement, si tu héberges localement une zone DNS, c'est uniquement pour la résolution locale, quand tu veux éviter de passer par le net pour retourner chez toi.

Ce que je disais concernant l'automatisation c'est que par défaut DSM permet de renouveler automatiquement un certificat pour un domaine Synology.

Oui, tu peux renouveler automatiquement n'importe quel certificat sur ton NAS, mais ça ne passe pas par DSM. Ligne de commande, Docker, VM, etc... C'est hors du système d'exploitation de ton NAS.

Si tu as une zone DNS locale, si la connectivité Internet plante, ton réseau local devrait rester accessible (que la zone soit hébergée sur le routeur ou sur le NAS).

Sauf très bonne raison, laisse ta zone DNS publique sur OVH, l'API est bien foutue et prise en charge par acme, certbot, etc... Et l'uptime est excellent.

Modifié le 4 août 2022 par .Shad.

[Tex5]

@.Shad.Ok merci c'est très clair.

Si tu as un lien pour l'automatisation de certificat sur le NAS (hors OVH) je suis quand même preneur.

 

[.Shad.]

Tu as tous les fichiers de configuration pour acme ici par exemple :

https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Normalement tout est commenté.

C'est la seule partie qui change du tutoriel. Et faut évidemment voir comment accéder à l'API du registrar ou hébergeur DNS concerné.

[Tex5]

Grace à l'aide du forum j'ai avancé. Merci

Mon certificat OVH est installé avec renouvellement auto sur le NAS du site 1 puis importé manuellement sur les RT2600 des sites 1 et 2

avec 2 sous domaines :

site1.xxx.ovh             A             IP1
site2.xxx.ovh             A             IP2

Je me demande si le script ACME pourrait être installé sur mes RT2600 pour qu'ils puissent aussi le mettre à jour automatiquement ? Ou est ce nécessaire de le mettre à jour manuellement sur les RT2600 ?

Le VPN indiv (Synology SSL VPN) est configuré sur les 2 sites (RT2600) ==> Je peux donc accéder à SRM des 2 sites de n'importe où 😉

Le VPN site à site entre les 2 sites est aussi fonctionnel. ==> Je peux donc accéder aux machines des 2 sites sans distinction (ce qui permettra la sauvegarde NAS à NAS). par contre sur un site je n'arrive pas à accèder au SRM de l'autre site. Est ce normal ?

J'ai une zone local DNS configurée sur le serveur DNS du RT2600 du site 1 et un ADguard en docker sur le NAS du site 1. Je ne vois pas trop l'intérêt de dupliquer sauf en cas de perte du site 1, donc mon serveur DSN principal sur le site 2 est configuré avec l'IP LAN du RT2600 site 1. Est ce une bonne/mauvaise idée ?

Le reverse proxy DSM fonctionne.

Il faut que je prenne désormais du temps pour mettre en place :

- le reverse proxy NGIX via docker si cela apporte un plus

- le NAS 2 sur le site 2

- la sauvegarde entre les 2 NAS (hyper Backup)

- Configurer l'instance Vaultwarden (Docker)

- voir comment mettre en place mon cloud privé sur mon NAS 1

- penser à ma future installation de caméras avec Surveillance Station sur NAS Site 2 avec synchronisation des vidéos sur le NAS site 1.

- accessoirement voir comment donner une adresse IPv6 en SLAAC, sans activer DHCPv6, sur le RT2600 pour pouvoir mettre les players Freebox POP derrières les RT2600 et pas sur les Freebox serveurs directement. Cela semble possible théoriquement (source) mais je ne sais pas comment faire sur SRM.

Modifié le 29 août 2022 par Tex5