Aller au contenu

DNS Serveur - continuité de services Wan / Lan


teal_cfr

Messages recommandés

Bonjour à tous,

Cela fait un moment que je pêche sur un problème de réglage de DNS.

Si certains d'entre vous pouvez m'apporter quelques lumières.


Contexte : 


J'ai des serveur de services de différentes nature sur mon réseau local (alarme / domotique / nas / plesk / media / vpn / etc...)
Certains sont autonomes avec leur propre IP, d'autres son hebérgés sur le même serveur (nas)


Je souhaite simplement pouvoir accéder à mes différents serveur depuis mon réseaux locale comme depuis l'extérieur sans perte de services.

J'ai donc suivi la documentation de 
https://blog.fenrir.fr/2017/01/29/tuto-synology-dns-server/

Problématique  :

Si depuis l'extérieur de mon réseau je test par exemple l'enregistrement CNAME : domotique.domain.gTLD je récupère bien l'IP dynamique de ma boxe

Mais,..

Si je tape domotique.domain.gTLD j'obtiens ERR_CONNECTION_RESET
Si je tape l'adresse IP j'obtiens ERR_CONNECTION_RESET

et enfin si je tape domain.gTLD je tombe bien sur mon routeur ce qui est logique

J'imagine que je dois avoir une première erreur de config au niveau de OVH.

ps : je ne souhaite pas déléguer la zone dns wan sur mon serveur dnc locale comme indiqué dans la dernière étape du tuto de fenrir, cela me semble un peu trop complexe pour ce que je veux faire.

Pour la partie concernant le NAS accueilant plusieurs service je me doute bien que la seul solution sera le reverse proxy.

mais si je pouvais juste garantir la première étape de continuité de service entre les différents serveurs.

En pièce jointe un petit croquis de ma problématique

Voici des détails concernant mes différentes config.

OVH:
Dynhost paramétré et à jour sur le gTLD domain.gTLD pour l'exemple
Zone DNS : 
domotique.gTLD -> CNAME -> domain.gTLD

Livebox 5 :
192.168.1.1
DMZ -> 192.168.1.4


Router RT2600ac
IP wan : 192.168.1.4
gateway : 192.168.1.1
DNS : 10.0.4.1


IP LAN : 10.0.4.1
Gateway : 10.0.4.1
DNS : 10.0.4.1


DNS CONFIG :

Resolution

sous-réseau : 10.0.0.0/255.0.0.0
sous-réseau : 127.0.0.0/255.0.0.0
sous-réseau : 192.168.0.0/255.255.0.0
sous-réseau : 172.16.0.0/255.240.0.0

IP Source :

redirect 1 : 80.67.169.12
redirect 2 : 80.67.169.40


Zone Master domain.gTLD

alarme.domain.gTLD -> A -> 10.0.4.3
nas.domain.gTLD  -> A -> 10.0.4.2
domotique.gTLD -> A -> 10.0.4.4
ns.domaing.gTLD -> A -> 10.0.4.1
vpn.domain.gTLD -> A -> 10.0.4.1
domain.gTLD -> NS -> ns.domain.gTLD
web.domain.gTLD  -> A -> 10.0.4.2
file.domain.gTLD  -> A -> 10.0.4.2
cctv.domain.gTLD  -> A -> 10.0.4.2


Zone Master domain.gTLD(2)

domain.gTLD -> A -> 10.0.4.1
alarme.domain.gTLD -> A -> 10.0.4.3
nas.domain.gTLD  -> A -> 10.0.4.2
domotique.gTLD -> A -> 10.0.4.4
ns.domaing.TLD -> A -> 10.0.4.1
domain.gTLD -> NS -> ns.domain.gTLD
web.domain.gTLD  -> A -> 10.0.4.2
file.domain.gTLD  -> A -> 10.0.4.2
cctv.domain.gTLD  -> A -> 10.0.4.2
vpn.domain.gTLD -> A -> 10.0.4.1

View "Lan"  link to Master domain.gTLD

IP Source : 
sous-réseau : 10.0.0.0/255.0.0.0
sous-réseau : 127.0.0.0/255.0.0.0
sous-réseau : 192.168.0.0/255.255.0.0
sous-réseau : 172.16.0.0/255.240.0.0

View "Wan" link to Master domain.gTLD(2)
IP Source : ALL


 

DNS-LOCAL-MARCONNE.jpg

Modifié par teal_cfr
ajout etiquettes
Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, teal_cfr a dit :

J'imagine que je dois avoir une première erreur de config au niveau de OVH.

ps : je ne souhaite pas déléguer la zone dns wan sur mon serveur dnc locale comme indiqué dans la dernière étape du tuto de fenrir, cela me semble un peu trop complexe pour ce que je veux faire.

Avec ce que tu dis ci-dessus, je ne comprends pas à quoi sert la vue WAN liée à la zone Master domain.gTLD(2) qui résout des noms en adresses IP privées.

Lien vers le commentaire
Partager sur d’autres sites

Le 17/05/2023 à 12:43, PiwiLAbruti a dit :

Avec ce que tu dis ci-dessus, je ne comprends pas à quoi sert la vue WAN liée à la zone Master domain.gTLD(2) qui résout des noms en adresses IP privées.

Et bien j'ai suivi le tuto à la lettre.

Et il faut bien une vue qui indique au trafic externe vers quelles ressource se diriger une fois arrivé sur mon routeur grâce à l'ip public au travers de la dmz ?

Lien vers le commentaire
Partager sur d’autres sites

Vous ne pourrez jamais résoudre des ip privées chez OVH. Vous ne pouvez mettre dans la zone OVH que des ip publiques. Dans votre cas, il s'agit de l'IP publique de votre routeur que vous associez à votre nom de domaine, soit à un enregistrement A si votre IP publique est statique, soit en passant par le DynHost d'OVH que vous associez au NAS à partir de l'onglet DDNS du menu accès externe de DSM si votre IP est dynamique

Il faut comprendre que toute requête effectuée sur internet sur votre ndd sera résolue à l'aide des serveurs DNS répartis dans le monde. Ces serveurs ne connaissent que ce qui est inscrit dans la zone d'OVH, a savoir pour simplifier, votre IP Publique. La requête sera lors dirigée vers votre routeur et c'est ensuite à vous de diriger cette même requête vers votre NAS en faisant un transfert du port 443 vers celui du NAS. La suite est affaire de serveur DNS et de reverse proxy qu'il faut paramétrer dans le NAS.

Comme vous l'a dit @PiwiLAbruti, vous ne pouvez pas faire cohabiter deux zones sur le serveur DNS qui utilisent le même ndd et les mêmes IP privées. Un ndd,une seule zone pour la partie privée.

Lien vers le commentaire
Partager sur d’autres sites

@PiwiLAbruti @Mic13710

Bonjour,

 

Désolé mais ma dernière question était rhétorique.

Je sais bien que OVH ne peux résoudre mes ip Privées.

 

Mais pourquoi "fenrir" utilise ces deux zones dans son tuto ?

Le 19/05/2023 à 23:27, Mic13710 a dit :

Comme vous l'a dit @PiwiLAbruti, vous ne pouvez pas faire cohabiter deux zones sur le serveur DNS qui utilisent le même ndd et les mêmes IP privées. Un ndd,une seule zone pour la partie privée.

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 18 minutes, teal_cfr a dit :

Mais pourquoi "fenrir" utilise ces deux zones dans son tuto ?

Il n'y a qu'une seule zone locale dans le tutoriel. Mais tu peux choisir de laisser ton NAS gérer à la fois les zones publiques et privées.

Je pensais que c'était clair de ton point de vue lorsque tu as dit :

Le 16/05/2023 à 22:26, teal_cfr a dit :

ps : je ne souhaite pas déléguer la zone dns wan sur mon serveur dnc locale comme indiqué dans la dernière étape du tuto de fenrir, cela me semble un peu trop complexe pour ce que je veux faire.

Donc tu ne devrais avoir qu'une seule zone locale.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, PiwiLAbruti a dit :

Il n'y a qu'une seule zone locale dans le tutoriel. Mais tu peux choisir de laisser ton NAS gérer à la fois les zones publiques et privées.

Il y a une zone master local et une zone master wan, avec chacune de ces zones une vue attitré.
C'et ce que j'ai fait.

Et donc il n'y a qu'une seule solution pour rediriger le trafic externe vers le bon service ? (ReverseProxy)

Lien vers le commentaire
Partager sur d’autres sites

DNS ne fait pas de redirection de trafic, il ne fait que résoudre des noms en adresse IP (c'est réducteur de dire ça, mais on n'a pas besoin de plus dans le cas présent).

Si avec une seule adresse IPv4 publique tu veux atteindre des destinations locales différentes en passant par un même port, seul le proxy inversé pourra diriger vers des destinations distinctes en fonction du nom DNS utilisé.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, teal_cfr a dit :

Mais pourquoi "fenrir" utilise ces deux zones dans son tuto ?

Je pense que vous devriez relire le tuto. Il y a bien deux zones, une locale et une publique, mais elles ne sont pas toutes à mettre en oeuvre.

Le seul tuto de Fenrir que nous connaissons ici est celui-ci :

Et ce qu'il dit en préambule est assez explicite :

"Il n'y a aucune raison technique qui nécessite de faire la dernière partie, elle est là pour illustrer un peu plus le fonctionnement d'une architecture DNS, mais elle n'est en aucun cas nécessaire. "

Cette dernière partie qui traite de la zone publique, ne vous concerne pas. Et, sans vouloir être désobligeant, vu comment vous l'avez abordée, elle ne risque pas de fonctionner.

Contentez vous de la zone DNS locale et tout ira bien.

Lien vers le commentaire
Partager sur d’autres sites

Du coup m'a seule solution c'est reverse Proxy si je comprends bien.

 

Cela veux dire que je vais devoir transférer mon Serveur DNS sur mon NAS plutôt que mon Router, puisque SRM ne gère pas le Reverse Proxy ?

Lien vers le commentaire
Partager sur d’autres sites

Le reverse proxy n'est pas une obligation puisque vous pouvez toujours transférer les ports vers chaque application. Mais c'est tout de même plus simple d'atteindre une application comme file station avec une URL du type https:\\file.ndd plutôt que https:\\ndd:7001.

Le serveur DNS peut être installé sur le routeur, le NAS, un Raspberry, ça n'a pas d'importance tant que vous indiquez son IP dans le DHCP pour qu'elle soit transmise à tous les équipements susceptibles de l'utiliser. Il n'est là que pour renvoyer une IP pour un ndd donné. C'est tout. Il ne peut pas vous diriger vers une application particulière qui elle correspond à un port particulier.

Le reverse proxy ne fait que diriger une requête donnée vers l'appli correspondante. Par exemple, diriger l'URL https:\\file.ndd vers le port 7000 du localhost qui correspond à l'application.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, teal_cfr a dit :

Cela veux dire que je vais devoir transférer mon Serveur DNS sur mon NAS plutôt que mon Router, puisque SRM ne gère pas le Reverse Proxy ?

Non, le serveur DNS et le reverse proxy peuvent être hébergés sur des machines différentes.

Donc ça fonctionnera en laissant DNS Server sur SRM et le reverse proxy sur DSM.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, PiwiLAbruti a dit :

Non, le serveur DNS et le reverse proxy peuvent être hébergés sur des machines différentes.

Donc ça fonctionnera en laissant DNS Server sur SRM et le reverse proxy sur DSM.

Mais en faisant ça est-ce que je ne rajoute pas des services tiers et potentiellement des ralentissements ?

 

Lien vers le commentaire
Partager sur d’autres sites

Quels ralentissements ? La réponse d'un serveur DNS local se chiffre en quelques millisecondes, celle du reverse proxy itou. C'est sûr que toute requête passant par le serveur local avant d'aller interroger un serveur public sera forcément plus longue que d'interroger un serveur public directement. Mais c'est insignifiant en terme de temps de réponse supplémentaire.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.