Aller au contenu

Tailscale & NextDNS ?

Par KeizerSauze
dans Installation, Configuration et Stockage

Featured Replies

Posté(e)

Hello,

Je suis perdu, le contexte :

NextDNS est configuré uniquement via Tailscale (DNS global, remplacement activé). Le tout via Docker.
Appareils : 3 Apple (macOS/iOS), 2 NAS Synology (DSM), tous connectés et fonctionnant sur Tailscale.

Dans NextDNS :
• Le trafic DNS apparaît à partir de 4 adresses IP alors que seuls 3 appareils Apple sont identifiés.
• Aucun trafic DNS n'apparaît pour les deux NAS Synology ou je ne sais comment le voir.

Les appareils Apple utilisent Apple Private Relay ; NextDNS affiche un message à ce sujet, mais celui-ci est ambigu et n'explique pas clairement l'attribution des adresses IP/appareils.

Si Private Relay a un impact, il affecte probablement uniquement les appareils Apple, et non les NAS Synology.

Tailscale expose la configuration DNS uniquement au niveau global et ne fournit aucune visibilité par appareil sur l'utilisation réelle du DNS.

Résultat : je ne sais pas si NextDNS couvre l'ensemble de mes machines

  • Citer
    • 0
    Posté(e)

    Comme je bosse sur un projet utilisant Tailscale, ton sujet m'a interpellé en ai discuté avec la LLM qui me donne la main et voilà ce qu'il en ai ressorti en espérant que cela puisse t'éclairé :

    Pourquoi NextDNS “voit” 4 IP mais seulement 3 Apple

    🔍 Ce qui se passe réellement

    Apple Private Relay :

    • intercepte une partie des requêtes DNS + HTTP(S)

    • les fait sortir via des egress Apple (Cloudflare / Akamai / Apple)

    • masque l’IP source réelle

    • parfois split le trafic :

      • une partie passe par le DNS “système”

      • une autre ne passe PAS par ton NextDNS

    👉 Résultat :

    • NextDNS voit :

      • des IP Apple relay

      • parfois plusieurs IP pour un seul device

    • Le message NextDNS est volontairement flou car Apple ne documente pas précisément le mapping

    🧠 Conclusion
    ➡️ Les 4 IP ≠ 4 machines
    ➡️ Ce sont des sorties Apple Relay, pas des hôtes réels

    Pourquoi les NAS Synology n’apparaissent PAS

    Et là on arrive au point clé 👇

    ⚠️ Les NAS n’utilisent probablement PAS NextDNS

    Cas les plus fréquents sur DSM :

    1. Le NAS utilise :

      • le DNS du LAN

      • ou /etc/resolv.conf généré par DSM

      • ou un fallback IPv6

    2. Le trafic DNS du NAS :

      • passe en dehors de Tailscale

      • ou passe par Tailscale mais ne fait aucune requête DNS observable (cache, peu d’activité)

    3. Tailscale DNS ≠ garantie d’usage réel

      Tailscale impose un DNS, mais ne force pas chaque process à l’utiliser

    🧠 Point fondamental
    ➡️ Tailscale DNS est déclaratif, pas coercitif

    Réponse à la question centrale

    “Je ne sais pas si NextDNS couvre l’ensemble de mes machines”

    👉 Réponse honnête : NON, il n’en a aucune certitude

    Et actuellement :

    • Apple = couverture partielle (Private Relay)

    • NAS = probablement hors périmètre

    • Tailscale = aucune visibilité par device

      🧭 Recommandations claires (par ordre de maturité)

      🟢 OPTION 1 — Vérification factuelle (indispensable)

      Sur chaque NAS Synology :

      cat /etc/resolv.conf

      Puis :

      nslookup google.com

      ➡️ Vérifier vers quel DNS ça sort réellement

      🟢 OPTION 2 — Désactiver Apple Private Relay (si objectif = contrôle DNS)

      Sur Apple :

      • iCloud → Private Relay → OFF

      💬 Sans ça :

      • aucun DNS central ne peut être fiable

      • NextDNS, Pi-hole, AdGuard = tous aveugles partiellement

      🟡 OPTION 3 — Forcer NextDNS par appareil (recommandé)

      Au lieu de “DNS global Tailscale” :

      • Installer NextDNS client :

        • sur macOS

        • sur iOS

        • sur DSM (possible via script / container sidecar)

      ➡️ Là, NextDNS tagge chaque appareil
      ➡️ Plus de doute
      ➡️ Plus de mapping fantôme

      🟡 OPTION 4 — Architecture propre (niveau Rahan 🧠)

      DNS ≠ VPN ≠ Privacy

      • Tailscale : transport

      • DNS : local-first

      • Apple Private Relay : OFF sur machines de confiance

      👉 Sinon :

      • Il empile des couches qui s’aveuglent mutuellement

      🧩 Synthèse ultra-courte à transmettre à ton ami

      Le problème n’est pas une erreur de config.
      C’est l’interaction normale entre Apple Private Relay (opacifiant), Tailscale DNS (non coercitif) et NextDNS (observateur passif).

      Tant que Private Relay est actif et que NextDNS n’est pas installé par appareil, aucune vision fiable n’est possible.

  • Citer
    • 1

    Rejoindre la conversation

    Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

    Invité
    Répondre à ce sujet…
    https://www.nas-forum.com/forum/topic/88019-tailscale-nextdns/
    Aller sur la liste des sujets

    Information importante

    Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.