artere
Membres-
Compteur de contenus
25 -
Inscription
-
Dernière visite
À propos de artere
Visiteurs récents du profil
Le bloc de visiteurs récents est désactivé et il n’est pas visible pour les autres utilisateurs.
artere's Achievements
-
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@.Shad. Je viens d'essayer cette config : DNS côté RT désactivé DHCP côté RT: DNS primaire = 192.168.1.5 (NAS) DNS côté NAS : redirecteur 1 = 192.168.1.1 et redirecteur 2 = 1.1.1.1 J'ai le même souci qu'avant concernant SafeAccess : facebook est filtré (visible dans le log et site inaccessible), reddit est pseudo filtré (visible dans le log mais site accessible) J'ai également des soucis de résolution de DNS avec une erreur : DNS_PROBE_POSSIBLE. Je reviens à la configuration d'avant. J'ai contacté le support Synology pour les problèmes que je rencontre sur le RT, à savoir la connexion internet qui saute partiellement (impossible d'accéder à internet via un navigateur, mais RT connecté correctement à la box et VPN fonctionnel). Ce problème, je le rappelle, est résolu en redémarrant le RT, ce qui permet de dépanner mais n'est pas pérenne. Je n'ai rien trouvé dans les logs et j'espère que Synology trouvera la faille. Je suis toujours à la recherche de la bonne configuration entre mon NAS (qui a un serveur DNS du fait du Directory Server) et mon RT (qui doit pouvoir filtrer le trafic sortant (SafeAccess) tout en gérant les VPN). Pour l'instant, ce n'est pas stable et je n'ai pas la bonne config visiblement. Si quelqu'un a une idée, je suis preneur. -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@.Shad. Je pense que le blocage s'applique sur l'ensemble des IP du réseau local. J'ai fait le test sur un PC donc normalement "filtré". Ce qui est étonnant, c'est que dans le cas de Reddit, SafeAccess indique bien que le site est filtré et pourtant la navigation reste possible. Faudra que je creuse. -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@.Shad. J'avais fait le test de mettre le DNS uniquement sur le NAS et d'indiquer dans le DHCP du routeur uniquement le NAS en DNS Primaire. Cela semblait fonctionner hormis pour une chose assez étrange : safeaccess. En effet, le filtre de certains sites n'étaient pas correctement appliqué. Par exemple, je filtre les réseaux sociaux : facebook : le navigateur indique que le site est bloqué et SafeAccess indique dans son log que Facebook a été filtré (jusqu'ici tout va bien) reddit (autre réseau social) : le navigateur permet de naviguer sur le site (pas de blocage) mais de son côté SafeAccess indique dans son log que Reddit a été filtré ?!? Du coup, j'avais remis comme avant, mais si vous avez une explication pour le cas détaillé ci-dessus je suis preneur et j'envisagerais de basculer le DNS uniquement sur le NAS. -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
Je ne sais pas si ça peut aider, mais je viens d'aller faire un tour dans les logs du DNS (côté RT) et j'ai 3 notifications qui semblent correspondre au moment où j'ai essayé de joindre le domaine sur la machine virtuelle et que ce domaine n'était pas trouvé : -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@.Shad. @PiwiLAbruti EDIT : Autant pour moi, je viens de faire un test en ajoutant un CNAME côté NAS pour voir si il apparaissait côté RT (zone Slave) et il est bien présent. Du coup, le problème reste entier et la question porte plutôt sur la deuxième partie : pourquoi lorsque je ne mets que le DNS du RT dans le DHCP (192.168.1.1) avec une zone Slave qui semble être bien liée au DNS de l'Active Directory, je n'arrive pas à joindre le domaine sur un poste client ? MESSAGE ORIGINAL : Bon, j'ai tenté la manip d'ajouter une zone esclave dans le DNS du routeur mais... 1. Dans le DNS du NAS (celui où se situe l'ActiveDirectory), je ne peux pas modifier les IP des zone esclaves. Le fait que les deux zones soient gérées par le paquet Directory Server fait qu'on n'a pas accès à toutes les options. J'ai pu cocher "Limiter le transfert de zone" et y ajouter l'ip du RT. Mais par contre, je peux pas ajouter le RT aux IP des zones esclaves, ce qui fait que ma zone esclave ne se met pas à jour automatiquement. Voilà ce que j'ai de mon côté : J'ai essayé de changer le statut, mais je n'ai pas la main dessus. J'ai essayé également de désactiver le paquet Directory Server, mais une fois désactivée, les enregistrement DNS sont supprimés. 2. J'ai tout de même poursuivi la manip et retiré le NAS (192.168.1.5) du DHCP (géré par le routeur) pour ne laisser que le routeur (192.168.1.1). Sur une machine virtuelle, je suis sorti du domaine pour y re rentrer et voir si il le trouvait... résultat, nop. Le domaine ne peut pas être trouvé en passant par le RT. On touche presque au but mais cet enregistrement DNS géré par l'ActiveDirectory est vraiment pénible. Une idée ? -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@.Shad. Je vais regarder cette manip de @PiwiLAbrutivoir si cela règle le problème. @PiwiLAbruti Est-ce que tu pourrais me détailler comment rédiger la zone esclave (nom de domaine, enregistrement de ressources) et cette histoire de clé. Je vais regarder de mon côté si je trouve des informations sur le net, mais si tu as un exemple de config, je suis preneur. C'est assez étrange comme situation, sachant que la config fonctionne un certain temps puis semble tomber en panne de manière impromptue. C'est le RT qui gère le DHCP avec en DNS primaire le NAS (192.168.1.5) et en secondaire le RT (192.168.1.1). Le NAS est en primaire pour que le domaine soit trouvée par les postes clients. Du coup, quand je fais un nslookup sur un poste, la requête est envoyée au NAS (192.168.1.5) et c'est peut-être là que ça fini par planter. Je suppose que le NAS a un moment donné n'envoie plus les requêtes "externes" vers le RT. Un tracrt montre bien que c'est le RT qui s'occupe de la résolution. -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
Bon, j'ai toujours des soucis qui viennent de mes deux DNS (un côté NAS pour le Directory Server et un côté Routeur pour internet). J'ai à nouveau eu un souci (le même que la dernière fois) à savoir : la connexion internet fonctionne : le vpn fonctionne, je peux me connecter à la box et voir que la connexion est ok par contre, sur chaque poste client, impossible d'accéder à internet : le routeur bloque les requêtes ou n'arrive pas à résoudre les adresse. Par ailleurs, un nslookup me renvoie un "timed out" J'ai donc à nouveau redémarré le routeur et c'est rentré dans l'ordre... le problème, c'est que la panne est aléatoire et que ce n'est pas une solution que de redémarrer systématiquement le routeur Autre point dans mes recherches, j'ai tenté de suivre le tuto pour mettre en place un certificat via acme.sh et lorsque j'essaie de télécharger le paquet, j'ai semble-t-il là aussi un problème de DNS (pourtant, parallèlement, internet fonctionne) : voici les erreurs que j'obtiens via putty (sur un ns lookup et wget) : J'ai pensé un moment à SafeAccess, mais le site est accessible depuis un navigateur. L'adresse ip que l'on voit (169.254.172.197) est celle renseignée au niveau du DNS dans le Directory Server (voir copie écran ci-dessous). Là encore, je ne comprends pas bien comment cette adresse est paramétrée automatiquement par Synology. En toute logique, je devrais avoir l'adresse du NAS. Je ne sais pas d'où vient cette adresse. Elle ne correspond à aucun format de mes réseaux locaux. J'ai tenté de désinstaller le paquet Directory Server et le réinstaller pour voir si l'adresse IP du DNS changeait, mais rien à faire. Côté NAS, dans le DNS, les Enregistrements de Ressources (A et AAAA) sont bien dirigées vers l'IP du NAS (192.168.1.5). Enfin, côté Routeur, dans le journal du DNS, j'ai pas mal d'erreur de ce type : C'est assez étrange. Je ne sais pas si c'est inquiétant mais l'erreur ressemble à celle visible dans putty et à un problème de résolution de nom de domaine. L'autre point, c'est que ces erreurs ont lieu le 31 alors qu'aucun utilisateur n'était connecté. Bref, c'est un peu le boxon et surtout pas très stable. -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
Intéressante la dernière mise à jour de VPN Plus Server, il y avait semble-t-il un problème avec OpenVPN et le certificat LE. https://www.synology.com/fr-fr/releaseNote/VPNPlusServer?model=RT2600ac&major=5&minor=2 -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
Ok. Donc, un seul DNS sur le NAS (via une app Docker pour ta part) et le DHCP côté routeur qui renvoie vers le DNS du NAS. Ca me semble plus clair. Après, j'ai toujours un problème avec le certificat, mais il faut que je me penche sur le tuto d' @oracle7 pour générer un certificat depuis le NAS puis l'exporter vers le routeur pour tout ce qui est service tel que le VPN, SafeAccess. Pour l'instant, j'ai un certificat auto-signé qui me permet de faire fonctionner OpenVPN. Si je fais un certificat LE depuis le routeur pour un site en .synology.me, OpenVPN refuse de se connecter et me renvoie une erreur TLS (je n'ai plus le code exact en tête). Donc, pour résumer, l'auto-signé fonctionne pour OpenVPN mais par contre, créé des problèmes en local notamment sur la navigation internet (voir sujet original du Post). -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
Ok Oracle, je vais suivre ton tuto mais du coup sur le NAS et non sur le RT. Ok pour l'idée. Dans vos configs respectives, vous avez un DNS sur chaque appareil (RT et NAS) ou un seul DNS sur le NAS ? -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
J'ai laissé tomber le tuto avec Acme.sh, accès root en ssh et tout le toutim... pas adapté à un routeur de toutes façons (le tuto est fait pour un NAS) Non, je n'ai toujours pas réglé mon problème de certificat. Pour l'instant, je génère le certificat via le routeur (et ça bloque, un certificat let's encrypt n'est disponible qu'avec un domaine en synology.me) et un certficat auto-signé provoque des problèmes au niveau navigateur). Mais de ce que tu me dis, c'est que je pourrais potentiellement générer le certificat sur le NAS puis l'exporter sur le routeur ? -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
J'ai regardé le log pour comprendre d'où pouvait venir le problème d'accès internet après avoir fait les deux modifications citées... j'ai pas compris. Entre temps, l'ip fixe de mon FAI a changé, c'est peut-être la cause du problème. Qui dit IP fixe qui change, dit VPN a reconfiguré. Je me penche actuellement sur les tutos cités plus notamment pour le certificat, mais ces tutos sont fait pour un NAS (DSM) et non un routeur (SRM) donc je ne sais pas si ils sont applicables. Donc, pour répondre à ta question, non la question du haut n'est pas résolu puisqu'initialement, j'ai surtout un problème de certificat (mais on a un peu dévié depuis :)) -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@oracle7 Alors, j'ai pas fait grand chose comme manip: j'ai juste retirer l'IP du NAS (192.168.1.5) dans le redirecteur 2 du NAS... puisque que comme toi, je pensais qu'il n'y avait pas d'intérêt... j'ai modifié le redirecteur 2 du DNS (Routeur) pour le remplacer par celui de CloudFlare (1.1.1.1) Bizarrement, après ces modifs, je n'ai pas eu de souci... mais, 24 heures après, aucun poste ne pouvait accéder à internet "en sortie". C'est à dire que je pouvais me connecter au VPN par exemple, donc internet fonctionne, mais une requête internet ne pouvait être résolue. NSlookup me renvoyait par ailleurs un "Request timed out". Il m'a fallu redémarrer le routeur et le NAS pour que tout rentre dans l'ordre. Sur le NAS, au niveau du journal au niveau du DNS, j'ai ces deux types d'erreur (à partir du moment où l'accès à internet ne fonctionnait plus) : samba_dlz: spnego update failed client 192.168.1.102#61768: update '*****.local/IN' denied Je ne sais pas si ces erreurs ont un rapport, le fait que j'en ai une plâtrée à partir du moment où la connexion internet a commencé à buggé. Par contre, j'ai toujours client 192.168.1.102#61768: update '*****.local/IN' denied même la connexion internet restaurée. Bref, rien n'est clair. -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@oracle7 Je vais résumer : NAS: DNS -> Résolutions -> Redirecteur 1 (192.168.1.1 Routeur) / Redirecteur 2 (192.168.1.5 NAS) DHCP -> non Routeur: DNS -> Résolutions -> Redirecteur 1 (80.67.169.12) / Redirecteur 2 (80.67.169.40) DHCP -> Oui -> DNS Primaire (192.168.1.5 NAS) / DNS Secondaire (192.168.1.1 Routeur) Est-ce que c'est correct ? -
VPN + DNS + SafeAccess + Certificat
artere a répondu à un(e) sujet de artere dans Installation, Démarrage et Configuration
@oracle7 Côté NAS, le DNS est bien configuré avec comme Redirecteur 1 (IP du Routeur), redirecteur 2 (IP du NAS) A quel niveau ? Au niveau du DHCP ou au niveau du DNS. Niveau DHCP: j'ai bien en DNS primaire l'ip du NAS et en secondaire l'IP du routeur Au niveau du DNS, j'ai comme redirecteur 80.67.169.12 et 80.67.169.40 (basé sur le tuto de @Fenrir). Est-ce qu'il faudrait que je remplace le premier redirecteur par l'IP du NAS. Est-ce que ça ne fait pas doublon avec le DNS primaire du DHCP ? @PiwiLAbruti Je vois. Je mets quoi comme nom de domaine, celui de l'ActiveDirectory (domain.local) ? Si je comprends bien ou bien je me trompe, j'ai deux possibilités : configurer le DNS primaire côté DHCP et faire pointer le premier DNS vers l'IP du NAS ou configurer les redirecteurs côté DNS et donc dire au DNS du routeur de résoudre les requêtes vers le domaine local en redirigant vers le DNS du NAS. Est-ce que l'un ne va pas sans l'autre ou bien, si je choisis la solution 2 (redirecteurs du DNS), dans ce cas, je peux remettre en place le DOH sur le DHCP ? Merci en tout cas pour votre aide bien précieuse.