Aller au contenu

Syno non accessible par DNS en local


glattering

Messages recommandés

Bonjour a tous,

J'ai cherche des sujets similaires au mien mais peut etre que je ne choisis pas bien mes mots cles... en tout cas n'ayant pas trouve, je me permets de faire directement appel a vous!

La situation:

  • J'ai un synology sur mon reseau local (192.168.1.80)
  • Je possede un nom de domaine et j'utilise les adresses suivantes:
    • nas.mondomaine.fr pour acceder a DSM
    • mondomaine.fr pour le serveur web
  • J'ai configure mon routeur pour ouvrir les ports 80 et 443 et rediriger ces ports sur les ports 80 et 443 de mon synology.
  • Dans le pare-feu j'ai ouvert port 80, 443 (et aussi 5001).
  • J'utilise le reverse proxy du syno qui redirige
    • nas.mondomaine.fr 443 vers localhost:5001 pour acceder a DSM
    • mondomaine.fr 443 vers localhost 443 (default web).

Avec tout ca,

  • j'arrive a acceder a DSM depuis une IP exterieure a mon reseau local en utilisant https://nas.mondomaine.fr, aucun probleme! :)
  • J'arrive aussi a acceder a DSM en local par https://192.168.1.80:5001 :)
  • Mais impossible d'acceder a DSM en local par https://nas.mondomaine.fr! :'(

Ca marchait tres bien jusqu'a tres recemment... et je ne sais pas trop ce qui a fait que ca marche plus. Et depuis j'ai pas mal tripatouiller donc bon, je suis un peu perdu.
Toute idee est la bienvenue!

Merci et bonne soiree,

/glattering

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Glattering

D'après ce que tu décris, le souci ne vient pas de chez toi mais viendrait plutôt de ton fournisseur d'acces. Ce que tu cherches à faire s'appelle du "loopback" (regarde sur Google). Tu essaies de joindre l'IP externe de ton réseau depuis l'intérieur de ton réseau. Certains FAI comme Orange ne permettent pas (plus) de faire ça et je crois qu'il n'y a pas grand-chose à faire à part changer de FAI ou accéder à ton NAS en 192.168.x.x quand tu es chez toi.

La seule option "tordue" à laquelle je puisse penser c'est de passer par un service VPN externe sinon.

Hope it helps,

PascalZ

Lien vers le commentaire
Partager sur d’autres sites

Bonjour glattering,

Comme le dit @PascalZ si tu es chez orange, il y a le probleme du "loopback", ce probleme est connu chez orange depuis plusieurs année et ils ne feront rien pour le corrigé.

Si je peux me permettre si tu as plusieurs équipements connectés sur leurs la box\ routeur je t'invite aussi à t'acheter un switch pour les connecter dessus. Puis de conencter celui-ci à la box. Le swictch de la box n'est pas très stable.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci a vous de vous penchez sur mon probleme!
Pour clarifier un point, je ne suis pas en France mais au Canada. J'ai un routeur perso, configure avec tomato. Je suis pas un expert en configuration ni en reseau loin de la, donc si il y a de quoi que je peux configurer dans mon routeur pour ca, je peux peut etre le faire si on m'explique la marche a suivre. :)

Lien vers le commentaire
Partager sur d’autres sites

Il faut simplement faire en sorte que lorsque tu es chez toi, les DNS répondent avec l'ip local du nas et pas avec l'ip public du modem.

De mémoire tomato permet de créer des enregistrements DNS (mais ça fait au moins 10ans que je n'en ai plus testé). Si c'est le cas pas de soucis.

Sinon tu peux faire la même chose avec le DNS du synology, il faudra juste que tu configures ton routeur pour annoncer ton syno comme serveur DNS pour tes clients locaux.

nb : le loopback est souvent une fausse bonne idée car en général il est mal implémenté et fait appel au NAT -> on perd bcp de perf

Lien vers le commentaire
Partager sur d’autres sites

Merci pour les infos!
Pour que je comprenne mieux, comment les ordis, pc, tablets, smartphones de mon reseau local savent quel DNS utiliser? Ils demandent automatiquement au routeur?
Si c'est bien le cas, en effet, j'imagine que si je dis au routeur de rediriger vers un serveur DNS du syno, ca devrait etre ok.

Encore merci!

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, glattering a dit :

Pour que je comprenne mieux, comment les ordis, pc, tablets, smartphones de mon reseau local savent quel DNS utiliser? Ils demandent automatiquement au routeur?

En général, l'adresse du serveur DNS à utiliser est reçue en même temps que l'adresse ip, c'est le serveur DHCP qui fourni les infos.

En IPv6 ça peut être différent (slaac), mais le principe reste le même, l'adresse des serveurs DNS est fournie automatiquement aux clients.

Lien vers le commentaire
Partager sur d’autres sites

Bon et bien j'ai un peu trifouille dans tomato, dans la section advanced->DHCP/DNS et en suivant un tuto (http://setuprouter.com/router/asus/rt-n16-tomato-v1.28/dns.htm) mais sans vraiment l'appliquer (juste decocher ou cocher un ou deux options, finalement ca marche...
Ca reste un mystere pour moi, et ca m'embete un peu de pas comprendre ce qui fait que ca marche par rapport a ce qui fait que ca marchait pas, mais bon, j'en ai profite pour faire un backup de ma configuration de tomato!

Donc resolu, mais mysterieusement...
J'ai essaye de rajouter qqques details pour les suivant, si jamais ca peut aider...

Encore merci et bonne soiree!

Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, glattering a dit :

Ca reste un mystere pour moi, et ca m'embete un peu de pas comprendre ce qui fait que ca marche par rapport a ce qui fait que ca marchait pas

Tu as probablement relancé le service DNS du tomato, il a donc purgé son cache.

-------------------

Depuis une machine sur le lan, fais : nslookup ton.nom.de.domaine

Si l'adresse n'est pas privée (10.0.0.0/8 ou 172.16.0.0/12 ou 192.168.0.0/16) tu fais du loopback, ce qui est dommage du point de vue performances (2 machines l'une à coté de l'autre doivent passer par le routeur pour se parler).

À l'occasion, si ça t’intéresse de comprendre, essaye de le faire avec le DNS, c'est plus performant (ton pc et ton nas se parleront directement sans passer par ton routeur), plus fiable (si demain tu changes de routeur ça marchera encore, même si tu as une panne Internet ou que tu supprimes le routeur) et plus instructif.

Lien vers le commentaire
Partager sur d’autres sites

Effectivement, nslookup me donne l'adresse publique, je fais donc du loopback si j'ai bien suivi (meme si je sais pas trop ce que ca veut dire dans le detail je comprends l'idee).

Mais si je le fais avec le DNS, ca passera par le serveur DNS, en quoi ca sera plus performant qu'en pasant par le routeur?

En loopback, tu as l'air de dire que si j'ai plus de connexion internet, ca ne marchera plus, c'est bien ca?
Je vais me renseigner sur faire un DNS server (sur le syno du coup si j'ai bien suivi).

Encore merci pour les explications, c'est tres tres apprecie!
 

Lien vers le commentaire
Partager sur d’autres sites

il y a 59 minutes, glattering a dit :

Effectivement, nslookup me donne l'adresse publique, je fais donc du loopback si j'ai bien suivi (meme si je sais pas trop ce que ca veut dire dans le detail je comprends l'idee).

Difficile de t'expliquer sans faire un cours réseau, même en simplifiant à l’extrême.

Pour comprendre la suite il faut bien intégrer le fait que les routeurs grand public sont généralement composés de 2 éléments, un routeur et un switch. Ces 2 composants ne vont pas du tout à la même vitesse car ils ne font pas du tout la même chose (le routeur doit faire bcp plus de choses et est donc nettement plus lent, parfois d'un facteur 10 ou pire).

  • En faisant du loopback (le vrai terme est nat-loopback), tous les paquets réseaux doivent passer par le routeur et être transformés 2 fois (pour modifier l'adresse du client à l'aller et pour modifier l'adresse du nas au retour)
  • Avec le DNS, le client et nas se parlent en direct au travers du switch, sans passer par le routeur

Dit autrement, en loopback, chaque paquet (cette page web en compte 3000) subit un NAT + un transfert de port à l'aller et un NAT au retour. En le faisant via un DNS, il n'y a aucune transformation.

Par analogie, on pourrait dire que le loopback c'est comme si pour passer un message à un correspondant au téléphone, le standardiste devait répéter toutes tes phrases à ton destinataire (et vice versa).

nb : certains routeurs utilisent d'autres méthodes pour le loopback (spoofing arp et/ou routage asymétrique et/ou icmp redirect), donc c'est moins lent, mais c'est très très sale et ça cause souvent d'autres problèmes

En passant, 2 autres intérêts à éviter le loopback :

  • si tu as un forfait limité c'est risqué, parfois le trafic loopback compte dans le quota (si c'est le cas chez toi tu peux te plaindre à ton ISP, c'est illégal, mais ça existe)
  • ton nas ne voit pas l'adresse du client mais l'adresse locale du routeur, ce peut être gênant pour le filtrage sur le nas
il y a 59 minutes, glattering a dit :

Mais si je le fais avec le DNS, ca passera par le serveur DNS, en quoi ca sera plus performant qu'en pasant par le routeur?

Non, le DNS ne fait que donner l'ip qui est cachée derrière un nom, il ne gère pas le trafic, il indiquera donc au client que le nas est juste à coté, le client et le nas se parleront alors en direct.

il y a une heure, glattering a dit :

En loopback, tu as l'air de dire que si j'ai plus de connexion internet, ca ne marchera plus, c'est bien ca?

Oui pour 2 raisons (mais ce n'est pas systématique, ça dépend des routeurs) :

  • sur certains routeurs, quand la connexion Internet tombe, l'adresse public disparait du routeur, donc le loopback ne peut plus marcher
  • si tu n'as plus le net tu ne pourras plus joindre le serveur DNS public que tu utilises pour ton domaine, donc tu ne sauras pas à qui envoyer les paquets, même si l'adresse public est encore présente sur le routeur
Lien vers le commentaire
Partager sur d’autres sites

Wow merci beaucoup d'avoir pris le temps! C'est tres clair!
Tu m'as convaincu et je vais voir soit comment tripatouiller les enregistrements DNS directement dans tomato ou si pas possible mettre en place un serveur DNS sur mon syno!

Encore merci mille fois!

 

Ah je realise que c'est toi qui a fait le tuto sur comment securiser son NAS alors j'en profite aussi pour te remercier, je l'ai suivi de bout en bout et c'etait vraiment complet et interessant!

Lien vers le commentaire
Partager sur d’autres sites

D'ailleurs, je pense que c'est du a ce que tu as decrit pour le loopback, a savoir que par exemple pour le pare-feu j'ai autorise seulement les ports 443 et 80 depuis depuis des IP "internet" alors que j'ai autorise les ports pour certaines applications depuis le reseau local (5001, 7070), et quand je clique sur un application dans DSM qui doit ouvrir localhost:7070 (par ex pour synchting), et bien ca ne marche pas quand je me connecte a DSM depuis https://nas.monserveur.me alors que ca marche quand je me connecte a DSM depuis https://192.168.1.80:5001.

Voila, c'etait ma reflexion a 2 centimes. J'essaie de voir si j'ai bien compris a travers ce que j'observe :D

Modifié par glattering
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.