[TUTO] DNS Server

[Fenrir]

S'ils sont majeurs, ce n'est pas un souci, mais même s'ils sont mineurs, ils peuvent probablement contourner la limitation (ils ont probablement des portables 3/4G, ils peuvent utiliser les hotspot publiques, ...) et un filtrage DNS c'est très facile à contourner techniquement.

S'il s'agit de postes que vous maitrisez (postes en libre accès par exemple), il sera bien plus efficace de mettre en place un proxy filtrant.

[Vinky]

Merci Fenrir pour ce Tuto. 

Je ne m'étais jamais vraiment penché sur cette fonctionnalité du NAS jusque maintenant. En investissant dans un RT1900ac je me suis dit que cela serait l'occasion d'aller plus loin sans pour autant solliciter le NAS. 

Cela m'a permi de bypasser le loopback de la freebox et la réactivité et la rapidité de navigation s'en ai immédiatement fait ressentir. 

De plus, j'en ai profité pour forcer les liens vers un serveur perso sur la connexion VPN systématique. (Mon serveur.fr ---> 10.0.0.1) depuis, toutes les données récupérés sur le NAS passent forcément par la connexion VPN et ce uniquement sur le NAS (une modification du Host aurait également permis cela, mais je trouve cela plus propre et certainement plus perin (risque d'écrasement du host lors des MAJ)

bref, un grand merci pour ce Tuto :)

[freelnet]

Bonjour,

 

Excellent TUTO !

Tout fonctionne parfaitement.

J'ai suivi toutes les étapes et mon domaine est égaleemnt hébergé ici maintenant.

 

Juste une question :

J'ai créé une zone MONDOMAINE.COM accessible du WAN, avec les enregistrements classiques (mail, www, ...) de mon domaine pour l'extérieur.

J'ai une autre zone MONDOMAINE.COM accessible uniquement du LAN, avec les enregistrements vers mes machines (nas.mondomaine.com, router.mondomaine.com, ...).

Mon seul souci, est que depuis mon LAN, je ne peux plus accéder à mon serveur mail ou web car ma vue LAN ne m'autorise l'accès qu'à 1 des 2 domaines qui portent le même nom. du coup je n'ai pu sélectionner dans cette vue, que MONDOMAINE.COM qui comporte mes enregistrements de machines.

Une idée ?

Merci :-)

[Fenrir]

Merci

 

Pour ta question :

Le 29/01/2017 à 01:58, Fenrir a dit :

Dernière précision, les vues isolent les zones, c'est le principe, donc si vous voulez voir apparaitre un même enregistrement dans les différentes vues, il faut le créer dans les différentes zones (comme le www.fenrir.tuto de mon exemple).

Ça devrait répondre à ton problème (c'était tout en bas du tuto)

Modifié le 19 mars 2017 par Fenrir

[freelnet]

Merci pour ta réponse.
Je vais essayer comme ça.

Initialement je me suis dit qu'on pourrait créer 2 vies privées. 1 pour le domaine standard visible de tous et une autre pour les enregistrements de machines mais cela ne semble pas fonctionner :-)


Envoyé de mon iPhone en utilisant Tapatalk

[Pascalou59]

Bonjour

Ayant pris un simple nom de domaine chez ovh , je ne veux plus utiliser le nom de domaine que propose synology et qui fonctionne tres bien ( mondomaine.synology.me ). J ai donc suivi cet excelent tuto mais j ai l' erreur 403 .

Je ne sais pas quoi remplir dans le ddns ovh vu que je n ai pris que le nom de domaine ,

Échec de l'enregistrement de l'adresse IP 88.77.66.55 dans le nom d'hôte mondomaine.eu [Échec d'authentification.]

Apres test sur Zone Master j ai ceci en connectivity

Toutes les adresses IPv4 des serveurs de noms retournées par les serveurs de noms de la zone parente se trouvent dans le même AS (16276).

Modifié le 22 avril 2017 par pascalou59

[Pascalou59]

Merci Lucien,

Pourquoi Synology propose avec le fournisseur OVH comme DDNS , mystere dans ce cas

[Pascalou59]

J' ai simplement pris un nom de domaine sans hebergement , uniquement pour rediriger vers mon Nas qui fera le boulot. J' ai bien une IP fixe chez free.

[Mic13710]

Salut pascalou59.

Je suis exactement dans ton cas.

Tu n'as pas besoin du DDNS.

Pour le DNS local, tu peux t'inspirer du petit tuto que j'ai ajouté dans celui-ci. Je pense qu'il te sera utile pour l'adressage de tes caméras et la mise en oeuvre des certificats.

En ce qui concerne la partie publique, j'ai fait la totale (hébergement sur le NAS) ce qui me permet de faire les modifications directement sur le serveur, mais pour sa mise en oeuvre il est beaucoup plus simple de faire les enregistrements directement chez OVH.

[PiwiLAbruti]

Vu que ce n'est apparemment clair pour personne : quand on prend un nom de domaine chez OVH, on peut également configurer soi-même des services DDNS (c'est inclus). Donc à partir de là, (presque) tout est possible.

@pascalou59 : l'adresse IP fournie par ton FAI est-elle fixe ou dynamique ?

[Pascalou59]

Je suis chez free deja mentionné plus haut donc ip fixe dieu merci

[PiwiLAbruti]

Donc tu n'as pas besoin de DDNS. Il faut que tu crées un enregistrement de type A qui pointe vers ton adresse IP fixe (public.mondomaine.fr > 1.2.3.4), puis des CNAME pointant vers cet enregistrement selon tes besoins (dsm.domaine.fr > public.domaine.fr).

[Pascalou59]

Je bloque encore sur ovh pour le cname , ca ne prend pas pas en compte  les parametres , je dois louper quelque chose , c'est la case domaine que je ne dois pas bien remplir

Modifié le 22 avril 2017 par pascalou59

[Mic13710]

Le CNAME doit pointer vers un nom de domaine, pas une ip.

toto.mondomaine.eu   CNAME   mondomaine.eu

tata.mondomaine.eu   CNAME   mondomaine.eu

etc...

Il faut aussi attendre quelques heures pour que les noms soient diffusés.

[Pascalou59]

Bonjour

En voulant continuer le paramétrage DNS prive et DNS publique le nas me répond de trouver 'l'aide sur le DNS a découpage horizontal. J ai aucune idée de ce que cela veut dire

Modifié le 25 avril 2017 par pascalou59

[Fenrir]

Ce n'est pas horizontal mais horizon => split horizon

C'est ce que j’appelle les "vues" dans mon tuto

[Spi]

Bonsoir!

@Fenrir

Aurais-tu la gentillesse de me donner un coup de main sur la zone reverse? Mes cours sur les DNS sont assez loin et j'avoue galérer un peu...

J'ai donc créé 1.16.172.in-addr.arpa comme zone; je suis sur le coté local du dns mais j'ai du rater quelque chose car si je fais ns-lookup sur l'ip du serveur par exemple il ne le trouve pas.

 

Dans l'autre sens tout marche; excepté que le serveur dns n'est pas nommé

 

Super tuto en tout cas, merci beaucoup!

[Fenrir]

À première vu ce que tu as fait est correct, sauf le fait d'avoir 2 noms pour la même IP, ce n'est pas très propre (mais c'est autorisé)

Tu as bien autorisé ta zone dans les vues ?

[phoenix916]

Il y a 8 heures, Fenrir a dit :

À première vu ce que tu as fait est correct, sauf le fait d'avoir 2 noms pour la même IP, ce n'est pas très propre (mais c'est autorisé)

Tu as bien autorisé ta zone dans les vues ?

c du Round-robin ce que tu dits la, cela permet de faire pointer 2 ip sur un même alias de nom, c pratique en plus

 

[PiwiLAbruti]

Faire pointer 1 adresse IP vers 2 noms n'est pas du round-robin.

[phoenix916]

il y a une heure, PiwiLAbruti a dit :

Faire pointer 1 adresse IP vers 2 noms n'est pas du round-robin.

autant pour moi, c 'est 2 ip sur un NOM, j'ai lu a l'envers 

[Spi]

Il y a 8 heures, Fenrir a dit :

À première vu ce que tu as fait est correct, sauf le fait d'avoir 2 noms pour la même IP, ce n'est pas très propre (mais c'est autorisé)

Tu as bien autorisé ta zone dans les vues ?

On est bien d'accord que l'enregistrement ns est obligatoire, juste?

Le fait que j'ai rajouté srv01 c'est parce-que si je tape son ip 172.16.1.1 dans un navigateur il doit me rediriger vers srv01.domaine.extension histoire d'arriver au dsm, mais si je dois faire ça autrement pas de soucis. Par contre effectivement je vois que je n'avais pas autorisé la zone reverse dans ma vue pour le lan.

Du coup je l'ai modifié depuis mon boulot mais je devrais tester la résolution en rentrant car je n'ai pas accès aux pc d'ici... :)

[Fenrir]

Une zone inverse c'est comme une zone direct, il lui faut un NS.

ps : il s'agit bien ici de round-robin : on demande le nom derrière une ip, on a 2 réponses possibles, c'est juste rarement nécessaire et ici ça ne l'est pas du tout, ce n'est pas le DNS qui fait la redirection dans le navigateur, mais ton serveur web (à lui de dire : si le client envoi l'entête HTTP Host: 172.16.1.1, alors renvoi l'entête Location: srv01.domaine.extension

[Spi]

Bon ben voilà, vu que j'avais oublié d'autoriser la zone reverse forcément ça ne marchait pas des masses... :D J'ai aussi enlevé un PTR et récupéré le nom du serveur quand je fais mes requêtes avec nslookup.

Voilà un screen des enregistrement dans les deux zones, srv01 c'est le serveur pour y accéder directement, spi-tower un pc avec ip fixe. Je pense que ma config est bonne mais j'aimerais qu'on me confirme pour être certain.

Je pense que je vais virer le cname www.mondomaine.info parce-que je n'ai pas de site web et je ne préfère pas qu'on tombe directement sur mon nas (si je fais la partie publique), donc même si il fait doublon ça ne gêne pas. :)

[Sartog]

Bonsoir Fenrir,

Super tuto que tu as réalisé, merci à toi.

J'essais de mettre en oeuvre la partie local sur mon rt1900ac (IP LAN : 192.168.0.1) mais je dois être vraiment mauvais car ça ne fonctionne pas à partir de la Zone DNS local.

 

Cache DNS Local :

Les tests nslookup indique que cette partie fonctionne :

> nas-forum.com
Serveur :   UnKnown
Address:  192.168.0.1

Réponse ne faisant pas autorité :
Nom :    nas-forum.com
Address:  5.196.244.24

 

Zone DNS Local :

Là ça coince !

Pour faciliter le travail aux membres du foyer qui ont du mal à retenir les IP, je souhaite utiliser un nom de domaine fictif pour accéder à mes équipements (printer.local, nas1.local, jeedom.local, etc.).

Je créé ma Zone Master comme indiqué avec le Nom de domaine fictif souhaité (j'ai testé avec .local, .home, .home.lcl, sans succès).

Pour le test, je ne fais qu'un seul enregistrement de ressource :

Les tests nslookup indique une erreur :

> jeedom.mia.lcl
Serveur :   UnKnown
Address:  192.168.0.1

*** UnKnown ne parvient pas à trouver jeedom.mia.lcl : Non-existent domain

 

Les paramètres de la zone ont l'air bon :

 

Le problème vient-il de ce nom de domaine fictif (que ce soit juste .local ou .home.lcl), ou d'ailleurs ?

 

Merci par avance pour les réponses.

 

 

Modifié le 16 mai 2017 par Sartog