[TUTO] DNS Server

[olivierm83]

Merci pour tes explications.
je vais le laisser désactivé et je verrais bien si cela me pose un soucis sur mon utilisation habituel.
Et si c'est le cas, je pense donc que dois simplement ajouter les règles de redirection de port nécessaire dans mon routeur, comme je l'ai fait pour mon NAS pour l'accès depuis l'extérieur.

Merci encore pour ton aide

[firlin]

Bonjour

Quand je vais dans le journal du serveur DNS Server j'ai ça

 Warning zone 'XXXXXXX.ovh' allows updates by IP address, which is insecure

c'est grave ?

 

[.Shad.]

A priori, sans l'utiliser, je dirais que c'est parce que par défaut, le paquet DNS Server permet la mise à jour d'une zone depuis un autre périphérique basé sur son IP.

Généralement on fait en sorte d'utiliser des clés pour faire ça (le serveur contenant la zone maître autorise la modification de la zone pour les serveurs disposant d'une clé donnée). C'est recommandé en cas d'un serveur distant (typiquement on héberge sa zone DNS publique, et on a un NS chez un prestataire pour la redondance en cas de perte de connexion internet), mais ça n'a pas d'utilité en local pour une zone locale.

[anorec]

J'ai eu ce problème et je crois avoir lu la solution ici pour se débarrasser de l'avertissement:

Il suffit de cocher 'Limiter la mise à jour de zone' dans les paramètres de la zone.

[firlin]

Merci pour l'info @anorec (du moins en partie car j'ai parcouru une parti de la section

L'explication est ici et en suivant

 

[StéphanH]

Bon ... j'ai décidé de me lancer !!!
J'espère que Fenrir est en forme ... va y avoir du boulot, je n'y connais rien.

Bon, je compte installer ce truc sur mon 218+ (sans IP publique pour l'instant, mais ce ne devrait plus tarder)
J'ai un DDNS Synology pour ce site.
Je souhaite également pouvoir utiliser un nom local (je pensais pourvoir ajouter des "enregistrements" dans ".local" mais il est indiqué qu'il ne faut pas utiliser .local ...
J'envisage donc de créer un ".campagne" pour ce site, et un ".maison" pour attaquer le LAN du 718+ (NAS principal qui est aussi serveur VPN du NAS de  la campagne ...). j'aimerai pouvoir à terme utiliser des noms du type https://unifi.campagne au lieu de <IPduNAS>:8443, mais aussi joindre mes machines de la maison depuis la campagne en tapant par exemple vnc://<Mon Mac>.maison

Je pensais donc créer une zone master pour mon DDNS <nom>.synology.me, et deux slaves "campagne" et "maison"

Jusque là, jai bon ?

[Jeff777]

il y a 53 minutes, StéphanH a dit :

Je pensais donc créer une zone master pour mon DDNS <nom>.synology.me, et deux slaves "campagne" et "maison"

Bonjour @StéphanH. Un zone slave te donnera les même enregistrements que la zone master. C'est une recopie de la zone master sauf qu'elle se trouve sur un serveur différent. 

Je ne suis pas certain de comprendre ce que tu veux faire, mais je pense qu'en utilisant que des zones master tu as plus de chance d'y arriver.

[StéphanH]

Merci @Jeff777,

je déduis de ta réponse que j’ai n’ai pas bien compris la définition de la zone master par rapport à l’esclave.

je pensais que la zone esclave héritait des paramètres du master. Cela l’arrangeait vu qu’au final ma zone Campagne est identique à celle de mon DDNS. 

Je me suis trompé ?

 

[Jeff777]

C'est peut-être cela que j'ai mal compris. oui si elles sont identiques elles peuvent être master/slave mais comment peuvent-elles l'être si elles n'ont pas le même ndd ? 

[StéphanH]

En fait, je pensais que la zone portant le NDD « officiel » de Synology (.Synology.me) était le master, et que je pouvais y rattacher le slave « campagne » qui est un nom purement local mais qui dispose d’exactement des mêmes propriétés.

Qu’ais-je mal compris ?


(Rédigé avec Tapatalk)

[Jeff777]

Salut @StéphanH

Dans une zone tous les enregistrements porteront le ndd. Tu peux avoir maison.tartanpion.synology.me  si tartanpion.synology.me est le ndd que tu as défini pour la zone.

Tu ne peux pas définir une zone avec synology.me car ce domaine ne t'appartient pas.

Une zone slave portera exactement les mêmes enregistrements recopies du master. Ils ne peuvent être modifiés que par le master.

Essaie de faire une zone privée et tu comprendras. 

 

Modifié le 26 février 2021 par Jeff777

[StéphanH]

Il y a 4 heures, Jeff777 a dit :

Salut @StéphanH

Essaie de faire une zone privée et tu comprendras. 

Merci @Jeff777

je ne vois rien qui parle de zone privée dans le tutoriel ...
Tu as une piste pour me guider ?

[.Shad.]

@StéphanH Zone privée = zone locale

[StéphanH]

merci @.Shad.

je ne vois pas de zone locale ....

 

De ce que je comprends, j'aurai trois zones master, une qui porte sur mon "vrai" DDNS, et deux autres sur des noms locaux (Domicile et Campagne).

Est-ce bien cela ?

Modifié le 26 février 2021 par StéphanH

[Jeff777]

Je vois que tu n'as pas lu le tuto de Fenrir de façon approfondie 😉

Zone privée ou locale c'est la première partie du Tuto. Celle qui est dite la plus accessible. 

Il y a 3 heures, StéphanH a dit :

De ce que je comprends, j'aurai trois zones master, une qui porte sur mon "vrai" DDNS, et deux autres sur des noms locaux (Domicile et Campagne).

Je ne comprends pas ce que tu entends par noms locaux. Ce sont des noms de domaines avec des IP publiques différentes de celle de ton DDNS ?

Ton DDNS est lié à une adresse IP publique celle de ta box ou routeur. Essaie déjà de faire un Zone locale sur le nas qui se trouve sur le même LAN en suivant le tuto de Fenrir.

[StéphanH]

Merci @Jeff777

Effectivement, le terme Zone locale est écrit tellement gros que je ne l'ai pas vu ...

Ok pour la zone master de mon DDNS. Je l'ai crée (mais pas encore activée comme DNS sir mon routeur)

N'ayant pas encore d'IP publique, c'est en fait une zone à usage privée et purement locale qui m'intéresse.

en gros, je crée une zone "campagne" qui me permettra d'adresser en local mes é&quipement par <truc>.campagne au lieu de 192.168.bidule.

Cette zone "Campagne" est bien une zone paster, on est ok ?

et je l'intègre également dans la "Vue" ? (dont je n'ai pas encore compris le rôle ...)

 

[Jeff777]

 

Il y a 2 heures, StéphanH a dit :

N'ayant pas encore d'IP publique,

Tu as forcément une IP publique (l'adresse de ta box ou de ton routeur sur internet) quelle soit fixe ou dynamique. Tu veux dire pas encore de domaine ?

Mais tu as raison, même sans domaine tu peux créer une zone locale d'après le tuto en créant bien une zone master.

Une zone slave tu ne peux la créer qu'à partir d'une zone master existante puisqu'il s'agit d'une recopie de celle-ci. 

Avec DNS serveur tu peux créer des vues. Celles-ci orientent les requêtes (url) qui arrive au DNS vers telle ou telle zone.

En général c'est orienté:

1 requête provenant du LAN (192.168.x.x, etc..voir tuto)

2 requête venant d'internet : les autres.

Un requête arrive et teste chaque vue dans l'ordre. Elle s'arrête sur la première vue qui correspond à l'adresse IP de l'origine de la requête et sera dirigée vers la zone correspondante dans l'onglet vue .

En générale on nomme les vues LAN et WAN. La vue LAN oriente vers la zone locale, la vue WAN vers la zone publique.

Tu n'est pas obligé de te servir des vues si tu n'as qu'une zone locale.

Si tu lis le tuto de Fenrir (plusieurs fois j'en conviens) tu comprendras la démarche. Je peux difficilement t'expliquer mieux.

 

Modifié le 26 février 2021 par Jeff777

[StéphanH]

Merci @Jeff777 c’est très clair.

J’ai un routeur 4G sur le réseau SFR sans IP publique (a ma connaissance, seul Orange attribue des IPv6 publiques à ses clients).

Mais je serai bientôt éligible à la fibre ... j’anticipe ...

C’est tes clair également pour les zones. Cela me permettra le cas échéant d’avoir un comportement différent pour le trafic entrant VPN depuis la zone maison vers la zone campagne.

Je vais tester ça ...


Rédigé avec Tapatalk

Modifié le 27 février 2021 par StéphanH

[Jeff777]

il y a 43 minutes, StéphanH a dit :

J’ai un routeur 4G sur le réseau SFR sans IP publique (a ma connaissance, seul Orange attribue des IPv6 publiques à ses clients).

Ah je n'ai jamais pratiqué 😉

[StéphanH]

Bon, on approche ...

J'ai donc configuré ma zone master locale ...

et je renvois donc https://homebridge.<nas>.<zone locale> vers https://<nas>.<zone locale>.

Mais comment lui expliquer que homebridge doit arriver sur le port 8581 ? sachant que je n'ai  pas envie de taper le N° de port dans l'URL.

[.Shad.]

C'est le proxy inversé qui se charge de ça. 😉

[StéphanH]

merci @.Shad.

Je ne comprends toutefois pas comment le Serveur DNS et le proxy inversé interagissent.

Que dois-je mettre dans le proxy ? HomeBrige.<home> (port 443) => HomeBridge.<home> (port 8581) ?

[Arsach]

Il y a 18 heures, StéphanH a dit :

Bon, on approche ...

J'ai donc configuré ma zone master locale ...

et je renvois donc https://homebridge.<nas>.<zone locale> vers https://<nas>.<zone locale>.

Mais comment lui expliquer que homebridge doit arriver sur le port 8581 ? sachant que je n'ai  pas envie de taper le N° de port dans l'URL.

Je ne suis pas sûr que le mot "renvois" soit adapté, disons plutôt que https://homebridge.<nas>.<zone locale> est un alias de https://<nas>.<zone locale>.

il y a une heure, StéphanH a dit :

merci @.Shad.

Je ne comprends toutefois pas comment le Serveur DNS et le proxy inversé interagissent.

Que dois-je mettre dans le proxy ? HomeBrige.<home> (port 443) => HomeBridge.<home> (port 8581) ?

On parle toujours d'un accès local ? Si c'est bien le cas ça devrait marcher :

- Tu tapes https://HomeBrige.<home> (port 443) dans ton navigateur

- Ton ordi interroge le DNS du NAS qui lui indique que  HomeBrige.<home> est un alias de <nas>.<home> qui pointe vers l'ip de ton nas

- Du coup ton nas reçoit une requête https://HomeBrige.<home> (port 443) et il lui applique le proxy inversé qu'il redirige vers http://HomeBridge.<home> (port 8581)

########################################################################################""

J'en profite pour poser une petite question dont je n'arrive pas à avoir la réponse.

Avant toute chose, merci pour ce super tuto et pour toutes les contributions de ce fil : instructif, fourni et réactif !

Bon voilà mon problème :

Je possède un nom de domaine : ndd.com qui est redirigé vers mon adresse IP fixe

J'ai mis en place un DNS local sur ce nom de domaine en suivant le tuto.

J'ai donc des enregistrements de ce type au niveau de ma zone master

- ndd.com.   NS  ns.ndd.com.

- www.ndd.com. CNAME ns.ndd.com

- ns.ndd.com. A  ipDeMonNas

J'accède à mon Nas en local au travers de l'url : ns.ndd.com ou www.ndd.com

Il y a-t-il un moyen d'accéder à mon Nas en local au travers de l'url ndd.com (sans le www) ?

Impossible de le mettre en place. J'imagine qu'il y a une bonne raison pour cela -> je suis preneur de l'explication.

 

Merci

Modifié le 5 mars 2021 par Arsach

[.Shad.]

Il y a 4 heures, Arsach a dit :

On parle toujours d'un accès local ? Si c'est bien le cas ça devrait marcher :

- Tu tapes https://HomeBrige.<home> (port 443) dans ton navigateur

- Ton ordi interroge le DNS du NAS qui lui indique que  HomeBrige.<home> est un alias de <nas>.<home> qui pointe vers l'ip de ton nas

- Du coup ton nas reçoit une requête https://HomeBrige.<home> (port 443) et il lui applique le proxy inversé qu'il redirige vers http://HomeBridge.<home> (port 8581)

Attention, tu ne peux pas avoir le même sous-domaine HomeBridge pour le proxy et pour sa cible. Mais je pense que c'est une coquille, tu as effectivement saisi le principe.

Prenons un exemple simple :

nas.local         A         192.168.0.100
rp.local          A         192.168.0.100
raspberry.local   A         192.168.0.101
moments.local     CNAME     rp.local
homebridge.local  CNAME     rp.local

Je dis que nas.local renvoie vers l'IP locale de mon NAS.
Je dis que le proxy inversé rp.local peut-être joint sur l'IP 192.168.0.100, qui se trouve être celle de mon NAS. Mon proxy inversé pourrait être sur n'importe quel autre périphérique du réseau.
J'ai aussi un Raspberry Pi que j'ai ajouté dans mon serveur DNS.
Vu que je compte faire passer Moments et HomeBridge par le proxy inversé, je vais les faire pointer vers le proxy inversé.

Pour que le proxy inversé fonctionne, il faut donc que lorsque je tape moments.local, c'est vers lui que ça aille, c'est bien le cas ici. Donc il attend gentiment sur son port 443 (par commodité, pour ne pas taper de port derrière le nom de domaine, rien n'empêche de mettre autre chose), et HO !

https://moments.local:443 => C'est pour moi ça !

Pourquoi ? parce qu'il a une entrée du type :

Dans source on a bien ce à quoi il doit réagir.
Dans destination, ce vers quoi il va rediriger en backend.
HTTP car on a pas besoin de chiffrer entre le NAS et le NAS, le chiffrement se fait avant d'arriver au proxy inversé.
Localhost car le hasard fait que le proxy inversé est sur le NAS, et que Moments, je voudrais atteindre un service du Raspberry Pi, je mettrais son IP ou raspberry.local
10004 car c'est le port personnalisé par défaut pour Moments dans le portail des applications.

Pour revenir au serveur DNS, il faut bien différencier les noms qu'on lie à des périphériques (nas.local et raspberry.local) et les noms qu'on lie à des services (moments.local et homebridge.local) quand on passe par un proxy inversé...

Sans proxy il n'y a pas besoin, car on se contente de mettre le nom du périphérique, suivi du port de l'application. Ici forcément ça ne suffit plus, vu qu'on interroge tout sur le même port, on différencie donc par le nom de domaine qu'on donne, et cela doit donc être inscrit dans la zone DNS.

Modifié le 5 mars 2021 par .Shad.

[Arsach]

En effet, petite coquille : il faut rediriger sur un autre sous domaine ou sur l'adresse IP directement (dans les deux cas en précisant le port cible)

 

J'en profite pour poser une petite question dont je n'arrive pas à avoir la réponse (déjà postée ci-dessus mais noyée dans mon post)

Avant toute chose, merci pour ce super tuto et pour toutes les contributions de ce fil : instructif, fourni et réactif !

Bon voilà mon problème :

Je possède un nom de domaine : ndd.com qui est redirigé vers mon adresse IP fixe

J'ai mis en place un DNS local sur ce nom de domaine en suivant le tuto.

J'ai donc des enregistrements de ce type au niveau de ma zone master

- ndd.com.   NS  ns.ndd.com.

- www.ndd.com. CNAME ns.ndd.com

- ns.ndd.com. A  ipDeMonNas

J'accède à mon Nas en local au travers de l'url : ns.ndd.com ou www.ndd.com

Il y a-t-il un moyen d'accéder à mon Nas en local au travers de l'url ndd.com (sans le www) ?

Impossible de le mettre en place. J'imagine qu'il y a une bonne raison pour cela -> je suis preneur de l'explication.

 

Merci