[TUTO] DNS Server

[.Shad.]

On va déjà voir si le serveur DHCP envoie correctement l'adresse du NAS en tant que serveur DNS, si tu es sous Linux tu peux taper :

cat /etc/resolv.conf

Sinon dans Windows, on peut faire un bête nslookup :

nslookup www.google.fr

 

[axb]

il y a 51 minutes, Jeff777 a dit :

Bonjour @axb  xxxxx.synology.me:5000 dans le navigateur devrait te mener au DSM.

Si c'est le cas il faudra faire un proxy inversé pour qu'une adresse telle que dsm.xxxxx.synology.me te dirige vers le dsm sans mettre le port. Mais ça fait une longue adresse c'est mieux d'avoir son propre domaine.

L'adresse xxx.synology.me:yyyy (port de dsm changé) ne répond pas.

L'adresse xxx.synology.me (port https 443 par défaut) renvoie sur l'ip publique (interface de la box)

il y a une heure, Juan luis a dit :

Effectivement ma remarque ne concernait que le serveur DHCP, pour la partie DNS, je suis nul et personnellement je préfère utiliser des adresses IP.

 

Bon courage

Merci !

il y a 48 minutes, .Shad. a dit :

On va déjà voir si le serveur DHCP envoie correctement l'adresse du NAS en tant que serveur DNS, si tu es sous Linux tu peux taper :

cat /etc/resolv.conf

Sinon dans Windows, on peut faire un bête nslookup :

nslookup www.google.fr

 

Voici la réponse à la requête (Windows)

[.Shad.]

Ok ça c'est bon, c'est bien le NAS qui répond. Donc essaie de faire comme a dit @Jeff777 va sur http://xxx.synology.me:5000 (ou autre port de DSM personnalisé) ça devrait t'amener sur DSM. Et tu peux vérifier que tu es bien en local en faisant un nslookup sur xxx.synology.me, ça renverra l'IP privée de ton NAS et pas ton IP publique.

Ensuite il faudrait une impression d'écran de ton onglet proxy inversé et une pour ton entrée pour DSM en particulier.

Modifié le 14 avril 2021 par .Shad.

[Jeff777]

Bonjour @axb

ça c'est bon. Mais j'ai été trop vite....c'est l'adresse locale de ton nas qui manque dans ta zone :

syno.XXXXX.synology.com    A    IPLOCALEDUNAS   

et quand tu fais syno.XXXXX.synology.com:portdsm  cela devrait t'amener vers le DSM

bien sûr tu peux remplacer syno par ce que tu veux et il faut que l'IPLOCALNAS soit une adresse fixe dans ton DHCP.

Après si tu avais gardé le port standard du dsm (5000) je crois que par défaut tu n'as pas besoin de le préciser (mais je n'en suis pas très sûr....sinon il faut un proxy inverse).

Ah salut @.Shad. 😉

Modifié le 14 avril 2021 par Jeff777

[.Shad.]

@Jeff777 avec ce qu'il a défini pour l'instant il n'est pas obligé de déclarer un domaine supplémentaire, son domaine racine pointe vers l'IP du NAS donc il peut déjà théoriquement accéder à DSM.

Et il a déjà mis en place un proxy inversé, mais faut déjà voir si sa zone fonctionne correctement (ça a l'air d'être le cas).

[Jeff777]

@.Shad. Je ne suis pas sûr qu'il a déjà un proxy inversé:

Il y a 12 heures, axb a dit :

Ensuite, je veux mettre en place un lien adapté pour chaque application, avec le reverse proxy.

Sinon je me suis mal exprimé. Oui son domaine pointe sur l'IP du nas. Mais j'ai une zone locale quasi identique avec :

ndd  A  iplocaledunas

ndd NS ns.ndd

ns.ndd A iplocaledunas

avec en plus syno.ndd A iplocaledunas

Et je ne sais pas dire pourquoi mais  ndd:5000 ne mène nulle part et c'est syno.ndd:5000 qui mène au dsm

syno.ndd n'est pas référencé dans mes proxies inverses (c'est dsm.ndd qui dirige vers le dsm)

Bon j'ai aussi l'enregistrement *.ndd CNAME ns.ndd qui fait que tartanpion.ndd:5000 mène aussi au dsm.......je vais supprimer cet enregistrement pour voir.

Modifié le 14 avril 2021 par Jeff777

[.Shad.]

il y a 9 minutes, Jeff777 a dit :

ndd  A  iplocaledunas

ndd NS ns.ndd

ns.ndd A iplocaledunas

S'il a juste ça ndd doit mener au NAS, c'est obligatoire, et en précisant le port, il doit arriver sur ce qu'héberge le NAS sur ce port.

[Jeff777]

il y a 27 minutes, .Shad. a dit :

S'il a juste ça ndd doit mener au NAS, c'est obligatoire

Ah désolé je me suis viandé. Je n'ai pas l'enregistrement ndd A iplocalenasnas dans ma zone locale.

Alors ça n'explique pas pourquoi :

Il y a 10 heures, axb a dit :

L'adresse xxx.synology.me:yyyy (port de dsm changé) ne répond pas.

 

@axb

Juste un détail. Je ne sais pas si cela a une grande importance mais ça mange pas de pain :

Personnellement je mets toujours les IP fixes en dehors de la plage du DHCP et je restreins la plage.

Et essaie plutôt d'utiliser les ports standards du DSM (5000 5001).

Modifié le 14 avril 2021 par Jeff777

[Jeff777]

Il y a 2 heures, Jeff777 a dit :

Bon j'ai aussi l'enregistrement *.ndd CNAME ns.ndd qui fait que tartanpion.ndd:5000 mène aussi au dsm.......je vais supprimer cet enregistrement pour voir.

oui sans lui je n'ai que syno.ndd:5000 qui mène au dsm mais beaucoup plus embêtant mon reverse proxy dsm.ndd ne mène plus non plus au dsm. Ce qui tend à prouver que je n'ai plus de NAT loopback !

J'ai bien une freebox qui assurait le loopback mais je l'ai mise en bridge sur mon routeur................ et avec l'enregistrement *.ndd  CNAM ns.ndd  je n'ai pas vu de différence !

J'avais vu quelque part sur le forum une solution de @oracle7 pour faire du loopback avec une box orange ce n'était pas quelque chose comme cela ?

[oracle7]

@Jeff777

Bonjour,

il y a 35 minutes, Jeff777 a dit :

J'avais vu quelque part sur le forum une solution de @oracle7 pour faire du loopback avec une box orange ce n'était pas quelque chose comme cela ?

La solution avec la Livebox (quelle soit en DMZ ou pas) est de tout simplement configurer une zone locale DNS avec le package DNS Serveur (voir le TUTO : DNS Server

).

Cordialement

oracle7😉😉

[Jeff777]

 

il y a une heure, oracle7 a dit :

La solution avec la Livebox (quelle soit en DMZ ou pas) est de tout simplement configurer une zone locale DNS avec le package DNS Serveur

oui bien sûr c'est pas spécifique à la Livebox, j'ai confondu avec une spécificité d'une ancienne box orange je crois.

Et finalement moi qui croyait avoir du loopback avec la freebox je me suis rendu compte que non... car la box est en bridge.

[oracle7]

@Jeff777

Bonjour,

Y-a un truc qui m'échappe : quel est le rapport entre le mode bridge et le loopback ?

Pour moi le mode bridge ne fait que désactiver la fonction de routeur du modem / routeur, non ?

Cordialement

oracle7😉

 

[Jeff777]

Oui tu as raison @oracle7 si je désactive les zones locales de mes deux nas les proxy inverses fonctionnent bien en loopback. La raison pour laquelle le reverse proxy ne fonctionnait pas était que les zones locales étaient actives mais mal paramétrées.

Edit dans ma zone locale l'adresse dsm est identique à mon reverse proxy

Modifié le 14 avril 2021 par Jeff777

[axb]

Salut à tous et merci pour vos réponses !

 

Le 14/04/2021 à 07:40, .Shad. a dit :

Ok ça c'est bon, c'est bien le NAS qui répond. Donc essaie de faire comme a dit @Jeff777 va sur http://xxx.synology.me:5000 (ou autre port de DSM personnalisé) ça devrait t'amener sur DSM. Et tu peux vérifier que tu es bien en local en faisant un nslookup sur xxx.synology.me, ça renverra l'IP privée de ton NAS et pas ton IP publique.

Ensuite il faudrait une impression d'écran de ton onglet proxy inversé et une pour ton entrée pour DSM en particulier.

@.Shad., nslookup sur xxx.synology.me renvoie vers mon IP publique (dynamique).

Voici les captures du proxy inverse et des paramètres DSM :

 

Le 14/04/2021 à 07:41, Jeff777 a dit :

bien sûr tu peux remplacer syno par ce que tu veux et il faut que l'IPLOCALNAS soit une adresse fixe dans ton DHCP.

@Jeff777 Mon adresse IP locale du NAS est bien fixe dans le DHCP (routeur ASUS).

 

Le 14/04/2021 à 08:57, Jeff777 a dit :

@.Shad. Je ne suis pas sûr qu'il a déjà un proxy inversé:

Sinon je me suis mal exprimé. Oui son domaine pointe sur l'IP du nas. Mais j'ai une zone locale quasi identique avec :

ndd  A  iplocaledunas

ndd NS ns.ndd

ns.ndd A iplocaledunas

avec en plus syno.ndd A iplocaledunas

Et je ne sais pas dire pourquoi mais  ndd:5000 ne mène nulle part et c'est syno.ndd:5000 qui mène au dsm

syno.ndd n'est pas référencé dans mes proxies inverses (c'est dsm.ndd qui dirige vers le dsm)

Bon j'ai aussi l'enregistrement *.ndd CNAME ns.ndd qui fait que tartanpion.ndd:5000 mène aussi au dsm.......je vais supprimer cet enregistrement pour voir.

Jeff, j'ai essayé suite à ton conseil d'ajouter à la zone locale DNS syno.NDD A IPlocaleduNAS, cela renvoie vers mon IP publique :'(

 

Le 14/04/2021 à 09:20, Jeff777 a dit :

Juste un détail. Je ne sais pas si cela a une grande importance mais ça mange pas de pain :

Personnellement je mets toujours les IP fixes en dehors de la plage du DHCP et je restreins la plage.

Et essaie plutôt d'utiliser les ports standards du DSM (5000 5001).

J'ai restreint la plage du DHCP afin que les IP fixées soient en dehors, merci !

En revanche, cela n'a pas eu d'impact sur l'accès à mon NDD en local.

-----------

J'ai demandé un coup de pouce à l'assistance Synology. Ils disent que mon serveur DNS renvoie vers mon IP publique à cause du DDNS.

Certains d'entre vous ont une IP dynamique avec un DDNS sur le syno, avec un DNS local qui renvoie bien vers le NAS ?

Pensez-vous que déporter le DDNS sur le routeur résoudrait mon problème ?

Bon We à tous !

 

[oracle7]

@axb

Bonjour,

• Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy.

Cordialement

oracle7😉

[.Shad.]

 Le support Synology t'a juste donné une réponse bateau pour le coup.

il y a 28 minutes, axb a dit :

@.Shad., nslookup sur xxx.synology.me renvoie vers mon IP publique (dynamique).

Si ta zone est bien définie telle que ton impression d'écran le montrait, et qu'un nslookup www.google.fr (ou n'importe quel autre domaine) renvoie comme serveur DNS résolveur ton NAS (UnKnown / 192.168.50.92) alors je ne comprends pas que ton IP publique soit renvoyée.

Est-ce qu'on est bien d'accord que le domaine xxx.synology.me renseigné dans Panneau de configuration -> Accès externe, correspond bien au domaine renseigné sur le premier champ de ta zone :

La première étape c'est d'arrive à obtenir un renvoi d'IP privée sur ce domaine-là via un nslookup.

Pour t'assurer que la réponse ne vient pas d'un cache résiduel du DNS, tu peux te connecter en invite de commande Windows et taper :

ipconfig/flushdns

Tant que http://xxx.synology.me:64yyy ne t'envoie pas vers DSM, il ne faut pas essayer d'aller plus loin.

Pour la partie proxy inversé, il y a plein de choses qui ne vont pas, je te conseille de supprimer l'entrée que tu as créée dans Panneau de configuration -> Portail des applications -> Proxy inversé.

Et décoche la case "Rediriger ... HTTP vers HTTPS ..." dans :

Modifié le 17 avril 2021 par .Shad.

[axb]

bonsoir !

@oracle7 merci, c'est fait !

@.Shad.

il y a une heure, .Shad. a dit :

Si ta zone est bien définie telle que ton impression d'écran le montrait, et qu'un nslookup www.google.fr (ou n'importe quel autre domaine) renvoie comme serveur DNS résolveur ton NAS (UnKnown / 192.168.50.92) alors je ne comprends pas que ton IP publique soit renvoyée.

Moi non plus 😢 😢 😢

il y a une heure, .Shad. a dit :

Est-ce qu'on est bien d'accord que le domaine xxx.synology.me renseigné dans Panneau de configuration -> Accès externe, correspond bien au domaine renseigné sur le premier champ de ta zone :

Oui, tout à fait

il y a une heure, .Shad. a dit :

Pour t'assurer que la réponse ne vient pas d'un cache résiduel du DNS, tu peux te connecter en invite de commande Windows et taper :

Ok, fait,

il y a une heure, .Shad. a dit :

Pour la partie proxy inversé, il y a plein de choses qui ne vont pas, je te conseille de supprimer l'entrée que tu as créée dans Panneau de configuration -> Portail des applications -> Proxy inversé.

Je l'ai supprimée.

 

En revanche.

Maintenant nslookup ne me trouve pas

Modifié le 17 avril 2021 par axb
Ndd

[.Shad.]

On ne met pas de port dans une requête nslookup, juste un domaine. Donc tu enlèves les : et le port.

[axb]

Ca marche !!!!

Merci !

Quelles sont mes erreurs sur le proxy inversé ?

[.Shad.]

@axb J'ai l'impression que dans ton impression d'écran suivante :

Tu as mis dans source le domaine xxx.synology.me, et ça ne peut pas marcher ainsi.
Quand tu crées une entrée de proxy inversé, il faut que ce soit de la forme yyy.xxx.synology.me, par exemple pour accéder à dsm tu peux utiliser l'adresse dsm.xxx.synology.me.
Car pour que le proxy inversé sache où rediriger la bonne requête, il lui faut une indication, et celle-ci sera justement le sous-domaine "dsm" que tu vas indiquer dans ton adresse.

Quand il voit dsm.xxx.synology.me sur le port 443 (HTTPS), il va remarquer que ça correspond à un de ces enregistrements et rediriger comme il se doit. C'est là que survient le second problème, qui n'empêche pas le fonctionnement, mais qui est inutile, ta source est en HTTPS.

Entre le proxy inversé et le service vers lequel tu rediriges tu restes dans le même réseau local généralement, ici tu restes même sur la même machine, tu n'as donc aucune raison de chiffrer en boucle locale.

Donc dans destination, n'utilise pas le protocole et le port HTTPS, mais HTTP.
Disons au hasard que tu as choisi 64080 pour DSM HTTP et 64443 pour DSM HTTPS, tu redirigeras vers http://localhost:64080 (Il n'y a au passage aucun intérêt à masquer ces ports...).

l'adresse xxx.synology.me servira simplement à faire pointer vers ton IP publique en extérieur, et vers ton NAS localement par le serveur DNS. Il faudra ajouter dans ta zone DNS locale un enregistrement de type :

dsm.xxx.synology.me           CNAME           xxx.synology.me

Pour la zone publique, elle est gérée par Synology, qui y ajoute automatiquement les domaines demandés lors de l'obtention d'un certificat Let's Encrypt depuis ton NAS. Si tu demandes un certificat wildcard, ce sera plus simple, et tous les domaines *.xxx.synology.me pointeront vers ton IP publique, en plus que cette opération ne demande aucune ouverture de port sur ton NAS.

Ainsi si tu crées des services à la volée que tu souhaites placer derrière ton proxy, tu n'as pas besoin de redemander un certificat.

[Mic13710]

@Phylloxou vos interventions sont bien trop éloignées du sujet initial.

Tous vos posts et leurs réponses ont été déplacés dans ce sujet :

Vous pouvez changer le titre s'il ne vous convient pas.

[CyberFr]

Bonjour,

J'en suis à la définition de la zone DNS publique dans le tuto, chose que je n'envisage pas de faire vu sa complexité. Par contre toutes les étapes précédentes ont été réalisées.

Lorsque je teste l'accès au NAS avec les différentes commandes nslookup, une seule semble poser problème.

01-iMac:~ CyberFr$ nslookup -querytype=SOA ndd.fr
Server:	   192.168.1.254
Address:   192.168.1.254#53

** server can't find ndd.fr: NXDOMAIN

Dans Wikipedia, je lis la définition suivante à propos de SOA : « Specifies authoritative information about a DNS zone, including the primary name server, the email of the domain administrator, the domain serial number, and several timers relating to refreshing the zone. »

Je suis chez OVH et il me semble que les informations personnelles concernant le détenteur d'un nom de domaine sont anonymisées chez eux. Cela a-t-il un rapport ou faut-il que je cherche ailleurs ?

[PiwiLAbruti]

Tu cherches à résoudre l'enregistrement SOA de ta zone locale en utilisant le DNS de ta box (192.168.1.254) ?

[CyberFr]

Oui, c'est cela. Fenrir, en début de tuto indiques qu'il faut régulièrement tester nslookup pour vérifier que tout fonctionne.

[.Shad.]

Ta box ne peut pas le savoir, a priori elle a ses propres DNS. Ce qu'elle pourrait te renvoyer c'est le SOA de ta zone publique. Si tu utilises le DNS de ton NAS ça devrait fonctionner.