Aller au contenu

[TUTO] DNS Server


Fenrir

Messages recommandés

il y a 51 minutes, Jeff777 a dit :

Bonjour @axb  xxxxx.synology.me:5000 dans le navigateur devrait te mener au DSM.

Si c'est le cas il faudra faire un proxy inversé pour qu'une adresse telle que dsm.xxxxx.synology.me te dirige vers le dsm sans mettre le port. Mais ça fait une longue adresse c'est mieux d'avoir son propre domaine.

L'adresse xxx.synology.me:yyyy (port de dsm changé) ne répond pas.

L'adresse xxx.synology.me (port https 443 par défaut) renvoie sur l'ip publique (interface de la box)

il y a une heure, Juan luis a dit :

Effectivement ma remarque ne concernait que le serveur DHCP, pour la partie DNS, je suis nul et personnellement je préfère utiliser des adresses IP.

 

Bon courage

Merci !

il y a 48 minutes, .Shad. a dit :

On va déjà voir si le serveur DHCP envoie correctement l'adresse du NAS en tant que serveur DNS, si tu es sous Linux tu peux taper :


cat /etc/resolv.conf

Sinon dans Windows, on peut faire un bête nslookup :


nslookup www.google.fr

 

Voici la réponse à la requête (Windows)

image.png.63bbb642208bcd591d6a1d658293c9dc.png

Lien vers le commentaire
Partager sur d’autres sites

Ok ça c'est bon, c'est bien le NAS qui répond. Donc essaie de faire comme a dit @Jeff777 va sur http://xxx.synology.me:5000 (ou autre port de DSM personnalisé) ça devrait t'amener sur DSM. Et tu peux vérifier que tu es bien en local en faisant un nslookup sur xxx.synology.me, ça renverra l'IP privée de ton NAS et pas ton IP publique.

Ensuite il faudrait une impression d'écran de ton onglet proxy inversé et une pour ton entrée pour DSM en particulier.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @axb

ça c'est bon. Mais j'ai été trop vite....c'est l'adresse locale de ton nas qui manque dans ta zone :

syno.XXXXX.synology.com    A    IPLOCALEDUNAS   

et quand tu fais syno.XXXXX.synology.com:portdsm  cela devrait t'amener vers le DSM

bien sûr tu peux remplacer syno par ce que tu veux et il faut que l'IPLOCALNAS soit une adresse fixe dans ton DHCP.

Après si tu avais gardé le port standard du dsm (5000) je crois que par défaut tu n'as pas besoin de le préciser (mais je n'en suis pas très sûr....sinon il faut un proxy inverse).

Ah salut @.Shad. 😉

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777 avec ce qu'il a défini pour l'instant il n'est pas obligé de déclarer un domaine supplémentaire, son domaine racine pointe vers l'IP du NAS donc il peut déjà théoriquement accéder à DSM.

Et il a déjà mis en place un proxy inversé, mais faut déjà voir si sa zone fonctionne correctement (ça a l'air d'être le cas).

Lien vers le commentaire
Partager sur d’autres sites

@.Shad. Je ne suis pas sûr qu'il a déjà un proxy inversé:

Il y a 12 heures, axb a dit :

Ensuite, je veux mettre en place un lien adapté pour chaque application, avec le reverse proxy.

Sinon je me suis mal exprimé. Oui son domaine pointe sur l'IP du nas. Mais j'ai une zone locale quasi identique avec :

ndd  A  iplocaledunas

ndd NS ns.ndd

ns.ndd A iplocaledunas

avec en plus syno.ndd A iplocaledunas

Et je ne sais pas dire pourquoi mais  ndd:5000 ne mène nulle part et c'est syno.ndd:5000 qui mène au dsm

syno.ndd n'est pas référencé dans mes proxies inverses (c'est dsm.ndd qui dirige vers le dsm)

Bon j'ai aussi l'enregistrement *.ndd CNAME ns.ndd qui fait que tartanpion.ndd:5000 mène aussi au dsm.......je vais supprimer cet enregistrement pour voir.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 27 minutes, .Shad. a dit :

S'il a juste ça ndd doit mener au NAS, c'est obligatoire

Ah désolé je me suis viandé. Je n'ai pas l'enregistrement ndd A iplocalenasnas dans ma zone locale.

Alors ça n'explique pas pourquoi :

Il y a 10 heures, axb a dit :

L'adresse xxx.synology.me:yyyy (port de dsm changé) ne répond pas.

 

@axb

Juste un détail. Je ne sais pas si cela a une grande importance mais ça mange pas de pain :

Personnellement je mets toujours les IP fixes en dehors de la plage du DHCP et je restreins la plage.

Et essaie plutôt d'utiliser les ports standards du DSM (5000 5001).

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jeff777 a dit :

Bon j'ai aussi l'enregistrement *.ndd CNAME ns.ndd qui fait que tartanpion.ndd:5000 mène aussi au dsm.......je vais supprimer cet enregistrement pour voir.

oui sans lui je n'ai que syno.ndd:5000 qui mène au dsm mais beaucoup plus embêtant mon reverse proxy dsm.ndd ne mène plus non plus au dsm. Ce qui tend à prouver que je n'ai plus de NAT loopback !

J'ai bien une freebox qui assurait le loopback mais je l'ai mise en bridge sur mon routeur................ et avec l'enregistrement *.ndd  CNAM ns.ndd  je n'ai pas vu de différence !

J'avais vu quelque part sur le forum une solution de @oracle7 pour faire du loopback avec une box orange ce n'était pas quelque chose comme cela ?

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a 35 minutes, Jeff777 a dit :

J'avais vu quelque part sur le forum une solution de @oracle7 pour faire du loopback avec une box orange ce n'était pas quelque chose comme cela ?

La solution avec la Livebox (quelle soit en DMZ ou pas) est de tout simplement configurer une zone locale DNS avec le package DNS Serveur (voir le TUTO : DNS Server

).

Cordialement

oracle7😉😉

Lien vers le commentaire
Partager sur d’autres sites

 

il y a une heure, oracle7 a dit :

La solution avec la Livebox (quelle soit en DMZ ou pas) est de tout simplement configurer une zone locale DNS avec le package DNS Serveur

oui bien sûr c'est pas spécifique à la Livebox, j'ai confondu avec une spécificité d'une ancienne box orange je crois.

Et finalement moi qui croyait avoir du loopback avec la freebox je me suis rendu compte que non... car la box est en bridge.

Lien vers le commentaire
Partager sur d’autres sites

Oui tu as raison @oracle7 si je désactive les zones locales de mes deux nas les proxy inverses fonctionnent bien en loopback. La raison pour laquelle le reverse proxy ne fonctionnait pas était que les zones locales étaient actives mais mal paramétrées.

Edit dans ma zone locale l'adresse dsm est identique à mon reverse proxy

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Salut à tous et merci pour vos réponses !

 

Le 14/04/2021 à 07:40, .Shad. a dit :

Ok ça c'est bon, c'est bien le NAS qui répond. Donc essaie de faire comme a dit @Jeff777 va sur http://xxx.synology.me:5000 (ou autre port de DSM personnalisé) ça devrait t'amener sur DSM. Et tu peux vérifier que tu es bien en local en faisant un nslookup sur xxx.synology.me, ça renverra l'IP privée de ton NAS et pas ton IP publique.

Ensuite il faudrait une impression d'écran de ton onglet proxy inversé et une pour ton entrée pour DSM en particulier.

@.Shad., nslookup sur xxx.synology.me renvoie vers mon IP publique (dynamique).

Voici les captures du proxy inverse et des paramètres DSM :

image.png.86de1813d98653105f9a76a1748473b5.png

 

image.png.5a185a3286f6ec66ea776503cd623e34.png

Le 14/04/2021 à 07:41, Jeff777 a dit :

bien sûr tu peux remplacer syno par ce que tu veux et il faut que l'IPLOCALNAS soit une adresse fixe dans ton DHCP.

@Jeff777 Mon adresse IP locale du NAS est bien fixe dans le DHCP (routeur ASUS).

 

Le 14/04/2021 à 08:57, Jeff777 a dit :

@.Shad. Je ne suis pas sûr qu'il a déjà un proxy inversé:

Sinon je me suis mal exprimé. Oui son domaine pointe sur l'IP du nas. Mais j'ai une zone locale quasi identique avec :

ndd  A  iplocaledunas

ndd NS ns.ndd

ns.ndd A iplocaledunas

avec en plus syno.ndd A iplocaledunas

Et je ne sais pas dire pourquoi mais  ndd:5000 ne mène nulle part et c'est syno.ndd:5000 qui mène au dsm

syno.ndd n'est pas référencé dans mes proxies inverses (c'est dsm.ndd qui dirige vers le dsm)

Bon j'ai aussi l'enregistrement *.ndd CNAME ns.ndd qui fait que tartanpion.ndd:5000 mène aussi au dsm.......je vais supprimer cet enregistrement pour voir.

Jeff, j'ai essayé suite à ton conseil d'ajouter à la zone locale DNS syno.NDD A IPlocaleduNAS, cela renvoie vers mon IP publique :'(

 

Le 14/04/2021 à 09:20, Jeff777 a dit :

Juste un détail. Je ne sais pas si cela a une grande importance mais ça mange pas de pain :

Personnellement je mets toujours les IP fixes en dehors de la plage du DHCP et je restreins la plage.

Et essaie plutôt d'utiliser les ports standards du DSM (5000 5001).

J'ai restreint la plage du DHCP afin que les IP fixées soient en dehors, merci !

En revanche, cela n'a pas eu d'impact sur l'accès à mon NDD en local.

-----------

J'ai demandé un coup de pouce à l'assistance Synology. Ils disent que mon serveur DNS renvoie vers mon IP publique à cause du DDNS.

Certains d'entre vous ont une IP dynamique avec un DDNS sur le syno, avec un DNS local qui renvoie bien vers le NAS ?

Pensez-vous que déporter le DDNS sur le routeur résoudrait mon problème ?

Bon We à tous !

 

Lien vers le commentaire
Partager sur d’autres sites

 Le support Synology t'a juste donné une réponse bateau pour le coup.

il y a 28 minutes, axb a dit :

@.Shad., nslookup sur xxx.synology.me renvoie vers mon IP publique (dynamique).

Si ta zone est bien définie telle que ton impression d'écran le montrait, et qu'un nslookup www.google.fr (ou n'importe quel autre domaine) renvoie comme serveur DNS résolveur ton NAS (UnKnown / 192.168.50.92) alors je ne comprends pas que ton IP publique soit renvoyée.

Est-ce qu'on est bien d'accord que le domaine xxx.synology.me renseigné dans Panneau de configuration -> Accès externe, correspond bien au domaine renseigné sur le premier champ de ta zone :

image.png

La première étape c'est d'arrive à obtenir un renvoi d'IP privée sur ce domaine-là via un nslookup.

Pour t'assurer que la réponse ne vient pas d'un cache résiduel du DNS, tu peux te connecter en invite de commande Windows et taper :

ipconfig/flushdns

Tant que http://xxx.synology.me:64yyy ne t'envoie pas vers DSM, il ne faut pas essayer d'aller plus loin.

Pour la partie proxy inversé, il y a plein de choses qui ne vont pas, je te conseille de supprimer l'entrée que tu as créée dans Panneau de configuration -> Portail des applications -> Proxy inversé.

Et décoche la case "Rediriger ... HTTP vers HTTPS ..." dans :

image.png

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

bonsoir !

@oracle7 merci, c'est fait !

@.Shad.

il y a une heure, .Shad. a dit :

Si ta zone est bien définie telle que ton impression d'écran le montrait, et qu'un nslookup www.google.fr (ou n'importe quel autre domaine) renvoie comme serveur DNS résolveur ton NAS (UnKnown / 192.168.50.92) alors je ne comprends pas que ton IP publique soit renvoyée.

Moi non plus 😢 😢 😢

il y a une heure, .Shad. a dit :

Est-ce qu'on est bien d'accord que le domaine xxx.synology.me renseigné dans Panneau de configuration -> Accès externe, correspond bien au domaine renseigné sur le premier champ de ta zone :

Oui, tout à fait

il y a une heure, .Shad. a dit :

Pour t'assurer que la réponse ne vient pas d'un cache résiduel du DNS, tu peux te connecter en invite de commande Windows et taper :



 

Ok, fait,

il y a une heure, .Shad. a dit :

Pour la partie proxy inversé, il y a plein de choses qui ne vont pas, je te conseille de supprimer l'entrée que tu as créée dans Panneau de configuration -> Portail des applications -> Proxy inversé.

Je l'ai supprimée.

 

En revanche.

Maintenant nslookup ne me trouve pas

Modifié par axb
Ndd
Lien vers le commentaire
Partager sur d’autres sites

@axb J'ai l'impression que dans ton impression d'écran suivante :

image.png

Tu as mis dans source le domaine xxx.synology.me, et ça ne peut pas marcher ainsi.
Quand tu crées une entrée de proxy inversé, il faut que ce soit de la forme yyy.xxx.synology.me, par exemple pour accéder à dsm tu peux utiliser l'adresse dsm.xxx.synology.me.

Car pour que le proxy inversé sache où rediriger la bonne requête, il lui faut une indication, et celle-ci sera justement le sous-domaine "dsm" que tu vas indiquer dans ton adresse.

Quand il voit dsm.xxx.synology.me sur le port 443 (HTTPS), il va remarquer que ça correspond à un de ces enregistrements et rediriger comme il se doit. C'est là que survient le second problème, qui n'empêche pas le fonctionnement, mais qui est inutile, ta source est en HTTPS.

Entre le proxy inversé et le service vers lequel tu rediriges tu restes dans le même réseau local généralement, ici tu restes même sur la même machine, tu n'as donc aucune raison de chiffrer en boucle locale.

Donc dans destination, n'utilise pas le protocole et le port HTTPS, mais HTTP.
Disons au hasard que tu as choisi 64080 pour DSM HTTP et 64443 pour DSM HTTPS, tu redirigeras vers http://localhost:64080 (Il n'y a au passage aucun intérêt à masquer ces ports...).

l'adresse xxx.synology.me servira simplement à faire pointer vers ton IP publique en extérieur, et vers ton NAS localement par le serveur DNS. Il faudra ajouter dans ta zone DNS locale un enregistrement de type :

dsm.xxx.synology.me           CNAME           xxx.synology.me

Pour la zone publique, elle est gérée par Synology, qui y ajoute automatiquement les domaines demandés lors de l'obtention d'un certificat Let's Encrypt depuis ton NAS. Si tu demandes un certificat wildcard, ce sera plus simple, et tous les domaines *.xxx.synology.me pointeront vers ton IP publique, en plus que cette opération ne demande aucune ouverture de port sur ton NAS.

Ainsi si tu crées des services à la volée que tu souhaites placer derrière ton proxy, tu n'as pas besoin de redemander un certificat.

Lien vers le commentaire
Partager sur d’autres sites

  • Mic13710 a déverrouillé ce sujet
  • 3 semaines après...

Bonjour,

J'en suis à la définition de la zone DNS publique dans le tuto, chose que je n'envisage pas de faire vu sa complexité. Par contre toutes les étapes précédentes ont été réalisées.

Lorsque je teste l'accès au NAS avec les différentes commandes nslookup, une seule semble poser problème.

01-iMac:~ CyberFr$ nslookup -querytype=SOA ndd.fr
Server:	   192.168.1.254
Address:   192.168.1.254#53

** server can't find ndd.fr: NXDOMAIN

Dans Wikipedia, je lis la définition suivante à propos de SOA : « Specifies authoritative information about a DNS zone, including the primary name server, the email of the domain administrator, the domain serial number, and several timers relating to refreshing the zone. »

Je suis chez OVH et il me semble que les informations personnelles concernant le détenteur d'un nom de domaine sont anonymisées chez eux. Cela a-t-il un rapport ou faut-il que je cherche ailleurs ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.