[TUTO] DNS Server

[oracle7]

@TuringFan

Bonjour,

ATTENTION, on s'écarte du sujet principal qui est DNS Server !

Comme tu n'en parles pas, le port 6690 pour Drive est-il bien ouvert/autorisé dans le pare-feu de ton NAS principal et bien transféré (NAT) dans ta box vers ton NAS principal ?

C'est obligatoire pour que les synchros soient efficientes.

Sinon peut-être que ce lien te sera utile, à voir ?

Comme je n'utilise plus Drive, difficile de t'en dire plus.

Cordialement

oracle7😉

Modifié le 12 février 2023 par oracle7

[Dimebag Darrell]

Bonjour tout le monde,

Je viens faire un tour sur ce tuto, 

Actuellement, j'utilise pi-hole comme DNS filtering, est-ce réellement nécessaire de configurer un autre DNS en interne ?
 

Citation

• c'est plus confortable : ça vous permet, par exemple, d'éviter de faire du loopback ou encore d'adresser vos équipements interne avec un nom au lieu d'une IP

Par rapport à ce point, j'utilise un reverse proxy (accès depuis l'extérieur), ce qui me donne aussi la possibilité de me connecter sur mes interfaces via leur nom de domaine respectif

[PiwiLAbruti]

il y a une heure, Dimebag Darrell a dit :

[...] est-ce réellement nécessaire de configurer un autre DNS en interne ?

Ta question montre que tu n'en as visiblement pas besoin. 😄

[Dimebag Darrell]

Merci @PiwiLAbruti, 

C'est simplement que ça attise ma curiosité en essayant de comprendre l'utilité d'un DNS hosté directement sur son syno

[Mic13710]

@Dimebag Darrell, il me semble pourtant vous avoir expliqué l'intérêt d'un serveur local dans un autre post. Et c'est aussi expliqué par Fenrir dans son tuto.

Si votre FAI et votre box autorisent le loopback, le serveur DNS est moins utile, bien que dans ce cas, il permet d'éviter de transiter par la box pour des requêtes locales.

Mais comme je vous l'ai expliqué, le serveur local ne peut fonctionner que si vous avez accès aux IP des serveurs DNS propagés par le DHCP de votre routeur pour pouvoir y indiquer l'adresse du NAS comme serveur principal. Sans cela, il faudra le faire au niveau des réglages des terminaux ce qui n'est pas très pratique sur des appareils nomades.

[PiwiLAbruti]

Le but est d'utiliser un nom unique (mynas.domain.tld) pour accéder au NAS. Pour cela, il faut que ce nom se résolve en l'adresse IP privée (192.168.x.y et/ou fe80::z) en local et en l'adresse IP publique depuis internet, d'où le besoin d'un serveur DNS sur le réseau local.

[Fidjial]

Bonjour

J'utilise bien le serveur DNS du NAS mais justement, comment savoir s'il ne transite pas par la box en local ?

Merci.

Il y a 16 heures, Mic13710 a dit :

Si votre FAI et votre box autorisent le loopback, le serveur DNS est moins utile, bien que dans ce cas, il permet d'éviter de transiter par la box pour des requêtes locales.

[Mic13710]

Il y a 1 heure, Fidjial a dit :

comment savoir s'il ne transite pas par la box en local ?

Dans l'invite de commande windows :

tracert <votre nom de domaine>

doit en un saut vous donner le temps de traitement, le nom et l'IP du NAS.

Si vous avez plus d'un saut dont le premier correspond à l'IP de la box, votre requête transite par la box.

Vous pouvez aussi utiliser nslookup <votre nom de domaine>

Cette commande doit vous indiquer l'adresse du serveur qui a résolu le ndd. Ce sera l'IP du NAS si le serveur local à fait son travail.

[PiwiLAbruti]

@Mic13710 Un simple nslookup nas.domain.tld est suffisant pour tester la résolution.

Il existe aussi Resolve-DnsName nas.domain.tld en PowerShell.

[Mic13710]

@PiwiLAbruti j'ai bien parlé de nslookup dans mon message 😉

[Fidjial]

Oui, c'est bien la commande nslookup qui fonctionne chez moi (Terminal Mac OS).

Server:		192.168.10.3
Address:	192.168.10.3#53

Elle indique l'IP du NAS mais pourquoi #53 ?

Sur le router, qui est en amont 192.168.10.1, ce n'est pas nécessaire d'ouvrir le port 53 ?

[PiwiLAbruti]

il y a 22 minutes, Fidjial a dit :

Elle indique l'IP du NAS mais pourquoi #53 ?

53 est le numéro du port sur lequel le serveur DNS écoute les demandes de résolution.

il y a 23 minutes, Fidjial a dit :

Sur le router, qui est en amont 192.168.10.1, ce n'est pas nécessaire d'ouvrir le port 53 ?

Non. En supposant que la zone publique de ton nom de domaine est hébergée chez ton registrar, il n'y a pas besoin d'exposer le serveur DNS local en ouvrant le port 53 sur le routeur.

[Fidjial]

Il y a 20 heures, PiwiLAbruti a dit :

En supposant que la zone publique de ton nom de domaine est hébergée chez ton registrar, il n'y a pas besoin d'exposer le serveur DNS local en ouvrant le port 53 sur le routeur.

Cela veut dire, par exemple, si j'ai bien compris, que les proxys inversés "nas.toto.fr", "tv.toto.fr"... aient un enregistrement A sur le Server DNS du synology et du registar également ?

[PiwiLAbruti]

Oui.

[Fidjial]

il y a 13 minutes, PiwiLAbruti a dit :

Oui

Merci bien.

 

Le nas a le nom de domaine "nas.toto.fr" et dessus tourne plex avec nom "plex.toto.fr" (reverse proxy)

Quand je me connecte avec un navigateur, ça fonctionne bien à l'adresse http://plex.toto.fr, par contre, quand je suis sur DSM et je clique sur l'icône de l'application Plex, une fenêtre s'ouvre avec l'adresse http://nas.toto.fr:32400 et la page ne fonctionne pas.

C'est quoi l'explication où j'aurais oublié de paramétrer quelque chose ?

[Mic13710]

Il y a 2 heures, Fidjial a dit :

quand je suis sur DSM et je clique sur l'icône de l'application

Dans ce cas, les applications s'ouvrent directement avec l'adresse et les identifiants de connexion du nas sans passer par le reverse proxy.

Par contre, je ne saurais vous expliquer pourquoi plex ne fonctionne pas pour ce type de connexion car je ne l'utilise pas. Peut-être un souci de droit utilisateur ?

[Fidjial]

En fait ça ne fonctionne pour aucune application de Synology : Audio, contacts, calendriers, note...

A chaque fois la page affiche

400 Bad Request

The plain HTTP request was sent to HTTPS port

---

nginx

[.Shad.]

Parce que tu as mis en place une redirection HTTP->HTTPS si je ne m'abuse. Essaie de te connecter en HTTPS sur DSM, ça pourrait fonctionner.

[Fidjial]

Il y a 16 heures, .Shad. a dit :

Parce que tu as mis en place une redirection HTTP->HTTPS

tu veux dire ça ?

 

Il y a 16 heures, .Shad. a dit :

Essaie de te connecter en HTTPS sur DSM

La connexion se fait bien en https dès le début sur DSM

 

Merci.

[.Shad.]

Non je parlais de la redirection via Apache, voir tutoriel sur le proxy inversé.
MAIS il ne faut pas activer la redirection HTTP>HTTPS quand on utilise un proxy inversé.

Modifié le 19 février 2023 par .Shad.

[Fidjial]

il y a 34 minutes, .Shad. a dit :

MAIS il ne faut pas activer la redirection HTTP>HTTPS quand on utilise un proxy inversé.

OK, j'ai désactivé mais les connexions sur le portail restent toujours en https

[.Shad.]

Je suis un peu perdu, tu utilises le proxy inversé pour Plex mais pas DSM ? Car si tu te connectes via https://nas.toto.fr:5010 (normalement c'est 5001, sauf si tu l'as changé), tu ne passes pas par le proxy inversé, tu passes par le port sécurisé de DSM (c'est pas gênant).

Sur ta dernière impression d'écran, tu utilises un alias pour te connecter à Calendrier, une fois de plus c'est pas le proxy inversé tel qu'on l'entend habituellement.

Si nas.toto.fr pointe bien vers l'IP locale de ton NAS ET que nas.toto.fr n'est PAS une entrée de proxy inversé, alors tu as sûrement dû mettre nas.toto.fr / 80 / 443 dans Panneau de configuration -> Accès externe -> Avancé, d'où la génération de ce lien erroné.

Essaie d'entrer l'URL https://nas.toto.fr:5010/calendrier (ou 5001, si faute de frappe dans ton dernier message)

Modifié le 19 février 2023 par .Shad.

[Fidjial]

Il y a 23 heures, .Shad. a dit :

Je suis un peu perdu, tu utilises le proxy inversé pour Plex mais pas DSM ?

Il y a effectivement un proxy inversé pour plex, l'imprimante, le router... mais pas les applications du NAS

Il y a 23 heures, .Shad. a dit :

Car si tu te connectes via https://nas.toto.fr:5010 (normalement c'est 5001, sauf si tu l'as changé)

oui, changé

Il y a 23 heures, .Shad. a dit :

tu ne passes pas par le proxy inversé, tu passes par le port sécurisé de DSM (c'est pas gênant)

oui

Il y a 23 heures, .Shad. a dit :

tu utilises un alias pour te connecter à Calendrier, une fois de plus c'est pas le proxy inversé tel qu'on l'entend habituellement.

Non, pas de proxy pour les applications, les alias dans le portail de connexion

 

Il y a 23 heures, .Shad. a dit :

Si nas.toto.fr pointe bien vers l'IP locale

oui

Il y a 23 heures, .Shad. a dit :

ET que nas.toto.fr n'est PAS une entrée de proxy inversé

SI, il est bien dans le proxy inversé également, faut pas pour y accéder ?

Il y a 23 heures, .Shad. a dit :

tu as sûrement dû mettre nas.toto.fr / 80 / 443 dans Panneau de configuration -> Accès externe -> Avancé, d'où la génération de ce lien erroné.

Non, là j'ai "toto.fr" comme nom de domaine, peut être faudrait-il mettre "nas.toto.fr", le sous-domaine ?

 

Il y a 23 heures, .Shad. a dit :

Essaie d'entrer l'URL https://nas.toto.fr:5010/calendrier (ou 5001, si faute de frappe dans ton dernier message)

OUi, ça fonctionne avec cette adresse mais pas en cliquant sur l'alias qui a l'adresse https://nas.toto.fr/calendrier/ (pas de port indiqué).

Merci encore

[.Shad.]

Il y a 3 heures, Fidjial a dit :

SI, il est bien dans le proxy inversé également, faut pas pour y accéder ?

A partir du moment où tu le mets dans une entrée de proxy inversé, s'il voit ce nom de domaine, il essaie de le rediriger vers ce pour quoi tu l'as programmé.

Ne pas oublier que https://nas.toto.fr c'est https://nas.toto.fr:443, comme tu l'as fait pour Plex.

Il y a un cafouillage quelque part, nas.toto.fr ne peut pas à la fois être une entrée de proxy inversé ET le nom de domaine que tu utilises pour te connecter à DSM ou celui utilisé avec des alias.

Donc :

- Avec quel domaine+port tu te connectes sur DSM (session depuis laquelle tu tentes d'accéder aux applis via leurs raccourcis sur le bureau)
- Tu peux faire une impression d'écran de ton entrée de proxy inversé nas.toto.fr ?

Modifié le 20 février 2023 par .Shad.

[Fidjial]

Il y a 16 heures, .Shad. a dit :

Avec quel domaine+port tu te connectes sur DSM (session depuis laquelle tu tentes d'accéder aux applis via leurs raccourcis sur le bureau)

https://nas.toto.fr:5010

 

Il y a 16 heures, .Shad. a dit :

Tu peux faire une impression d'écran de ton entrée de proxy inversé nas.toto.fr ?

Oui ce sera effectivement plus simple : voici la copie écran de tous les proxy inversé.

Tu pourras voir si c'est bien correct.