[TUTO] DNS Server

[oracle7]

@molinadiaz

Bonjour,

Il y a 1 heure, molinadiaz a dit :

Qu'est-ce qu'un hébergeur comme OVH ou o2switch a de plus que nous ?

Eux apportent la sécurité des échanges mails si je puis dire alors que n'importe quel malfaisant peut très bien créer son serveur de Mails et inonder tout le monde avec des spams. Ils garantissent que l'@ de l'expéditeur indiquée est bien celle qui a émis le mail et donc qu'elle n'a pas été usurpée. C'est pour cela qu'ils imposent un certain nombre de règles notamment dans le formatage des entêtes de mails (avec les SPF, DMARC et DKIM par ex) afin d'éviter le spam et garantir l'authenticité des mails.

Il y a 1 heure, molinadiaz a dit :

Moi, ce que je cherche à faire, in fine, c'est l'hébergement de mon propre serveur mail avec ma propre boîte mail sans dépendre de quoi que ce soit. Pas possible ?

Bien sûr que oui, je le fait personnellement et suis complétement autonome sur ce point. Regardes et adaptes si besoin ce TUTO à tes spécificités. Tu y trouveras aussi des réponses à ta seconde question. Je ne peux te dire mieux.

Cordialement

oracle7😉

[molinadiaz]

Bonjour @oracle7,

J'ai l'impression de tourner fou.

il y a 31 minutes, oracle7 a dit :

Bien sûr que oui, je le fait personnellement et suis complétement autonome sur ce point.

Comment est-il possible de faire tourner un serveur mail à la maison si, plus haut, l'on me spécifiait (tu en faisais partie) que le reverse DNS au niveau public est impossible ?! Pour faire tourner un serveur mail correctement sans embûche, il faut que l'enregistrement "PTR" retourné corresponde à mon nom de domaine personnalisé et non à celui de mon FAI !

Or, l'on me raconte que je n'ai pas autorité avec mon serveur pour définir le reverse DNS de mon domaine !

Puis, l'on me dit que c'est quand même possible d'avoir un serveur de mail à la maison qui tourne.

Mais pour que ça tourne, il faut que l'enregistrement "PTR" retourné corresponde à mon domaine personnalisé et non à celui de mon FAI !

Or, l'on continue de me dire que je n'ai pas autorité avec mon serveur pour définir le reverse DNS de mon domaine !

Mais on me rétorque que c'est quand même possible d'avoir un serveur mail à la maison qui tourne.

Mais pour que ça tourne, il faut que l'enregistrement "PTR" ..

Tu la sens, la boucle infinie de notre discussion sans fin ? Haha !

Cordialement,

[oracle7]

@molinadiaz

Oui en toute rigueur, il faut via un reverse DNS pouvoir vérifier que l'@IP d'envoi du mail correspond bien au domaine associé (au travers de l'enregistrement MX associé au domaine), mais tout ce que je peux te dire c'est que dans mon cas avec mon serveur de mail je me passe très bien de cela, je n'ai pas pu faire cet enregistrement PTR car Orange (comme beaucoup de FAI) ne le permet pas et je n'ai aucun problème d'envoi de mails pour preuve j'ai bien le 10/10 à mail-tester.com. Voilà c'est mon REX.

Mais encore une fois, lis le TUTO suscité. Garantit il marche !

Cordialement

oracle7😉

 

 

[Jeff777]

Ce qu'oublie de dire Oracle7 c'est qu'il n'héberge pas sa zone. Toi tu essaies d'utiliser le tutoriel dns serveur jusqu'au bout. Il n'y a pas beaucoup de membres qui ont essayé d'héberger leur propre zone publique et leur serveur de mail. Je suis un des rares et je suis chez free donc le reverse proxy  j'ai pu l'enregistrer.

Si tu regardes le tutoriel de mail plus tu verras que les deux cas de figure sont traités.

Pour une zone publique non hébergée sur le nas c'est le registrar qui fourni le reverse dns je crois.

Désolé pour avoir tardé à répondre. Je suis hors de chez moi et passe par le point d'accès du tel de mon épouse en vpn et avec ma connexion déplorable à la maison. Les liens ne passent pas et j'ai mis du temps à m'en rendre compte.

[molinadiaz]

Il y a 5 heures, Jeff777 a dit :

Ce qu'oublie de dire Oracle7 c'est qu'il n'héberge pas sa zone. Toi tu essaies d'utiliser le tutoriel dns serveur jusqu'au bout. Il n'y a pas beaucoup de membres qui ont essayé d'héberger leur propre zone publique et leur serveur de mail. Je suis un des rares et je suis chez free donc le reverse proxy  j'ai pu l'enregistrer.

Bonjour @oracle7 et @Jeff777,

Oui, je me suis aussi rendu compte qu'oracle7 n'hébergeait pas sa zone quand j'ai lu sa dernière réponse. Tout s'éclaire.

Pour le reste, je ne sais pas si ça vaut la peine de contacter mon FAI pour leur exposer ma situation. Car il s'avère que mon IP est semi-fixe. En effet, il suffirait que je me mange une coupure d'électricité durant plusieurs heures ou que mon routeur soit éteint durant plusieurs heures (bref, on sait jamais ce qui peut arriver et je n'ai pas d'UPS ..), alors au redémarrage je me verrais allouer une nouvelle IP. En supposant que les techniciens de mon FAI aient réalisé l'enregistrement PTR au préalable .. la configuration ne serait de toute façon plus bonne de leur côté puisqu'il faudrait que le PTR en question pointe vers la nouvelle IP. Il faudrait réitérer l'opération chez le FAI et c'est absolument inenvisageable.

Modifié le 26 octobre 2021 par molinadiaz

[.Shad.]

Si tu as l'utilité d'un VPS d'entrée de gamme, c'est typiquement le genre de chose que tu peux tester dessus.

[molinadiaz]

Justement, @.Shad., ce que je ne comprends pas, c'est comment l'hébergeur aurait-il lui, de son côté, la main sur le PTR de son propre FAI ? L'hébergeur, quel qu'il soit, ne se retrouverait-il pas dans la même situation que moi ?

[.Shad.]

OVH possède ses propres IP.

Et a donc la main sur le reverse DNS.

Depuis l'interface d'un VPS tu peux configurer le reverse DNS de l'IP.

[molinadiaz]

@.Shad. Je vois ! Sur le principe, je cherche à ne plus dépendre de mon FAI. Si c'est pour transposer la chose en dépendant de mon hébergeur, le sens de ma démarche sera toujours un peu biaisée. Mais j'ai compris l'idée concernant l'hébergeur détenant ses propres IP. Merci 🙂

[molinadiaz]

Bonjour,

Je vous reviens toujours dans le cadre de la mise en place de mon propre NS/SOA.

Mon cache DNS local fonctionne.
Ma zone DNS locale fonctione.
Ma zone DNS publique semble fonctionner, elle aussi.

Dernière étape : changer les serveurs DNS, du point de vue de l'Internet, depuis l'interface de mon routeur de façon à ce qu'ils ne pointent plus vers les adresses IP publiques des serveurs DNS du FAI mais plutôt vers les adresses IP publiques de mes serveurs DNS.

Ce que vous voyez en rouge, c'est ce que je ne peux pas changer. Ce que vous voyez en vert, ce sont des champs paramétrables.

En vis-à-vis de Primary DNS, j'ai donc inséré l'adresse IP publique de mon NAS 1 (qui correspond, vous vous en doutez, à mon adresse IP publique en rouge !). Ce NAS 1 est situé en position géographique X (mettons Paris).

En vis-à-vis de Secondary DNS, j'ai donc inséré l'adresse IP publique de mon NAS 2. Ce NAS 2 est situé en position géographique Y (mettons Madrid).

J'ai ipconfig /flushdns sur mon poste fixe Windows 10. J'ai nettoyé les données de mon navigateur (historique, cookies, etc.). J'ai éteint mon routeur et mon PC avant de les redémarrer ensuite (pour bien jouer le truc à fond).

Problème : certains sites internet sont résolus et s'affichent correctement. D'autres mettent un certain temps à charger avant d'être considérés comme étant inaccessible :

Et l'accès à d'autres sites me redirigent immédiatement vers l'interface de mon routeur avec le message suivant :

Bref, sauriez-vous me dire de quel côté je dois checker ma conf ? Un tout grand merci !

Cordialement,

[Jeff777]

Bonjour @molinadiaz

Tes zones publiques ne vont résoudre que les adresses sur lesquelles tu as autorité c'est à dire celles de ton domaine. Sinon ce sont les résolveurs qui vont prendre la relève. 

Si les sites qui ne fonctionnent pas sont extérieurs à ton domaine essaie de changer ou d'ajouter un autre résolveur. Peut-être également en IPV6. Par exemple pour FDN:

Si ce sont les sites de ton domaine il faut vérifier les paramétrages des nas (zones, proxy inversés...)

Modifié le 9 novembre 2021 par Jeff777

[molinadiaz]

Bonsoir @Jeff777 et merci pour ta réponse !

Dans les paramètres de mon serveur DHCP du routeur, j'ai ceci :

Le Primary DNS paramétré sur 192.168.1.100, c'est l'IP locale de mon NAS. C'est bien ce qui me permet d'utiliser le résolveur local de mon NAS avec le paquet DNS Server, non ?

Mais à ce stade, je ne peux pas encore m'affranchir de mon ISP, je me trompe ? Mon ISP a toujours la main, non ?

Changer les adresses IP des serveurs DNS de mon ISP, ce n'est pas ce qu'il faut faire pour reprendre la main sur ce dernier ? Depuis le menu Network > Internet de mon routeur, j'ai en tout cas la possibilité de changer les adresses IP publiques des serveurs DNS :

À quoi cela sert-il, alors ?

En d'autres termes, si je voulais remplacer les DNS de mon ISP par les DNS de Google, c'est bien sous Network > Internet que je devrais indiquer 8.8.8.8 en vis-à-vis du Primary DNS, non ? Ce qui signifierait que ce n'est plus mon ISP qui se chargerait de la résolution mais bien Google, non ? Moi, ce que je veux, c'est que la résolution de n'importe quel nom de domaine sur Internet ne se fasse ni par mon ISP, ni par Google, mais par le paquet DNS Server de mon NAS ! C'est possible, non ? 

Cordialement,

Modifié le 9 novembre 2021 par molinadiaz

[Jeff777]

il y a 30 minutes, molinadiaz a dit :

Depuis le menu Network > Internet de mon routeur, j'ai en tout cas la possibilité de changer les adresses IP publiques des serveurs DNS :

Je ne connais pas le routeur TP-LINK. Mais oui je pense qu'il faut mettre les adresses publiques de tes DNS. Tu ne risques rien d'essayer en tout cas. 

[molinadiaz]

il y a 2 minutes, Jeff777 a dit :

Je ne connais pas le routeur TP-LINK. Mais oui je pense qu'il faut mettre les adresses publiques de tes DNS. Tu ne risques rien d'essayer en tout cas. 

C'est ce que j'ai fait, mais j'ai les bugs intermittents cités dans mon premier post de tout à l'heure .. @Jeff777

[Jeff777]

Le 29/01/2017 à 01:58, Fenrir a dit :

Si vous souhaitez héberger la résolution de votre domaine du point de vu d'Internet (donc être SOA et/ou NS), vous devez avoir une adresse IP fixe et disposer d'un second serveur DNS ailleurs.

Le 26/10/2021 à 15:48, molinadiaz a dit :

Car il s'avère que mon IP est semi-fixe

Tu n'as pas une IP fixe. Si c'est le cas tu vas te heurter à une impossibilité au mieux ça va être instable jusqu'à bugger complètement.

 

 

[molinadiaz]

Cela ne nous concerne pas ici, @Jeff777 ! Mon IP est la même depuis des années ! Pour qu'elle change, il faudrait que le modem-routeur de mon ISP soit mis hors-tension pendant plusieurs heures. Non, vraiment, le soucis est ailleurs ! Et je cherche toujours ..

EDIT : Résolu ! J'avais zappé d'ajouter mon IP publique dans la liste des adresses IP autorisées à la résolution dans le paquet DNS Server. Tout bête.

Modifié le 9 novembre 2021 par molinadiaz

[Jeff777]

J'avoue ne pas connaître les IP semi-fixes. Quel est ton FAI, si ce n'est pas indiscret 😉

[molinadiaz]

@Jeff777 Apparemment, ce n'était même pas une question d'IP à autoriser ! Je viens de remarquer que c'était les sites en "HTTP" qui posent problème. Il n'y a qu'avec eux que je rencontre des bugs de chargement. Tous les sites en HTTPS passent crème ! Tiens, tiens .. je continue d'investiguer !

[Jeff777]

il y a 21 minutes, molinadiaz a dit :

Résolu ! J'avais zappé d'ajouter mon IP publique dans la liste des adresses IP autorisées à la résolution dans le paquet DNS Server.

Je ne vois pas ce que tu veux dire. Normalement la vue WAN est paramétrée sans limite de service IP source afin de couvrir toutes les requêtes non locales et de renvoyer sur les redirecteurs en cas de non résolution par DNS serveur.

Attention si tu utilises le HSTS il y a des choses à faire ! Il y a un fil récent sur le sujet. Si tu ne trouves pas je vais regarder mais là je dois m'absenter. Bonne recherche

[Jeff777]

J'ai retrouvé le fil :

 

C'est mieux de tout lire mais en résumé :

 il faut ajouter la ligne suivante au fichier .htaccess :

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS

, cocher les cases hsts des entrées des proxy inverses et attendre que les navigateurs soient en preloading

[MilesTEG1]

Attention ce qui a été dit dans ce fil est surtout valable pour dsm 6.2… ça doit encore l’être pour dsm7 puisque je suis avec dsm 7 dans soucis, mais est-ce indispensable ? Ce je sais pas…

[Jeff777]

J'ai mis en place HSTS sur mes deux nas (dsm7, dsm6) et ça fonctionne sur les deux 😉

[.Shad.]

@molinadiaz Vu que ton serveur DHCP envoie comme DNS primaire l'IP de ton NAS pour DNS Serveur, tes clients DHCPs' affranchissent déjà des DNS de ton FAI.
Pour ton routeur, lui n'est pas soumis au serveur DHCP et a dons ses propres DNS. Par défaut il les récupère par DHCP, soit depuis ta box, soit depuis ce qui est en amont, donc la passerelle (le FAI). Ou alors statiquement, où tu définis les IP de DNS à utiliser.

Tu peux très bien y mettre les IP de Google ou autre si tu le veux directement.
Ton serveur DNS sera juste utilisé en tant que domaine faisant autorité quand la requête concerne ton nom de domaine.

Est-ce que tu as pris soin d'avoir un 3ème serveur de nom via un hébergeur autre ?
Ce n'est pas forcément une bonne idée selon moi d'héberger l'intégralité de ses serveurs de nom.

Modifié le 10 novembre 2021 par .Shad.

[molinadiaz]

Bonjour @.Shad.

J'ai fait un test sous Network > DHCP Server (toujours le réseau, mettons, Paris) :

1. DNS Primaire : IP locale du NAS à Paris.
2. DNS Secondaire : IP publique du NAS à Madrid

Si je coupe le serveur DNS primaire, je peux toujours avoir la résolution des noms grâce au serveur DNS secondaire de Madrid. Lorsque je coupe le serveur DNS à Madrid, plus aucune résolution de nom n'est possible. Top, ça marche, on dirait que mes clients DHCP sur le réseau Paris utilisent bel et bien mes serveurs DNS, comme tu l'as souligné.

Ma question : si mon routeur fait passerelle sur le réseau Paris .. mais que ce dernier utilise ses propres DNS récupérés au préalable par DHCP sur sa propre passerelle (celle du FAI), puis-je en déduire que mes propres clients DHCP ne sont pas parfaitement et complètement affranchis du FAI ?

Il y a 2 heures, .Shad. a dit :

Est-ce que tu as pris soin d'avoir un 3ème serveur de nom via un hébergeur autre ?
Ce n'est pas forcément une bonne idée selon moi d'héberger l'intégralité de ses serveurs de nom.

Un 3ème serveur ? Oula, non ! 2 serveurs, un primaire à Paris et un second à Madrid, ne sont pas suffisants ? Il faudrait que les 2 tombent en panne en même temps pour que je sois down.

[.Shad.]

il y a 14 minutes, molinadiaz a dit :

Ma question : si mon routeur fait passerelle sur le réseau Paris ..

Tu veux dire qu'il récupère les DNS sur le modem en amont ?