molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 (modifié) @.Shad. À domicile (c'est que j'appelle "Paris" pour situer géographiquement), mon routeur est la passerelle de tous mes équipements réseau. Mais mon routeur, lui, est client DHCP d'une passerelle en amont chez mon ISP. Je n'ai donc pas le sentiment que mes clients DHCP soient réellement affranchis de l'ISP dans la mesure où, tout en haut de la chaîne, il y a de toute façon mon ISP. Me trompe ? EDIT : mon routeur récupère les DNS du modem de l'ISP, quoi. Oui. Modifié le 10 novembre 2021 par molinadiaz 0 Citer
.Shad. Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 Hormis sur certains périphériques (sur certains modèles Android par exemple, où Google force ses DNS par-dessus ceux reçus par DHCP sur un réseau wifi), les DNS envoyés par le serveur DHCP seront ceux utilisés par le périphérique, point. Donc pour les clients c'est bon, pour le routeur lui-même si tu laisses l'IP du modem dans ses serveurs DNS, oui il utilisera les DNS de ton FAI car il hérite de la résolution DNS de ton modem. Si tu en spécifies d'autres il en utilisera d'autres, tout simplement. 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 il y a 5 minutes, .Shad. a dit : pour le routeur lui-même si tu laisses l'IP du modem dans ses serveurs DNS, oui il utilisera les DNS de ton FAI car il hérite de la résolution DNS de ton modem. Si tu en spécifies d'autres il en utilisera d'autres, tout simplement. @.Shad. C'est que je me tue à tenter de résoudre 😕 Je veux que mon routeur utilise mes DNS primaire et secondaire (mes NAS) au même titre qu'un client DHCP. Mais "WAN connection error!" par intermittence. 0 Citer
oracle7 Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @molinadiaz Bonjour, Si je peux me permettre, il te faut bien séparer les choses : Le serveur DHCP de ta box distribue aux périphériques qui sont connectés sur son réseau local, les serveurs DNS de ton FAI, donc entre autres à ton routeur Paris. Le serveur DHCP de ton routeur Paris distribue quant à lui aux périphériques qui sont connectés à son réseau local, les serveurs DNS que tu as installés sur ton routeur Paris via le package DNS Server et que tu as désignés dans la configuration du routeur Paris. Ce ne sont donc pas ceux de ton FAI. Donc sur le routeur Paris tu dois avoir en serveur DNS primaire le routeur Paris et en serveur DNS secondaire le routeur Madrid. En clair, chaque serveur DHCP n'intervient que sur le sous-réseau local qui le concerne. Cordialement oracle7😉 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 Bonjour @oracle7, Donc, pour vulgariser, en utilisant sur le routeur Paris les serveurs DNS de Paris + Madrid, mon ISP peut-il avoir une vue sur les DNS queries opérées sur un client DHCP du routeur Paris ? L'idée étant de faire en sorte que la réponse soit NON 😛 Cordialement, 0 Citer
.Shad. Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 (modifié) @molinadiaz Ton routeur Paris n'a pas à utiliser l'IP publique de ton NAS à Paris, il peut utiliser son IP privée directement, pourquoi passer en résolution publique ? Ce que DNS Serveur Paris ne saura résoudre, il le transfèrera aux redirecteurs (a priori tout sauf ce qui a été mis en cache et ce qui concerne ton nom de domaine, vu que tu fais autorité pour répondre). Et en deuxième DNS, l'IP publique de celui à Madrid. A Madrid tu peux faire l'inverse par exemple. Quelle zone est esclave de l'autre ? Est-ce que la modification de la zone maître entraine bien la mise à jour de la zone esclave ? EDIT : Je trouve ça non intuitif d'utiliser ta propre IP publique pour la résolution DNS de ton routeur. Une partie des problèmes pourrait venir de ce point. Modifié le 10 novembre 2021 par .Shad. 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 (modifié) @.Shad. Mon routeur Paris n'utilise pas l'IP publique de mon NAS à Paris. Je le stipulais bien plus haut, j'utilise mon IP privée à Paris sur Paris, et mon IP privée à Madrid sur Madrid. Les IP publiques ne sont utilisées que pour les DNS secondaires. Par ailleurs, Paris est esclave de Madrid et Madrid est esclave de Paris. Les MAJ sur les zones maîtres de Paris sont envoyées sur Madrid. Et les MAJ sur les zones maîtres de Madrid sont envoyées sur Paris. À ce niveau, je suis okay partout ! il y a 12 minutes, .Shad. a dit : EDIT : Je trouve ça non intuitif d'utiliser ta propre IP publique pour la résolution DNS de ton routeur. Une partie des problèmes pourrait venir de ce point. Je sens bien sur le forum que vous faites tous la confusion ! Raison pour laquelle j'essaye d'être le plus précis possible. J'ai sur mon routeur deux emplacements différents pour la gestion des DNS : Network > DHCP Server : pour paramétrer les DNS distribués à mes clients DHCP. Ça, c'est fait et ça fonctionne très bien. Mes clients DHCP à Paris utilisent Paris primaire (IP privée) + Madrid secondaire (IP publique). Mes clients DHCP à Madrid utilisent Madrid primaire (IP privée) + Paris secondaire (IP publique). Bref tout est okay ! Network > Internet : pour paramétrer les DNS de mon routeur. Il est impossible d'utiliser des IP privées à ce niveau (le routeur ne le permet pas). Je ne peux utiliser que des IP publiques. Souhaitant que mon routeur s'affranchissent des DNS de mon ISP, je me suis dit que j'allais y encoder les IP publiques de mes DNS Paris + Madrid. Mais cela provoque des bugs. Modifié le 10 novembre 2021 par molinadiaz 0 Citer
oracle7 Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @molinadiaz Bonjour, il y a 17 minutes, molinadiaz a dit : mon ISP peut-il avoir une vue sur les DNS queries opérées sur un client DHCP du routeur Paris ? Tu donnes toi-même la réponse : c'est NON. Tout au plus pour ton FAI, les requêtes DNS d'un client de ton routeur Paris, sont noyées dans le flux cryptés qu'il voit passer entre lui et ton routeur Paris. Toutes tes requêtes DNS passent par tes serveurs DNS et comme te l'a dit justement @.Shad., s'ils ne savent pas les résoudre, elles ont alors renvoyées aux redirecteurs externes (par ex FND, Cloudfare, Qwant, etc ...) qui ne doivent être en au cas les serveurs DNS de ton FAI si tu veux être indépendant de celui-ci. Cordialement oracle7😉 0 Citer
.Shad. Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @oracle7 Attention que par défaut, le trafic DNS (port 53) n'est pas chiffré, c'est aussi le cas de DNS-over-HTTPS, sauf que le trafic étant noyé dans le flux sur le 443, il est quasi impossible de l'analyser, d'où le fait qu'on considère ce protocole "sécurisé", contrairement à DNS-over-TLS, où là c'est usuellement le port 853 qui est utilisé, et où le trafic est effectivement chiffré. A ma connaissance, DNS Server (sur DSM) ne permet ni DoT ni DoH. 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @.Shad. Il y a 4 heures, .Shad. a dit : Est-ce que tu as pris soin d'avoir un 3ème serveur de nom via un hébergeur autre ? Pourquoi parlais-tu de ceci ? Je ne comprends pas l'utilité d'un 3ème serveur. Par ailleurs, si on pouvait aussi m'expliquer comment accéder aux requêtes DNS d'un client DHCP sur un Synology ? Le paquet DNS Server ne permet pas ça 😕 J'ai bien tenté de retrouver des logs en SSH mais rien vu .. Merci, les gars ! 0 Citer
oracle7 Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @.Shad. Tu as parfaitement raison pour le non chiffrement du flux DNS à la base et quand je parlais de requêtes noyées dans le flux crypté, je sous-entendais effectivement le flux global sur le port 443. il y a 14 minutes, .Shad. a dit : A ma connaissance, DNS Server (sur DSM) ne permet ni DoT ni DoH. C'est pour cela que je passe par le couple NextDNS/YogaDNS pour bénéficier de la DoH avec SRM sur mon routeur. Et garanti, cela est super efficace et transparent ! Cordialement oracle7😉 0 Citer
.Shad. Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 (modifié) il y a 21 minutes, molinadiaz a dit : Pourquoi parlais-tu de ceci ? Je ne comprends pas l'utilité d'un 3ème serveur. Imagine un problème avec DNS Server, ça touchera aussi bien ton NAS à Paris qu'à Madrid. Et ton domaine ne pourra plus être résolu publiquement, sauf pour les endroits où le cache sera encore actif. Avoir un serveur de nom délocalisé chez un hébergeur type Cloudflare, Hurricane Electric ou d'autres permet une vraie redondance. il y a 21 minutes, molinadiaz a dit : Par ailleurs, si on pouvait aussi m'expliquer comment accéder aux requêtes DNS d'un client DHCP sur un Synology ? Le paquet DNS Server ne permet pas ça 😕 J'ai bien tenté de retrouver des logs en SSH mais rien vu .. Pour ce genre de choses c'est la commande tcpdump qu'il faut utiliser, ou Wireshark via Docker en mode host. C'est de l'analyse de trames qui te donne ces informations, il n'y a pas de logs pour ce type de requêtes. Modifié le 10 novembre 2021 par .Shad. 0 Citer
Jeff777 Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @molinadiaz Quelque chose qui demeure flou. Tu utilises un nom de domaine ou deux noms de domaine. Je suppose que c'est 2 puisque tu as une zone principale sur chaque nas et une zone secondaire qui est l'esclave de la zone principale du second. C'est bien cela ? En résumé : nas1 IP1 héberge zone principale ndd1(avec ndd1 A IP1) et zone slave ndd2 nas2 IP2 héberge zone principale ndd2(avec ndd2 A IP2) et zone slave ndd1 Peux-tu nous mettre l'image de tes zones principales (en remplaçant IP et domaines par ce qui précède) ? 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 il y a 18 minutes, .Shad. a dit : Imagine un problème avec DNS Server, ça touchera aussi bien ton NAS à Paris qu'à Madrid. Tu veux parler ici d'un problème avec le paquet DNS Server de Synology à proprement parler ? @.Shad. @Jeff777 Oui, 2 noms de domaine ! Et le schéma que tu viens de résumer est le bon. C'est effectivement ma configuration ! J'imagine qu'elle te semble okay ? 0 Citer
.Shad. Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @molinadiaz Oui, si problème avec DSM ou DNS Server, comment tu fais pour tes noms de domaine ? 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @.Shad. Réutilisation des DNS par défaut de l'ISP le temps que DSM/DNS Server soit up. Je ne m'en fais pas trop pour ça. 0 Citer
.Shad. Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @molinadiaz Je parle pas de ton réseau, mais de l'accès du monde extérieur à ton nom de domaine. Si plus de serveur de nom actif, tu accèdes comment à chez toi depuis l'extérieur ? 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @.Shad. Bah, via connexion VPN sur adresse IP plutôt que sur nom de domaine ! Mes IP ne changent pas (sauf si modem ISP down pendant plus de 4 heures, environ). 0 Citer
oracle7 Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @molinadiaz Bonjour, Au final, ta configuration telle que rappelée précédemment par le schéma de @Jeff777, elle marche ou pas ? Car j'ai l'impression que l'on glause beaucoup autour cela. Sauf à faire la même erreur que toi et j'aurai alors aussi raté un truc, pour moi ta redondance de serveur DNS est bien effective avec des serveurs DNS bien distincts sur des machines bien distinctes elles aussi. Donc si un serveur DNS tombe, l'autre (désigné secondaire) reçoit la requête et répond en donnant la bonne route que l'on soit en local ou depuis l'extérieur, non ? Cordialement oracle7😉 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 il y a 3 minutes, oracle7 a dit : Au final, ta configuration telle que rappelée précédemment par le schéma de @Jeff777, elle marche ou pas ? @oracle7 Elle fonctionne parfaitement ! J'ai vraiment zéro soucis. Mes clients DHCP utilisent mes DNS bien distincts sur des machines bien distinctes. Si un DNS primaire tombe, le secondaire prend le relais. Le seul truc que je voulais, c'était mon routeur sur des DNS autres que ceux de l'ISP, mais c'est touchy donc tant pis. 0 Citer
oracle7 Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @molinadiaz Bonjour, il y a 14 minutes, molinadiaz a dit : Le seul truc que je voulais, c'était mon routeur sur des DNS autres que ceux de l'ISP, mais c'est touchy donc tant pis. Tant que ton routeur sera derrière une box, tu n'auras pas le choix, il héritera obligatoirement via le DHCP de la box, des serveurs DNS de ton FAI. Maintenant, si ton routeur peut remplacer ta box et accueillir un serveur DNS alors tu seras indépendant, mais là c'est pas n'importe quel routeur qui peut faire cela et là effectivement tu as raison c'est "touchy" à mettre en place (du moins pour le remplacement de la box). Cordialement oracle7😉 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 (modifié) @oracle7 Après si vous me dites que les requêtes DNS de mes clients DHCP sont invisibles aux yeux de l'ISP, moi ça me va ! Ça me réconforte déjà dans mon idée d'indépendance. EDIT : Y'a vraiment des routeurs qui peuvent physiquement remplacer une box ? Perso, je me suis toujours mis en bridge derrière la box de l'ISP mais j'ai jamais su qu'on pouvait physiquement supprimé la box d'un ISP pour n'avoir qu'un seul et unique périphérique (routeur). C'est possible chez quel ISP, ça ? EDIT 2 : après, si mes clients DHCP utilisent actuellement la résolution des noms de mes propres DNS .. qui donc utilise la résolution des noms depuis les DNS de l'ISP ? Le routeur, vraiment ? Modifié le 10 novembre 2021 par molinadiaz 0 Citer
PiwiLAbruti Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 À moins que les requêtes DNS soient chiffrées (DoH, DoT, ...), ton FAI a toujours la possibilité de voir le contenu des requêtes DNS. Que tu héberges ton propre serveur DNS ou non ne change rien. 0 Citer
molinadiaz Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 @PiwiLAbruti Ah ?! Par quel(s) procédé(s) l'ISP parvient-il à faire cela ? À cause de leur box (et donc de leurs serveurs DNS) en amont du routeur ? 0 Citer
PiwiLAbruti Posté(e) le 10 novembre 2021 Posté(e) le 10 novembre 2021 Le trafic DNS n'est pas chiffré par défaut. Donc, tout ton trafic internet traversant le réseau de ton FAI, ce dernier peut techniquement capturer toutes les requêtes DNS de ses clients (et pas que). Il y a tout un tas de possibilités (mirroring sur les équipements de commutation/routage interne, et/ou proches du peering, ...), mais légalement le FAI n'a le droit d'y procéder que sous requête de la justice, des services de renseignement, ... 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.