Aller au contenu

[TUTO] DNS Server


Fenrir

Messages recommandés

Si le routeur du FAI est fermé à toute modification, vous n'avez pas d'autre solution que de rajouter derrière un vrai routeur.

Deux possibilités : soit vous passez la box du FAI en bridge, soit vous y réservez une IP dans la plage pour le routeur et vous la mettez en DMZ. L'un ou l'autre fonctionne de la même manière. A vous de voir quelle configuration est la plus simple pour vous. Il est bien entendu que votre réseau privé sera dorénavant derrière votre nouveau routeur 😉

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonjour à tous,

J'ai mon routeur en DMZ de ma Livebox, celle-ci est accessible via https://192.168.1.1.

J'ai créé sur le DNS local de mon routeur une entrée box.ndd.tld => A 86400 192.168.1.1 et j'ai fait un flush dns mais impossible d'atteindre ma box via cette adresse. Je dois taper l'IP.

Cela vient il du fait que le DNS n'est valable que sur le sous réseau créé par mon Routeur et ne peut pas pointer en dehors ? Comment faire pour rendre l'adresse https://box.ndd.tld fonctionnel ?

PS j'ai également essayé avec un reverse proxy mais même problème ...

Merci d'avance pour votre aide,

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, TuringFan a dit :

Cela vient il du fait que le DNS n'est valable que sur le sous réseau créé par mon Routeur et ne peut pas pointer en dehors ?

Bonjour,

Non il peut pointer n’importe où. Ça fonctionne très bien chez moi j’ai livebox.ndd.fr par contre en https la livebox n’a pas de certificat validé pour ce nom de domaine, donc il faut autorisé une exception, je ne sais si c’est possible sur tous les navigateurs (sur safari, firefox oui)

Edit: Cela fonctionne avec une livebox pro, mais pas avec une livebox 4 🤯. Pourtant le ping fonctionne 🙄

Ping de la livebox 4:

iMac-xxxxx:~ xxxxx$ ping livebox.xxxxxx.fr
PING livebox.xxxxxx.fr (192.168.10.1): 56 data bytes
64 bytes from 192.168.10.1: icmp_seq=0 ttl=63 time=2.544 ms
64 bytes from 192.168.10.1: icmp_seq=1 ttl=63 time=1.493 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=63 time=1.663 ms

Capture faite sur un autre site avec un RT1900ac, le serveur DNS sur le RT et une livebox pro:

55gh.png

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Merci @PiwiLAbruti, @Jeff777 et @maxou56 pour vos réponses.

Si un jour une solution de contournement existe je suis preneur !

Mais plus important encore, pour ma culture, je suis curieux de savoir comment la Livebox bloque le DNS local et/ou le Reverse Proxy ? Si la Livebox a aujourd'hui ce comportement, pourquoi pas d'autres appareils demain ?

Merci d'avance,

Lien vers le commentaire
Partager sur d’autres sites

il y a 41 minutes, TuringFan a dit :

Si la Livebox a aujourd'hui ce comportement, pourquoi pas d'autres appareils demain ?

Bonsoir,

Par exemple DSM fait déjà la différence avec les "virtual host" ndd1.fr ne pointe pas forcément vers le même dossier que ndd2.fr...

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Le 12/04/2022 à 22:26, TuringFan a dit :

Merci @PiwiLAbruti, @Jeff777 et @maxou56 pour vos réponses.

Si un jour une solution de contournement existe je suis preneur !

Mais plus important encore, pour ma culture, je suis curieux de savoir comment la Livebox bloque le DNS local et/ou le Reverse Proxy ? Si la Livebox a aujourd'hui ce comportement, pourquoi pas d'autres appareils demain ?

Merci d'avance,

D'autres appareils le font

Pour ma part, j'utilise pas mal d'appareils Netgear, et la plupart m'envoient bouler si je passe par un reverse proxy

- Switch GS724Tv4 => 403 forbidden sur toutes les ressources

- Switch GS108Tv2 => même combat

- Point d'accès sans fil WAX214 => même combat

 

Par contre, contre intuitivement :

- Switch GS108PE => ça marche

- Switch GS116E => ça marche

- Orbi RBR850 => ça marche

- Orbi RBS850 => ça marche

 

De ce que j'ai vu des logs (pour ceux auxquels j'ai pu accéder), c'est implémenté en interne dans la couche logicielle du noyau linux de leur firmware : s'ils détectent une connexion qui ne leur plait pas, ils la referment aussitôt (nom dns qui ne correspond pas à leurs attentes, comme la bbox bouygues qui va try hard pour rediriger sur son nom dns même si tu tapes son ip, ou détection que la connexion est initialement émise depuis internet pour le point d'accès, ou encore parce que la connexion vient du reverse proxy alors qu'elle est initiée par une ip différente dans le cas des switch)

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
Le 12/04/2022 à 22:26, TuringFan a dit :

Si un jour une solution de contournement existe je suis preneur !

Après quelques tests rapides, il s'avère que la Livebox vérifie l'en-tête Host. En passant par un reverse proxy, la valeur de cet en-tête est le nom d'hôte affecté au reverse proxy (livebox.domain.tld par exemple).

Hors, la Livebox n'accepte que son adresse IP comme valeur valide (192.168.1.1 par défaut, à adapter si votre réseau a un adressage différent).

Donc j'ai forcé la valeur de cet en-tête à 192.168.1.1 dans l'onglet [En-tête personnalisé] du reverse proxy, et ça passe :

image.png.4d1d96276f96f3308dfa45fc1bce4b3c.png

🥳

À tester avec ton matériel réseau @Finnithnel

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

je cherche à la maison, si quelqu'un tape nas.MyHome.Link (MyHome.Link est mon nom de domaine), il ouvre et utilise directement le bon port nas:MyHome.Link:5000

J'ai suvi le tuto DNS en première page et tout fonctionne mais comment rediriger vers un port spécifique sans taper quoi que ce soit ?

La configuration est faite sur le routeur Synology DNS et non sur un Diskstation qui lui a un proxy inversé et bizarrement je ne retrouve pas ca sur mon routeur

 

merci

Lien vers le commentaire
Partager sur d’autres sites

  • 5 mois après...

bonjour

j'heberge mon serveur de mail sur mon dsm 215j et mon propre ndd. Tout fonctionne parfaitement , sauf le reverse DNS. En effet le serveur de Free s'occupant de cette tache est pourrie et plante une fois sur deux, ce qui bloque mes envoies (entre autres) vers gmail.

Est il possible en suivant ce tuto de creer mon propre serveur de reverse DNS, autrement dit, que gmail puisse vérifier que mon nom de domaine est bien rataché à mon IP en vérifiant directement dans le serveur de mon synology qui se trouve à la meme IP que le mail?

merci

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @vaneck

Je suppose que tu as la fibre. Certains abonnés de Free arrivent à conserver leur rDNS, d'autre non.

Seul Free a autorité pour créer le rDNS s'il est demandé dans l'espace abonné (IPpublique==>ndd).

Parfois ça fonctionne parfois non.

Il y a 4 heures, vaneck a dit :

Est il possible en suivant ce tuto de creer mon propre serveur de reverse DNS

Tu ne peux pas créer une zone inverse publique, seulement une zone inverse locale.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

À partir du moment où le reverse DNS est résoluble (ça semble Français 😅) par un serveur DNS public, il n'y a pas de raison que Gmail te renvoie ce type de message à cette exception près :

Est-ce que IPv6 est activé sur le DS215j ? Si oui, réessaye en le désactivant pour voir si les alertes de Gmail persistent.

Explication: Si IPv6 est activé, Synology Mail Server va contacter les MTA de Google en IPv6. Comme ces derniers vérifient le reverse DNS depuis l'adresse IP qui les a contactés, ça échoue. Il y a une demande en cours chez Free depuis 2013 🙃 afin de pouvoir configurer un reverse DNS en IPv6.

Je suppose que monsite.fr pointe bien vers la même adresse IPv4 que celle utilisée pour résoudre le PTR ? (cette question est bête, mais je préfère m'en assurer)

Tu peux poster le message exact que renvoie Gmail ? (en masquant ton domaine et ton adresse IP évidemment)

Lien vers le commentaire
Partager sur d’autres sites

merci.

Alors déjà le premier problème c'est que gmail me renvoie aléatoirement les mail. A priori on m'as dit que ça serait l'un de  leur serveur de reverse qui serait mort , mais je ne sais pas comment je peux le vérifier.

 

Quand je reçoit un refus c'est ça:

This is the mail system at host monsite.fr

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<recepteur@gmail.com>: host gmail-smtp-in.l.google.com[2a00:1450:400c:c0c::1b]
    said: 550-5.7.25 [ressemble  à de l'ipv6] The IP address
    sending this 550-5.7.25 message does not have a PTR record setup, or the
    corresponding 550-5.7.25 forward DNS entry does not point to the sending
    IP. As a policy, 550-5.7.25 Gmail does not accept messages from IPs with
    missing PTR records. 550-5.7.25 Please visit 550-5.7.25
    https://support.google.com/mail/answer/81126#ip-practices for more 550
    5.7.25 information. i15-20020a5d438f000000b0023656a67213si503636wrq.375 -
    gsmtp (in reply to end of DATA command)


Reporting-MTA: dns; monsite.fr
X-Postfix-Queue-ID: 035221023544
X-Postfix-Sender: rfc822; mail@monsite.fr
Arrival-Date: Mon, 28 Nov 2022 16:05:58 +0100 (CET)

Final-Recipient: rfc822; recepteur@gmail.com
Original-Recipient: rfc822;recepteur@gmail.com
Action: failed
Status: 5.7.25
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550-5.7.25 [ressemble  à de l'ipv6] The IP
    address sending this 550-5.7.25 message does not have a PTR record setup,
    or the corresponding 550-5.7.25 forward DNS entry does not point to the
    sending IP. As a policy, 550-5.7.25 Gmail does not accept messages from IPs
    with missing PTR records. 550-5.7.25 Please visit 550-5.7.25
    https://support.google.com/mail/answer/81126#ip-practices for more 550
    5.7.25 information. i15-20020a5d438f000000b0023656a67213si503636wrq.375 -
    gsmtp

sinon, quand je verifie dans le terminal , ptr et ipv4 correspondent bien.  La principale difficulté est que ce refus est aléatoire , ce qui m'empeche de faire des test. D'ou le besoin de vérifier l'etat du serveur de free

Capture d’écran du 2022-12-01 14-41-21.png

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, PiwiLAbruti a dit :

Si IPv6 est activé, Synology Mail Server va contacter les MTA de Google en IPv6. Comme ces derniers vérifient le reverse DNS depuis l'adresse IP qui les a contactés, ça échoue. Il y a une demande en cours chez Free depuis 2013

Bonjour,

Tu es certain de ça ?

Chez moi l'IPV6 est activé et pourtant je n'ai pas de problème avec gmail.

Mon rDNS IPV4 est fonctionnel pas le rDNS IPV6 bien sûr (ce qui est confirmé pae Zonemaster). 

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777 Je n'ai pas de problème de reverse DNS avec Gmail non plus, mais je n'utilise pas encore IPv6 sur le NAS hébergeant MailPlus Server. D'où ma supposition sur la résolution inverse en IPv6, ce qui semble se confirmer :

Citation

Diagnostic-Code: [ressemble à de l'ipv6] The IP address sending this message does not have a PTR record setup, or the corresponding forward DNS entry does not point to the sending IP. As a policy, Gmail does not accept messages from IPs with missing PTR records. Please visit https://support.google.com/mail/answer/81126#ip-practices for more information.

@vaneck Ton domaine monsite.fr ne pointe que vers ton IPv4 (type A), ou également vers ton IPv6 (type AAAA) ?

[ressemble à de l'ipv6] est l'adresse IP vue par le serveur Gmail, ce n'est à priori pas ton IPv4. Réessaye après avoir désactivé IPv6 sur le NAS.

 

Lien vers le commentaire
Partager sur d’autres sites

@PiwiLAbrutije n'ai aucun enregistrement AAA ou ipv6. J'ai désactivé dans panneau de configuration >reseau ipv6 . Je ne vois pas comment je peux tester puisque le blocage de gmail est aléatoire, donc ca peux tres bien fonctionner et n'etre qu'une coïncidence.

Par contre en vérifiant sur ma freebox, mon nas , dans périphérique reseau , est bien repertorié sur [ressemble à  de l'ipv6]. Deplus quand je consulte les entete des mail que j'ai reussie à recepetionner sur gmail, j'ai bien mon ipv4. Donc le probleme pourrait etre du à l'ipv6, mais dans ce cas, pourquoi c'est aléatoirement envoyé en ipv6?

 

Modifié par vaneck
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

J'ai installé un routeur Synology RT1900AC dans la DMZ de mon modem/router Telenet (Belgique) il n'y a pas de possibilité de bridge.

Tout fonctionne sauf la connexion sur mon Nas 918+ en Lan via ddns NO-IP, cela fonctionne sans problème quand je suis hors de la maison ou via téléphone et 4G, ça marche aussi via VPN je suppose dès que je le change ip publique tout fonction.

Sur les conseils de plusieurs membres sympas du forum @MilesTEG1@oracle7@maxou56

Je installer AdGuard Home sur Nas Synology via Docker et j'ai l'impression que tout fonctionne correctement, mais le problème est que je ne peux toujours pas connecte sur mon Nas 918+ en Lan via nom de domaine c'est plus pratique que de adresse IP. Adresse IP de mon serveur est 192.168.167.226, je bien renseigne sur le routeur dans Centre Réseau/Internet/Connexion également en LAN. Tous les périphérique de maisons ils ont maintenant ce DNS.

J'ai essayé de le mettre en place DNS Server sur mon Router RT1900ac (J'ai suivi tuto Fenrir) en LAN uniquement mais  comme je n'en ai pas assez compétence après plusieurs tentatives j'ai abandonné chaque fois que je faisais une erreur quelque part 😓

Merci

 

PS: Je posterai quelques photos pour que ce soit plus simple car je ne suis pas sûr de pouvoir bien l'expliquer, j'utilise un traducteur 🙂

 

 

Screenshot 2023-01-13 at 13-19-03 Synology Router - SynologyRouter.png

Screenshot 2023-01-13 at 13-18-46 Synology Router - SynologyRouter.png

Screenshot 2023-01-13 at 12-41-58 AdGuard Home.png

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Vista1967

Depuis quel appareil essaies tu de te connecter sur ton NAS en local ? Je vois plusieurs réseaux locaux

192.168.167.0/24

192.168.1.0/24

192.168.3.0/24

Si tu essaies de joindre un périphérique qui n'est pas sur le même réseau ça ne marchera pas.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.