[TUTO] DNS Server

[Mic13710]

Si le routeur du FAI est fermé à toute modification, vous n'avez pas d'autre solution que de rajouter derrière un vrai routeur.

Deux possibilités : soit vous passez la box du FAI en bridge, soit vous y réservez une IP dans la plage pour le routeur et vous la mettez en DMZ. L'un ou l'autre fonctionne de la même manière. A vous de voir quelle configuration est la plus simple pour vous. Il est bien entendu que votre réseau privé sera dorénavant derrière votre nouveau routeur 😉

[Al1ternet]

@Mic13710

Merci, pas certain que je sache "réservez une IP dans la plage pour le routeur et vous la mettez en DMZ" mettre un IP Fixe et pas en DCHCP ce que j'ai du faire pour mon Nas.

;)

[TuringFan]

Bonjour à tous,

J'ai mon routeur en DMZ de ma Livebox, celle-ci est accessible via https://192.168.1.1.

J'ai créé sur le DNS local de mon routeur une entrée box.ndd.tld => A 86400 192.168.1.1 et j'ai fait un flush dns mais impossible d'atteindre ma box via cette adresse. Je dois taper l'IP.

Cela vient il du fait que le DNS n'est valable que sur le sous réseau créé par mon Routeur et ne peut pas pointer en dehors ? Comment faire pour rendre l'adresse https://box.ndd.tld fonctionnel ?

PS j'ai également essayé avec un reverse proxy mais même problème ...

Merci d'avance pour votre aide,

[maxou56]

Il y a 2 heures, TuringFan a dit :

Cela vient il du fait que le DNS n'est valable que sur le sous réseau créé par mon Routeur et ne peut pas pointer en dehors ?

Bonjour,

Non il peut pointer n’importe où. Ça fonctionne très bien chez moi j’ai livebox.ndd.fr par contre en https la livebox n’a pas de certificat validé pour ce nom de domaine, donc il faut autorisé une exception, je ne sais si c’est possible sur tous les navigateurs (sur safari, firefox oui)

Edit: Cela fonctionne avec une livebox pro, mais pas avec une livebox 4 🤯. Pourtant le ping fonctionne 🙄

Ping de la livebox 4:

iMac-xxxxx:~ xxxxx$ ping livebox.xxxxxx.fr
PING livebox.xxxxxx.fr (192.168.10.1): 56 data bytes
64 bytes from 192.168.10.1: icmp_seq=0 ttl=63 time=2.544 ms
64 bytes from 192.168.10.1: icmp_seq=1 ttl=63 time=1.493 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=63 time=1.663 ms

Capture faite sur un autre site avec un RT1900ac, le serveur DNS sur le RT et une livebox pro:

Modifié le 12 avril 2022 par maxou56

[PiwiLAbruti]

Je confirme, ça ne fonctionne plus depuis longtemps d'ailleurs, probablement depuis une mise à jour de la Livebox.

[Jeff777]

il y a une heure, PiwiLAbruti a dit :

Je confirme, ça ne fonctionne plus depuis longtemps d'ailleurs, probablement depuis une mise à jour de la Livebox

Bonjour,

Moi j'ai tout compris 😉

[PiwiLAbruti]

il y a 24 minutes, Jeff777 a dit :

Moi j'ai tout compris 😉

Moi aussi 😄, mais j'ai un NAS de backup chez un proche derrière une Livebouse v4 qui ne veut pas du reverse proxy (client > https> reverse proxy > http > Livebouse).

[TuringFan]

Merci @PiwiLAbruti, @Jeff777 et @maxou56 pour vos réponses.

Si un jour une solution de contournement existe je suis preneur !

Mais plus important encore, pour ma culture, je suis curieux de savoir comment la Livebox bloque le DNS local et/ou le Reverse Proxy ? Si la Livebox a aujourd'hui ce comportement, pourquoi pas d'autres appareils demain ?

Merci d'avance,

[maxou56]

il y a 41 minutes, TuringFan a dit :

Si la Livebox a aujourd'hui ce comportement, pourquoi pas d'autres appareils demain ?

Bonsoir,

Par exemple DSM fait déjà la différence avec les "virtual host" ndd1.fr ne pointe pas forcément vers le même dossier que ndd2.fr...

Modifié le 12 avril 2022 par maxou56

[Finnithnel]

Le 12/04/2022 à 22:26, TuringFan a dit :

Merci @PiwiLAbruti, @Jeff777 et @maxou56 pour vos réponses.

Si un jour une solution de contournement existe je suis preneur !

Mais plus important encore, pour ma culture, je suis curieux de savoir comment la Livebox bloque le DNS local et/ou le Reverse Proxy ? Si la Livebox a aujourd'hui ce comportement, pourquoi pas d'autres appareils demain ?

Merci d'avance,

D'autres appareils le font

Pour ma part, j'utilise pas mal d'appareils Netgear, et la plupart m'envoient bouler si je passe par un reverse proxy

- Switch GS724Tv4 => 403 forbidden sur toutes les ressources

- Switch GS108Tv2 => même combat

- Point d'accès sans fil WAX214 => même combat

 

Par contre, contre intuitivement :

- Switch GS108PE => ça marche

- Switch GS116E => ça marche

- Orbi RBR850 => ça marche

- Orbi RBS850 => ça marche

 

De ce que j'ai vu des logs (pour ceux auxquels j'ai pu accéder), c'est implémenté en interne dans la couche logicielle du noyau linux de leur firmware : s'ils détectent une connexion qui ne leur plait pas, ils la referment aussitôt (nom dns qui ne correspond pas à leurs attentes, comme la bbox bouygues qui va try hard pour rediriger sur son nom dns même si tu tapes son ip, ou détection que la connexion est initialement émise depuis internet pour le point d'accès, ou encore parce que la connexion vient du reverse proxy alors qu'elle est initiée par une ip différente dans le cas des switch)

[PiwiLAbruti]

Le 12/04/2022 à 22:26, TuringFan a dit :

Si un jour une solution de contournement existe je suis preneur !

Après quelques tests rapides, il s'avère que la Livebox vérifie l'en-tête Host. En passant par un reverse proxy, la valeur de cet en-tête est le nom d'hôte affecté au reverse proxy (livebox.domain.tld par exemple).

Hors, la Livebox n'accepte que son adresse IP comme valeur valide (192.168.1.1 par défaut, à adapter si votre réseau a un adressage différent).

Donc j'ai forcé la valeur de cet en-tête à 192.168.1.1 dans l'onglet [En-tête personnalisé] du reverse proxy, et ça passe :

🥳

À tester avec ton matériel réseau @Finnithnel

Modifié le 21 juin 2022 par PiwiLAbruti

[Digital3D]

Bonjour,

 

je cherche à la maison, si quelqu'un tape nas.MyHome.Link (MyHome.Link est mon nom de domaine), il ouvre et utilise directement le bon port nas:MyHome.Link:5000

J'ai suvi le tuto DNS en première page et tout fonctionne mais comment rediriger vers un port spécifique sans taper quoi que ce soit ?

La configuration est faite sur le routeur Synology DNS et non sur un Diskstation qui lui a un proxy inversé et bizarrement je ne retrouve pas ca sur mon routeur

 

merci

[PiwiLAbruti]

Bonjour @Digital3D,

il y a 18 minutes, Digital3D a dit :

[...] un Diskstation qui lui a un proxy inversé et bizarrement je ne retrouve pas ca sur mon routeur

Ça n'a rien de bizarre, ça n'a jamais existé dans SRM. Le proxy inversé n'est disponible que dans DSM.

[vaneck]

bonjour

j'heberge mon serveur de mail sur mon dsm 215j et mon propre ndd. Tout fonctionne parfaitement , sauf le reverse DNS. En effet le serveur de Free s'occupant de cette tache est pourrie et plante une fois sur deux, ce qui bloque mes envoies (entre autres) vers gmail.

Est il possible en suivant ce tuto de creer mon propre serveur de reverse DNS, autrement dit, que gmail puisse vérifier que mon nom de domaine est bien rataché à mon IP en vérifiant directement dans le serveur de mon synology qui se trouve à la meme IP que le mail?

merci

[Jeff777]

Bonjour @vaneck

Je suppose que tu as la fibre. Certains abonnés de Free arrivent à conserver leur rDNS, d'autre non.

Seul Free a autorité pour créer le rDNS s'il est demandé dans l'espace abonné (IPpublique==>ndd).

Parfois ça fonctionne parfois non.

Il y a 4 heures, vaneck a dit :

Est il possible en suivant ce tuto de creer mon propre serveur de reverse DNS

Tu ne peux pas créer une zone inverse publique, seulement une zone inverse locale.

Modifié le 30 novembre 2022 par Jeff777

[vaneck]

ce que je comprend pas, c'est cette commande

 dig xxx.xxx.xx.xx.in-addr.arpa. ptr
ANSWER SECTION:
xxx.xxx.xx.xx.in-addr.arpa. 1395 IN PTR monsite.fr.

donc a prioris, j'ai un enregistrement ptr. Pourtant , regulierement Gmail me renvoie le mail en se plaignant de l'absence de ptr.

[PiwiLAbruti]

Quel est ton FAI ?

Quels sont les résultats des commandes nslookup xxx.xxx.xx.xx et nslookup xxx.xxx.xx.xx 8.8.8.8 ?

[vaneck]

nslookup xx.xx.xxx.xxx 8.8.8.8
xxx.xxx.xx.xx.in-addr.arpa	name = monsite.fr.
Authoritative answers can be found from:

pareil sans 8.8.8.8

[PiwiLAbruti]

À partir du moment où le reverse DNS est résoluble (ça semble Français 😅) par un serveur DNS public, il n'y a pas de raison que Gmail te renvoie ce type de message à cette exception près :

Est-ce que IPv6 est activé sur le DS215j ? Si oui, réessaye en le désactivant pour voir si les alertes de Gmail persistent.

Explication: Si IPv6 est activé, Synology Mail Server va contacter les MTA de Google en IPv6. Comme ces derniers vérifient le reverse DNS depuis l'adresse IP qui les a contactés, ça échoue. Il y a une demande en cours chez Free depuis 2013 🙃 afin de pouvoir configurer un reverse DNS en IPv6.

Je suppose que monsite.fr pointe bien vers la même adresse IPv4 que celle utilisée pour résoudre le PTR ? (cette question est bête, mais je préfère m'en assurer)

Tu peux poster le message exact que renvoie Gmail ? (en masquant ton domaine et ton adresse IP évidemment)

[vaneck]

merci.

Alors déjà le premier problème c'est que gmail me renvoie aléatoirement les mail. A priori on m'as dit que ça serait l'un de  leur serveur de reverse qui serait mort , mais je ne sais pas comment je peux le vérifier.

 

Quand je reçoit un refus c'est ça:

This is the mail system at host monsite.fr

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<recepteur@gmail.com>: host gmail-smtp-in.l.google.com[2a00:1450:400c:c0c::1b]
    said: 550-5.7.25 [ressemble  à de l'ipv6] The IP address
    sending this 550-5.7.25 message does not have a PTR record setup, or the
    corresponding 550-5.7.25 forward DNS entry does not point to the sending
    IP. As a policy, 550-5.7.25 Gmail does not accept messages from IPs with
    missing PTR records. 550-5.7.25 Please visit 550-5.7.25
    https://support.google.com/mail/answer/81126#ip-practices for more 550
    5.7.25 information. i15-20020a5d438f000000b0023656a67213si503636wrq.375 -
    gsmtp (in reply to end of DATA command)


Reporting-MTA: dns; monsite.fr
X-Postfix-Queue-ID: 035221023544
X-Postfix-Sender: rfc822; mail@monsite.fr
Arrival-Date: Mon, 28 Nov 2022 16:05:58 +0100 (CET)

Final-Recipient: rfc822; recepteur@gmail.com
Original-Recipient: rfc822;recepteur@gmail.com
Action: failed
Status: 5.7.25
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550-5.7.25 [ressemble  à de l'ipv6] The IP
    address sending this 550-5.7.25 message does not have a PTR record setup,
    or the corresponding 550-5.7.25 forward DNS entry does not point to the
    sending IP. As a policy, 550-5.7.25 Gmail does not accept messages from IPs
    with missing PTR records. 550-5.7.25 Please visit 550-5.7.25
    https://support.google.com/mail/answer/81126#ip-practices for more 550
    5.7.25 information. i15-20020a5d438f000000b0023656a67213si503636wrq.375 -
    gsmtp

sinon, quand je verifie dans le terminal , ptr et ipv4 correspondent bien.  La principale difficulté est que ce refus est aléatoire , ce qui m'empeche de faire des test. D'ou le besoin de vérifier l'etat du serveur de free

[Jeff777]

Il y a 4 heures, PiwiLAbruti a dit :

Si IPv6 est activé, Synology Mail Server va contacter les MTA de Google en IPv6. Comme ces derniers vérifient le reverse DNS depuis l'adresse IP qui les a contactés, ça échoue. Il y a une demande en cours chez Free depuis 2013

Bonjour,

Tu es certain de ça ?

Chez moi l'IPV6 est activé et pourtant je n'ai pas de problème avec gmail.

Mon rDNS IPV4 est fonctionnel pas le rDNS IPV6 bien sûr (ce qui est confirmé pae Zonemaster). 

[PiwiLAbruti]

@Jeff777 Je n'ai pas de problème de reverse DNS avec Gmail non plus, mais je n'utilise pas encore IPv6 sur le NAS hébergeant MailPlus Server. D'où ma supposition sur la résolution inverse en IPv6, ce qui semble se confirmer :

Citation

Diagnostic-Code: [ressemble à de l'ipv6] The IP address sending this message does not have a PTR record setup, or the corresponding forward DNS entry does not point to the sending IP. As a policy, Gmail does not accept messages from IPs with missing PTR records. Please visit https://support.google.com/mail/answer/81126#ip-practices for more information.

@vaneck Ton domaine monsite.fr ne pointe que vers ton IPv4 (type A), ou également vers ton IPv6 (type AAAA) ?

[ressemble à de l'ipv6] est l'adresse IP vue par le serveur Gmail, ce n'est à priori pas ton IPv4. Réessaye après avoir désactivé IPv6 sur le NAS.

 

[vaneck]

@PiwiLAbrutije n'ai aucun enregistrement AAA ou ipv6. J'ai désactivé dans panneau de configuration >reseau ipv6 . Je ne vois pas comment je peux tester puisque le blocage de gmail est aléatoire, donc ca peux tres bien fonctionner et n'etre qu'une coïncidence.

Par contre en vérifiant sur ma freebox, mon nas , dans périphérique reseau , est bien repertorié sur [ressemble à  de l'ipv6]. Deplus quand je consulte les entete des mail que j'ai reussie à recepetionner sur gmail, j'ai bien mon ipv4. Donc le probleme pourrait etre du à l'ipv6, mais dans ce cas, pourquoi c'est aléatoirement envoyé en ipv6?

 

Modifié le 1 décembre 2022 par vaneck

[Vista1967]

Bonjour,

J'ai installé un routeur Synology RT1900AC dans la DMZ de mon modem/router Telenet (Belgique) il n'y a pas de possibilité de bridge.

Tout fonctionne sauf la connexion sur mon Nas 918+ en Lan via ddns NO-IP, cela fonctionne sans problème quand je suis hors de la maison ou via téléphone et 4G, ça marche aussi via VPN je suppose dès que je le change ip publique tout fonction.

Sur les conseils de plusieurs membres sympas du forum @MilesTEG1@oracle7@maxou56

Je installer AdGuard Home sur Nas Synology via Docker et j'ai l'impression que tout fonctionne correctement, mais le problème est que je ne peux toujours pas connecte sur mon Nas 918+ en Lan via nom de domaine c'est plus pratique que de adresse IP. Adresse IP de mon serveur est 192.168.167.226, je bien renseigne sur le routeur dans Centre Réseau/Internet/Connexion également en LAN. Tous les périphérique de maisons ils ont maintenant ce DNS.

J'ai essayé de le mettre en place DNS Server sur mon Router RT1900ac (J'ai suivi tuto Fenrir) en LAN uniquement mais  comme je n'en ai pas assez compétence après plusieurs tentatives j'ai abandonné chaque fois que je faisais une erreur quelque part 😓

Merci

 

PS: Je posterai quelques photos pour que ce soit plus simple car je ne suis pas sûr de pouvoir bien l'expliquer, j'utilise un traducteur 🙂

 

 

[Jeff777]

Bonjour @Vista1967

Depuis quel appareil essaies tu de te connecter sur ton NAS en local ? Je vois plusieurs réseaux locaux : 

192.168.167.0/24

192.168.1.0/24

192.168.3.0/24

Si tu essaies de joindre un périphérique qui n'est pas sur le même réseau ça ne marchera pas.