Aller au contenu

DNS BOX et DNS NAS


alan.dub

Messages recommandés

Posté(e)

Et bien c'est parfait tout ça, tout fonctionne ! 👍

Concernant le journal du DNS Server je vais le laisser faire, mais c'est impressionnant le nombre de requêtes qu'il peut y avoir 🧐

Comme celle-ci par exemple : client 192.168.0.10#48101 (20.0.168.192.in-addr.arpa): view LAN: query: 20.0.168.192.in-addr.arpa IN PTR + (192.168.0.10)

Elle semble appartenir à Microsoft... moi qui ne possède aucun produit MS chez moi si ce n'est Microsoft Teams pour madame (visio pour sa formation) 🤪

 

Posté(e)

www n'est pas du tout nécessaire c'est un sous-domaine comme un autre.

Moi perso j'ai une page d'accueil avec tous les liens vers mes différents services, je trouvais ça plutôt cool d'utiliser www.

Ce qui est nécessaire (et encore, seulement quand tu héberges une partie publique) c'est d'avoir un enregistrement NS (2 généralement quand la zone est publique), car c'est lui qui va déterminer les serveurs qui font autorité pour un domaine donné. Et au moins un enregistrement A. Le reste est purement accessoire.

Posté(e)

Comme quoi... 😅

Je prépare aussi de mon coter NOTRE page d'accueil avec trois zones de recherche (Google / DuckDuck / Qwant) ainsi que la liste de nos liens (je dois encore travailler sur nos listes de lecture).

Comme ça... bye bye iCloud (c'est la dernière chose que nous avons encore chez Apple).

Pour le lien, j'étais partie sur un accueil.ndd.tld ou un truc du genre, mais ouaip... le coup du www.ndd.tld est bien plus simple à saisir.

Il faut que je trouve aussi une solution pour rendre la modification ajout / suppression de cette page plus simple (que de modifier le code HTLM / CSS / JS).

Enfin, concernant la partie publique, non... je ne vais pas en héberger. Là ça dépasse complètement mes "petites" compétences / connaissances.

 

Encore une fois, merci pour toutes ces info Shad 😀

Posté(e)

Bonjour ^^

Tu veux dire réaliser un certificat avec *.ndd.tld ?

Si c'est ça ta question, la réponse est non : je ne me suis pas encore penché sur le sujet.

Pour l'instant je rajoute mes xxx.ndd.tld les uns à la suite des autres (tous dans le même certificat pour l'instant).

J'utilise ce *.ndd.tld uniquement dans la zone DNS d'OVH et sur le DNS Server du NAS.

Pourquoi ?

Posté(e)

@alan.dub

Bonjour,

il y a une heure, alan.dub a dit :

Pour l'instant je rajoute mes xxx.ndd.tld les uns à la suite des autres (tous dans le même certificat pour l'instant).

Je sais combien de domaines xxx.ndd.tld tu as à gérer mais saches que la chaîne "Autre nom de l'objet" que tu utilises pour les déclarés pour ton certificat, est elle-même limitée à 255 caractères par Synology. Du coup tu risques à terme d'être bloqué. Cà vient plus vite qu'on ne le pense ...

C'est pour cette raison à mon humble avis, qu'il est judicieux de créer directement un certificat "wilcard" (*.ndd.tld) pour ne pas avoir subir cette limitation. Et en plus c'est bien plus souple à l'usage et simplifie quelque part la configuration. Maintenant c'est toi qui vois ...

Cordialement

oracle7😉

Posté(e)

 @oracle7 et @pluton212+

Je sais bien, vous avez totalement raison.

Qui plus est, je préfère grandement avoir un certificat dans lequel est indiqué *.ndd.tld que tous mes xxx.ndd.tld, yyy.ndd.tld...

Surtout que le site web créé par ma femme utilise ce même certificat (d’autres sites sont à l’étude).
Donc si un malin sait où regarder dans le certificat, il sera trouver l’adresse de mes autres sites «Services Synology» comme moments, file and Co...
Même si ces derniers (Services Synology) sont protégés par mot de passe, ça me dérange.

Après je peux aussi créer un certificat pour les sites web et un autre pour les sites «services Synology», mais bon... autant en effet partir sur un wildcard.

C’est plus simple et plus «discret». 

Je regarderai ça plus sérieusement dans le mois 😉

EDIT :

Mince, je croyais qu’il fallait jouer du SSH (ma bête noire 😅), mais pas du tout.

Bon... je regarderai ça ce week end alors 😁

Posté(e)

@alan.dub

Bonjour,

J'attire ton attention sur le fait que l'utilisation du site SSLforFree proposé par le TUTO de unPixel n'est plus gratuit pour générer un certificat wilcard. C'est gratuit UNIQUEMENT pour un seul domaine ndd.tld !

Pour être honnête il y a FreeSSL.org qui proposerait la  même chose que SSLforFree initialement mais il te faudra gérer le renouvellement manuellement et donc surveiller la date fatidique et ouvrir les ports 80 et 443 à ce moment là (pas terrible du point de vue sécurité et pénible à terme) et au final recharger et configurer manuellement le certificat sur le NAS, mais c'est toi qui voit ...

Pour s'affranchir de ces problèmes et gérer le certificat ET son renouvellement sans soucis, il y a la solution via ma méthode et acme.sh (besoin de SSL uniquement lors de la création) qui elle, a le mérite d'être entièrement automatisée (grâce au travail de @bruno78) et qui, gros avantage sécuritaire, ne nécessite pas l'ouverture des dits ports. Tu crée une fois le certificat, même si le SSL n'est pas ta tasse de thé et c'est tout ! Plus rien à faire après, cool non ?

Cela mérite d'y réfléchir ...

Cordialement

oracle7😉

 

Posté(e)

Ok c’est bien ce que je pensais alors... il y a bien du SSL 😅
Je n’étais pas sur le bon tuto 🤪

Bon de toute manière ce sujet fait parti de « mes choses à faire ».

Il faut juste que je trouve le temps de la faire.

Concernent les ports 80/443 ils sont pour l’instant redirigés / ouverts uniquement pour la France.

Ceci m’oblige en effet à les ouvrir plus largement tous les trois mois pour Let’s Encrypt.

Je peux aussi très bien me faire une notification pour « tous les trois mois »... mais en même temps Let’s Encryptage m’envoie un mail deux à trois semaines avant (il n’envoie rien lorsque mes ports 80/443 sont complément ouverts, la MAJ est transparente).

Bref, encore un sujet à traiter 😅👍

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.