Aller au contenu

VPN + DNS + SafeAccess + Certificat


Messages recommandés

@artere

Bonjour,

Sauf ce que @cadkey ne te dit pas, c'est que si tu as un serveur DNS d'installé sur le RT pour gérer ta zone DNS locale (ce qui est effectivement à mon sens l'idéal - je fonctionne comme cela), alors il ne sera pas opérationnel car avec l'utilisation de la DoH de NextDNS sur le RT, la résolution DNS locale est en pratique contournée donc ne marche pas. Pour preuve, voir la remarque ci-dessous dans l'aide en ligne.

wp1iJ8W.png

Donc il te faudra choisir sur le RT : Serveur DNS actif pour zone DNS locale  OU DoH activée et alors report du serveur DNS sur le NAS (y a mieux !).

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, MilesTEG1 a dit :


Sinon, il y a aussi moyen de passer par le reverse proxy du NAS pour accéder à SRM, avec un "sous" domaine 😄 : srm.ton-ndd.tld
Dans le reverse proxy du NAS :

35ilGQm.png

Et normalement pas besoin de certificat sur le routeur, non ?
 

Je n'avais pas du tout pensé à utiliser le proxy inversé pour acceder au routeur. Cette configuration m'interesse.
Juste une question d'ordre général, ce n'est pas un problème de donner un accès au routeur depuis l'exterieur?

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, artere a dit :

Dans vos configs respectives, vous avez un DNS sur chaque appareil (RT et NAS) ou un seul DNS sur le NAS ?

Qu'est-ce que tu veux dire par là ?
Personnellement, j'ai AdguardHome qui me fait office de serveur DNS (c'est un équivalent de pihole) qui est un conteneur docker en macvlan pour avoir sa propre IP.
J'ai mis cette adresse IP en tant que DNS primaire dans le serveur DHCP de mon routeur.

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, MilesTEG1 a dit :

J'ai mis cette adresse IP en tant que DNS primaire dans le serveur DHCP de mon routeur.

Ok. Donc, un seul DNS sur le NAS (via une app Docker pour ta part) et le DHCP côté routeur qui renvoie vers le DNS du NAS. Ca me semble plus clair.

Après, j'ai toujours un problème avec le certificat, mais il faut que je me penche sur le tuto d' @oracle7 pour générer un certificat depuis le NAS puis l'exporter vers le routeur pour tout ce qui est service tel que le VPN, SafeAccess.

Pour l'instant, j'ai un certificat auto-signé qui me permet de faire fonctionner OpenVPN. Si je fais un certificat LE depuis le routeur pour un site en .synology.me, OpenVPN refuse de se connecter et me renvoie une erreur TLS (je n'ai plus le code exact en tête).

Donc, pour résumer, l'auto-signé fonctionne pour OpenVPN mais par contre, créé des problèmes en local notamment sur la navigation internet (voir sujet original du Post).

 

Lien vers le commentaire
Partager sur d’autres sites

Bon, j'ai toujours des soucis qui viennent de mes deux DNS (un côté NAS pour le Directory Server et un côté Routeur pour internet).

J'ai à nouveau eu un souci (le même que la dernière fois) à savoir :

  • la connexion internet fonctionne : le vpn fonctionne, je peux me connecter à la box et voir que la connexion est ok
  • par contre, sur chaque poste client, impossible d'accéder à internet : le routeur bloque les requêtes ou n'arrive pas à résoudre les adresse. Par ailleurs, un nslookup me renvoie un "timed out"

J'ai donc à nouveau redémarré le routeur et c'est rentré dans l'ordre... le problème, c'est que la panne est aléatoire et que ce n'est pas une solution que de redémarrer systématiquement le routeur

Autre point dans mes recherches, j'ai tenté de suivre le tuto pour mettre en place un certificat via acme.sh et lorsque j'essaie de télécharger le paquet, j'ai semble-t-il là aussi un problème de DNS (pourtant, parallèlement, internet fonctionne) : voici les erreurs que j'obtiens via putty (sur un ns lookup et wget) :

image.png.ac05e1579c9e8658105bfeafb3c77e96.png

J'ai pensé un moment à SafeAccess, mais le site est accessible depuis un navigateur.

L'adresse ip que l'on voit (169.254.172.197) est celle renseignée au niveau du DNS dans le Directory Server (voir copie écran ci-dessous). Là encore, je ne comprends pas bien comment cette adresse est paramétrée automatiquement par Synology. En toute logique, je devrais avoir l'adresse du NAS. Je ne sais pas d'où vient cette adresse. Elle ne correspond à aucun format de mes réseaux locaux.

J'ai tenté de désinstaller le paquet Directory Server et le réinstaller pour voir si l'adresse IP du DNS changeait, mais rien à faire.

image.png.8d9b9186f81b15ac25afd5ad657ee60c.png

Côté NAS, dans le DNS, les Enregistrements de Ressources (A et AAAA) sont bien dirigées vers l'IP du NAS (192.168.1.5).

 

Enfin, côté Routeur, dans le journal du DNS, j'ai pas mal d'erreur de ce type :

image.thumb.png.9a6ac77d69b2c3aefec6511ec1f54ccd.png

C'est assez étrange. Je ne sais pas si c'est inquiétant mais l'erreur ressemble à celle visible dans putty et à un problème de résolution de nom de domaine.

L'autre point, c'est que ces erreurs ont lieu le 31 alors qu'aucun utilisateur n'était connecté.

Bref, c'est un peu le boxon et surtout pas très stable.

 

Lien vers le commentaire
Partager sur d’autres sites

@artere

A ta place je tenterais d'appliquer ce qu'avait proposé @PiwiLAbruti.
Tu crées une zone esclave de celle de l'AD sur le routeur.

Donc tout changement dynamique dans la zone du NAS sera répercuté la zone esclave dans un délai très court.
Mais à partir de ce moment-là, c'est ton routeur qui gère toutes les requêtes.

Donc le seul DNS (primaire) envoyé par ton serveur DHCP est l'IP du routeur. Pas de DNS secondaire. Est-ce que c'est le RT ton serveur DHCP ou le NAS via AD ? Je n'ai jamais utilisé AD mais je crois avoir compris que c'est une solution globale ?

Pour créer une zone esclave, il faut autoriser le transfert de zone dans les paramètres de la zone DNS créée par AD sur ton NAS dans DNS Server, en y ajoutant l'IP du routeur.
L'utilisation d'une clé est toujours un point de sécurité intéressant, mais qui selon moi reste minime au sein d'un même réseau local.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Je vais regarder cette manip de @PiwiLAbrutivoir si cela règle le problème.

@PiwiLAbruti Est-ce que tu pourrais me détailler comment rédiger la zone esclave (nom de domaine, enregistrement de ressources) et cette histoire de clé. Je vais regarder de mon côté si je trouve des informations sur le net, mais si tu as un exemple de config, je suis preneur.

C'est assez étrange comme situation, sachant que la config fonctionne un certain temps puis semble tomber en panne de manière impromptue.

il y a 43 minutes, .Shad. a dit :

 Est-ce que c'est le RT ton serveur DHCP ou le NAS via AD ?

C'est le RT qui gère le DHCP avec en DNS primaire le NAS (192.168.1.5) et en secondaire le RT (192.168.1.1). Le NAS est en primaire pour que le domaine soit trouvée par les postes clients.

Du coup, quand je fais un nslookup sur un poste, la requête est envoyée au NAS (192.168.1.5) et c'est peut-être là que ça fini par planter. Je suppose que le NAS a un moment donné n'envoie plus les requêtes "externes" vers le RT. Un tracrt montre bien que c'est le RT qui s'occupe de la résolution.

image.png.0094efb96a2ae14334ff569181d60add.png

image.png.06e8b91da5148201cf9d5be1e219c3c5.png

Lien vers le commentaire
Partager sur d’autres sites

@artere C'est tout simple pour faire une zone esclave. Tu vas dans DNS Server -> Créer -> Zone slave.

  • Nom de domaine : domain.local (je reprends ton exemple)
  • Serveur DNS principal 192.168.1.5

dns_server_slave_zone.png

Dans la zone de ton NAS tu dois cocher certains paramètres :

dns_server_slave_zone_2.png

  • Limiter le transfert de zone : Tu y ajoutes l'IP du RT dans les règles de transfert de zone.
  • Activer la notification des zones esclaves : Pour que la zone esclave soit informée en cas de changement dans la zone maître, également y ajouter l'IP du RT.

A partir de ce moment-là, le serveur DHCP n'envoie plus que l'IP du routeur en serveur DNS :

  1. 192.168.1.1
  2.  

En dernier lieu, pour que la résolution externe se fasse, tu définis les IP des serveurs DNS publiques que tu souhaites utiliser dans les paramètres généraux de DNS Server sur le RT :

dns_server_slave_zone_3.png

 

 

Lien vers le commentaire
Partager sur d’autres sites

@.Shad. @PiwiLAbruti

EDIT : 

Autant pour moi, je viens de faire un test en ajoutant un CNAME côté NAS pour voir si il apparaissait côté RT (zone Slave) et il est bien présent.

Du coup, le problème reste entier et la question porte plutôt sur la deuxième partie : pourquoi lorsque je ne mets que le DNS du RT dans le DHCP (192.168.1.1) avec une zone Slave qui semble être bien liée au DNS de l'Active Directory, je n'arrive pas à joindre le domaine sur un poste client ?

MESSAGE ORIGINAL :

Bon, j'ai tenté la manip d'ajouter une zone esclave dans le DNS du routeur mais...

1. Dans le DNS du NAS (celui où se situe l'ActiveDirectory), je ne peux pas modifier les IP des zone esclaves. Le fait que les deux zones soient gérées par le paquet Directory Server fait qu'on n'a pas accès à toutes les options.

J'ai pu cocher "Limiter le transfert de zone" et y ajouter l'ip du RT. Mais par contre, je peux pas ajouter le RT aux IP des zones esclaves, ce qui fait que ma zone esclave ne se met pas à jour automatiquement.

Il y a 11 heures, .Shad. a dit :

Dans la zone de ton NAS tu dois cocher certains paramètres :

dns_server_slave_zone_2.png

Voilà ce que j'ai de mon côté :

image.png.1a488789906c8f2b38b09614a651403b.png

J'ai essayé de changer le statut, mais je n'ai pas la main dessus.

J'ai essayé également de désactiver le paquet Directory Server, mais une fois désactivée, les enregistrement DNS sont supprimés.

 

2. J'ai tout de même poursuivi la manip et retiré le NAS (192.168.1.5) du DHCP (géré par le routeur) pour ne laisser que le routeur (192.168.1.1).

Sur une machine virtuelle, je suis sorti du domaine pour y re rentrer et voir si il le trouvait... résultat, nop. Le domaine ne peut pas être trouvé en passant par le RT.

On touche presque au but mais cet enregistrement DNS géré par l'ActiveDirectory est vraiment pénible.

Une idée ?

image.png

Modifié par artere
Lien vers le commentaire
Partager sur d’autres sites

Je ne sais pas si ça peut aider, mais je viens d'aller faire un tour dans les logs du DNS (côté RT) et j'ai 3 notifications qui semblent correspondre au moment où j'ai essayé de joindre le domaine sur la machine virtuelle et que ce domaine n'était pas trouvé :

image.thumb.png.8a7d1c9f0612e5152736e8576783059f.png

Modifié par artere
Lien vers le commentaire
Partager sur d’autres sites

Je t'avoue que je ne connais pas Active Directory d'expérience, juste ce que j'ai lu à ce sujet.

Ce que je sais c'est que c'est une solution globale, qui gère de multiples aspects d'administration réseau et système simultanément. Je ne sais donc pas si ça a vocation à opérer parallèlement avec d'autres systèmes. Encore moins si l'implémentation réalisée par Synology dans DSM le permet.

J'ai peut-être loupé la raison pour laquelle tu souhaites passer par le RT au lieu du NAS ?

Je sais en revanche qu'au boulot c'est AD sur un Windows Server qui gère le DHCP, DNS, contrôle utilisateurs, etc... Et que la résolution publique des domaines fonctionne normalement.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

J'avais fait le test de mettre le DNS uniquement sur le NAS et d'indiquer dans le DHCP du routeur uniquement le NAS en DNS Primaire.

Cela semblait fonctionner hormis pour une chose assez étrange : safeaccess. En effet, le filtre de certains sites n'étaient pas correctement appliqué.

Par exemple, je filtre les réseaux sociaux :

  • facebook : le navigateur indique que le site est bloqué et SafeAccess indique dans son log que Facebook a été filtré (jusqu'ici tout va bien)
  • reddit (autre réseau social) : le navigateur permet de naviguer sur le site (pas de blocage) mais de son côté SafeAccess indique dans son log que Reddit a été filtré ?!?

Du coup, j'avais remis comme avant, mais si vous avez une explication pour le cas détaillé ci-dessus je suis preneur et j'envisagerais de basculer le DNS uniquement sur le NAS.

 

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Je pense que le blocage s'applique sur l'ensemble des IP du réseau local. J'ai fait le test sur un PC donc normalement "filtré". Ce qui est étonnant, c'est que dans le cas de Reddit, SafeAccess indique bien que le site est filtré et pourtant la navigation reste possible.

Faudra que je creuse.

 

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Je viens d'essayer cette config :

  • DNS côté RT désactivé
  • DHCP côté RT: DNS primaire = 192.168.1.5 (NAS)
  • DNS côté NAS : redirecteur 1 = 192.168.1.1 et redirecteur 2 = 1.1.1.1

J'ai le même souci qu'avant concernant SafeAccess : facebook est filtré (visible dans le log et site inaccessible), reddit est pseudo filtré (visible dans le log mais site accessible)

J'ai également des soucis de résolution de DNS avec une erreur : DNS_PROBE_POSSIBLE.

Je reviens à la configuration d'avant.

J'ai contacté le support Synology pour les problèmes que je rencontre sur le RT, à savoir la connexion internet qui saute partiellement (impossible d'accéder à internet via un navigateur, mais RT connecté correctement à la box et VPN fonctionnel). Ce problème, je le rappelle, est résolu en redémarrant le RT, ce qui permet de dépanner mais n'est pas pérenne. Je n'ai rien trouvé dans les logs et j'espère que Synology trouvera la faille.

Je suis toujours à la recherche de la bonne configuration entre mon NAS (qui a un serveur DNS du fait du Directory Server) et mon RT (qui doit pouvoir filtrer le trafic sortant (SafeAccess) tout en gérant les VPN). Pour l'instant, ce n'est pas stable et je n'ai pas la bonne config visiblement.

Si quelqu'un a une idée, je suis preneur.

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.