Aller au contenu

Proxy inversé avec contrôle d'accès


Messages recommandés

Il y a 2 heures, oracle7 a dit :

Pour bien comprendre, tu pourrais STP faire une copie d'écran de ta zone DNS chez OVH, car vu tes explications précédentes, cela me parait pas clair, mais je peux me tromper ...

Je ne souhaite pas livrer ces informations en public.

 

Il y a 2 heures, oracle7 a dit :

Par ex chez moi j'ai près de 30 sous-domaines à gérer et je n'ai qu'un certificat pour l'ensemble. Fais le compte chez toi. Mais c'est toi qui voit ...

Je n'en suis pas là, j'ai quelques enregistrements à gérer qui se comptent sur les doigts d'une main pour l'instant. Mais si d'aventure j'en sens le besoin, j'opterai pour une wildcard.

 

Il y a 1 heure, Jeff777 a dit :

Au début de la rue la fibre s'est arrêtée 😒 .

Tu ne peux pas la prolonger en soudoyant un électricien le tout sans facture bien entendu. Y'a ka tirer la fibre à partir du boîtier de terminaison jusqu'à chez toi. Si ça tourne mal je t'apporterai des oranges 🙂

 

il y a 20 minutes, Jeff777 a dit :

@CyberFr. ça ne change rien, je viens de vérifier avec le téléphone de mon épouse. En 4G je peux me connecter au DSM (avec contrôle d'accès) en utilisant la connexion OpenVPN. Si j'arrête le VPN j'ai la réponse "page introuvable"

J'ai l'impression que la Bbox de Bouygues Telecom ne passe pas le relai au bon serveur d'adresses alors que j'ai désactivé le serveur DNS de la box et que j'ai transféré les requêtes DNS vers le serveur DNS su NAS. Bon, il faudra sans doute que je me résolve à m'équiper d'un routeur car j'ai l'impression que tous mes problèmes viennent de là. Quand je fais un nslookup chez moi, jatteins le NAS alors que hors de chez moi sur mon nom de domaine, j'ai les serveurs d'OVH !?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, CyberFr a dit :

Mais @Mic13710 a répondu dans le même tuto :

Citation

Je ne suis pas fana du caractère générique côté registar. Je préfère nommer chaque domaine. Ainsi j'ai le contrôle sur les enregistrements.

Je trouve en effet cette approche plus sure puisqu'on maitrise chaque domaine. Mais ça c'était avant. Maintenant je suis passé au wildcard pour ma zone WAN. Ce faisant, il faut prendre des précautions pour bien protéger ses ndd car sans profils de contrôle d'accès, tout ndd existant dans le reverse proxy sera résolu aussi bien côté WAN que côté LAN. Il ne faut pas oublier de réduire la zone d'IP pour les ndd qui sont destinés à être utilisés avec des IP ou plages d'IP particulières.

Par contre, je continue à alimenter ma zone LAN avec les CNAME individualisés.

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Il y a 2 heures, CyberFr a dit :

Quand je fais un nslookup chez moi, jatteins le NAS alors que hors de chez moi sur mon nom de domaine, j'ai les serveurs d'OVH !?

C'est bien ce que je pressent, c'est pas clair coté OVH. Maintenant, dans ta copie d'écran tu masques ton @IP externe et la partie du domaine à préservée. C'était juste pour voir l'organisation des tes enregistrements. Sinon, tu recopies ici cette organisation avec des noms génériques et @IP en 1.2.3.4.

Pour t'aider :

  • chez OVH au niveau DDNS tu devrais avoir --> ndd.tld qui pointe sur @IPexterne (box/routeur)
  • chez OVH tu devrais avoir a minima dans ta zone DNS locale quelque chose comme ceci :

ndd.tld.     0      NS      dnsXXX.ovh.net

ndd.tld.     0      NS      dnsYYY.ovh.net

*.ndd.tld.    0     CNAME     ndd.tld.

Attention : Avec une @IP externe dynamique, tu ne dois pas avoir d'enregistrement de type :

ndd.tld.    0     A     @IPexterneBox.

  • sur ton NAS (DNS Server) dans ta zone DNS locale pareil a minima quelque chose comme ceci :

ns.ndd.tld A 86400 @IPlocaleduNAS

ndd.tld NS 86400 ns.ndd.tld

monnas.ndd.tls A 86400 @IPlocaleduNAS ---> pour accéder directement au NAS (DSM) avec monnas <> NomduNas

*.ddns.ndd.tld CNAME 86400 monnas.ndd.tld ---> pour accéder directement aux applications/services du NAS

Maintenant c'est toi qui voit ...

Cordialement

oracle7😉

         
         
Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, oracle7 a dit :

Pour bien comprendre, tu pourrais STP faire une copie d'écran de ta zone DNS chez OVH, car vu tes explications précédentes, cela me parait pas clair, mais je peux me tromper ...

Domaine.            TTL    Type   Cible               Remarque

ndd.fr               0     NS     dns110.ovh.net
ndd.fr               0     NS     ns110.ovh.net
xxx.ndd.fr           0     NS     ndd.fr              Reverse proxy
ndd.fr               0     A      XX.XX.XX.XX         IP publique de la box
ns.ndd.fr            600   A      XX.XX.XX.XX         IP publique de la box
autoconfig.ndd.fr    0     CNAME  mailconfig.ovh.net
autodiscover.ndd.fr  0     CNAME  mailconfig.ovh.net
ftp.ndd.fr           0     CNAME  ndd.fr
mail.ndd.fr          0     CNAME  ndd.fr
smtp.ndd.fr          0     CNAME  ssl0.ovh.net
www.ndd.fr           0     CNAME  ndd.fr

Je n'ai pas fait figurer les enregistrements MX, SPF et SRV.

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, CyberFr a dit :
xxx.ndd.fr           0     NS     ndd.fr

Qu'est ce que c'est que ça 🤪

Il faur un enregistrement CNAME pour tes reverses proxies

Et le TTL à 0 ça le fait pas du tout 😜

mets une valeur 600 par exemple et à terme  86400

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, Jeff777 a dit :

Qu'est ce que c'est que ça 🤪

Comme je l'ai indiqué, c'est le reverse proxy. Tu peux traduire par nas.ndd.fr ou toute autre entrée. J'ai fait une conn**ie peut-être ?

Et voila la zone locale de DNS Server

Nom              Type      TTL     Information.        Remarque

ndd.fr           A         86400   IP locale du NAS
ndd.fr           NS        86400   ns.ndd.fr
xxx.ndd.fr       CNAME     86400   ns.ndd.fr           Reverse proxy
ns.ndd.fr        A         86400   IP locale du NAS
www.ndd.fr       CNAME     86400   ndd.fr 

 

J'ai rectifié l'entrée chez OVH concernant le reverse proxy. Je devais avoir trop fait la fête la veille du jour où j'ai ajouté cette entrée 🥴

Modifié par CyberFr
Je crois que pour cette entrée j'ai confondu NS et CNAME
Lien vers le commentaire
Partager sur d’autres sites

Je crois qu'il faut tout reprendre à zéro. En commençant par la zone chez OVH.

Tu remplaces les trois premières lignes par ce que @oracle7 t'a indiqué mais avec des valeurs différentes de 0.

ndd.fr           3600    NS     dns110.ovh.net
ndd.fr           3600   NS     ns110.ovh.net
*.ndd.fr         3600     CNAME     ndd.fr      (ou xxx à la place de *, pour ton reverse proxy du dsm par exemple si tu ne veux pas de wildcard)

Les deux lignes suivantes tu supprimes si tu as une IP externe dynamique sinon tu mets la ligne 4 avec un TTL de 3600 eu supprimant la 5.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Les réseaux c'est un métier ! C'est bon comme ça ?

 

Domaine              TTL    Type   Cible               Remarque

ndd.fr               3600  NS     dns110.ovh.net
ndd.fr               3600  NS     ns110.ovh.net
monNas.ndd.fr        3600  CNAME  ndd.fr              Reverse proxy
www.ndd.fr           3600  CNAME  ndd.fr
ndd.fr               0     A      XX.XX.XX.XX         IP publique de la box (IP fixe)
ns.ndd.fr            600   A      XX.XX.XX.XX         IP publique de la box

 

Lien vers le commentaire
Partager sur d’autres sites

Voici le dernier jet en principe.

Domaine              TTL    Type   Cible          Remarque

ndd.fr               3600  NS     dns110.ovh.net
ndd.fr               3600  NS     ns110.ovh.net
monNas.ndd.fr        3600  CNAME  ndd.fr         Reverse proxy
www.ndd.fr           3600  CNAME  ndd.fr
ndd.fr               3600  A      XX.XX.XX.XX    IP publique de la box (IP fixe)
ns.ndd.fr            3600  A      XX.XX.XX.XX    IP publique de la box

 

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

Pour ton information chez OVH la valeur " 0 "  zéro, que l'on voit pour le TTL au niveau des enregistrements, signifie "TTL par défaut" qui est en fait fixé à 3600 sec par OVH (on peut d'ailleurs modifier cette valeur par défaut, il y a un menu pour). Donc renseigner les enregistrements avec TTL = 0 ne veux pas dire 0 Sec mais sous entendu 3600 sec.

@CyberFr

Bonjour,

Je vois que tu as définis "monNas.ndd.fr" comme domaine pour ton Reverse Proxy. Saches alors que c'est "lourd" de conséquences car alors toutes tes redirections donc les URL de connexions devront être du type "aliasApllication.monNas.ndd.fr".

A mon humble avis, l'enregistrement CNAME pour cela est inutile à moins que tu ne l'utilises uniquement pour atteindre DSM de ton NAS.

Dommage aussi que tu n'utilises pas le wilcard car à chaque nouveau sous-domaine, il te faudra penser à venir mettre à jour ta zone locale DNS chez OVH, on oublies souvent cela dans ce cas et on cherche des heures pourquoi cela ne marche pas ...

Pour tes redirections, il suffisant d'utiliser " aliasApplication.ndd.fr" ce qui est quand même plus simple et plus court à saisir, non ?

Maintenant ce que j'en dit, c'est toi qui voit ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, oracle7 a dit :

Pour ton information chez OVH la valeur " 0 "  zéro, que l'on voit pour le TTL au niveau des enregistrements, signifie "TTL par défaut"

Ah je ne savais pas.  Pour les zones publiques hébergées :

 

  • ne mettez JAMAIS la valeur 0 sous peine de ne plus jamais pouvoir corriger un enregistrement ou qu'il ne fonctionne pas (selon les implémentations, 0 peut être considéré comme invalide, donc l'enregistrement sera rejeté ou pire, il sera considéré comme n'expirant jamais)

alors dans le doute je dis de ne pas mettre la valeur 0.

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

C'était juste pour t'informer. Cela dit, lorsque ce n'est pas un enregistrement créé automatiquement par OVH, je fais comme toi, je suis prudent et je mets aussi un TTL différent de zéro.

@CyberFr

Désolé mais non ! pour

*.fr.      3600  CNAME  ndd.fr          Reverse proxy, www.ndd.fr, etc

je pense que tu as voulu dire/écrire *.ndd. fr. et pas *.fr.

Reste = OK RAS

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Ah tu as fini par opté pour le wildcard !

Moi ça me va

il y a 2 minutes, oracle7 a dit :

je pense que tu as voulu dire/écrire *.ndd. fr. et pas *.fr.

bien vu. faute de frappe sûrement 😉

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Je me rends chez un copain et chemin faisant j'accède au reverse proxy en 4G depuis mon smartphone sans problème. Une fois connecté chez lui sur son WI-FI, ça ne passe plus.

Bon. La seule solution que je vois est d'ouvrir le gaz ou de sauter du dixième étage. Mais comme je rate tout, que je n'ai pas le gaz et que j'habite au second étage, je risque aussi de foirer sur ce coup.

Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, CyberFr a dit :

Une fois connecté chez lui sur son WI-FI, ça ne passe plus

Avec ton contrôle d'accès, c'est normal si tu n'utilises pas le VPN..... mais avec tu devrais y arriver

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.