Configuration d'un serveur DNS

[Finnithnel]

Bonjour,

Voici l'architecture que je souhaite mettre en place avec les explications qui vont bien juste dessous

Je dispose donc :

- d'un nom de domaine public, ndd.tld , acheté chez LWS qui me met du coup également à disposition une interface pour configurer la partie DNS de ce domaine

- d'un accès admin aux réseaux de 3 maisons distinctes (M1, M2 et M3), dans lesquels on retrouve :

• M1 :
  • box
    • adresse publique 217.1.1.1
    • adresse privée 192.168.1.254
    • DMZ sur le routeur
  • routeur
    • adresse dans la DMZ : 192.168.1.253
    • adresse dans le réseau privé : 192.168.11.253
    • serveur DHCP
  • NAS1 (DS1819+)
    • adresse 192.168.11.250
    • DDNS : nas1.synology.me
    • serveur DNS
    • serveur de fichiers
    • reverse proxy
  • périphérique lambda
    • adresse 192.168.11.X
• M2 :
  • box
    • adresse publique 217.2.2.2
    • adresse privée 192.168.22.254
  • NAS2 (DS1819+)
    • adresse 192.168.22.250
    • DDNS : nas2.synology.me
    • serveur DHCP
    • serveur DNS
    • serveur de fichiers
    • reverse proxy
  • périphérique lambda
    • adresse 192.168.22.X
• M3 :
  • box
    • adresse publique 217.3.3.3
    • adresse privée 192.168.33.254
    • serveur DHCP
    • serveur DNS
  • périphérique lambda
    • adresse 192.168.33.X

 

Mon souhait (si on oublie les caches DNS pour simplifier les explications bien évidemment) :

- une requête de type *.ndd.tld doit arriver sur le serveur DNS de LWS, puis :

• une requête de type *.m1.ndd.ltd doit être redirigée sur le serveur DNS du NAS1 (NAS2 fait office de slave pour ce sous domaine)
• une requête de type *.m2.ndd.ltd doit être redirigée sur le serveur DNS du NAS2 (NAS1 fait office de slave pour ce sous domaine)
• une requête de type *.m3.ndd.ltd doit être redirigée sur le serveur DNS du NAS1 (NAS2 fait office de slave pour ce sous domaine)
• les autres requêtes ne doivent pas être redirigées, et donc afficher la page ndd.tld

- je ne veux pas retrouver les IP publiques de mes BOX/NAS dans l'interface LWS : elles ont vocation à changer régulièrement, et le DDNS des NAS permet d'avoir une IP dynamique associée à un nom DNS fixe (nas1.synology.me et nas2.synology.me) <= est-il possible avec les services DDNS des box d'assigner directement mes noms de domaine public à ces IP (style m1.ndd.tld et m2.ndd.tld) ?

 

[PiwiLAbruti]

Il y a 5 heures, Finnithnel a dit :

- je ne veux pas retrouver les IP publiques de mes BOX/NAS dans l'interface LWS

Seuls les enregistrements *.synology.me seront utilisés dans les enregistrements NS de l'interface LWS.

Il y a 14 heures, Finnithnel a dit :

est-il possible avec les services DDNS des box d'assigner directement mes noms de domaine public à ces IP

Non, les box ne proposent que des services DDNS les plus courants.

[Finnithnel]

Il y a 5 heures, PiwiLAbruti a dit :

Seuls les enregistrements *.synology.me seront utilisés dans les enregistrements NS de l'interface LWS.

Non, les box ne proposent que des services DDNS les plus courants.

Mon problème c'est que d'une part, cela ne semble pas fonctionner, et d'autre part j'ai trouvé assez peu d'exemples liés à cet approche sur le net, le peu que j'ai trouvé semblant au contraire m'indiquer que c'est une idée vouée à l'échec : https://blog.mikejmcguire.com/2014/06/06/dns-delegation-intermittently-failing-due-to-cname-based-ns-records/

 

Pour le moment, dans mon interface LWS, j'ai définis ces règles (je ne garde que les plus appropriées) :

Type / Nom / Valeur

NS / @ / ns1.lwsdns.com
NS / @ / ns2.lwsdns.com
A / @ / W.X.Y.Z
CNAME / www / @

NS / m1 / ns1.m1.ndd.tld
NS / m1 / ns2.m1.ndd.tld
CNAME / ns1.m1 / nas1.synology.me.
CNAME / ns2.m1 / nas2.synology.me

Sur le NAS1, fichier zone.conf :

[m1.ndd.tld]
	host_name="ns1.m1.ndd.tld."
	allow-update-key=""
	type="master"
	allow-transfer=""
	notify_enable="no"
	allow-query=""
	allow-query-subnet=""
	also-notify=""
	allow-query-ip=""
	domain_type="forward"
	limit_update="yes"
	forward=""
	zonename="m1.ndd.tld"
	slavekey=""
	allow-transfer-ip=""
	allow-update=""
	also-notify-ip-raw=""
	enable_tsig="no"
	allow-transfer-subnet=""
	forwarders=""
	enable_auto_update_iface_ip="no"
	allow-transfer-key=""
	allow-update-subnet=""
	allow-update-ip=""
	zone_enable="yes"
	domain="m1.ndd.tld"
	serial_format="date"
	org_mail="m1@ndd.tld."
	masters=""
	host_mail="m1.ndd.tld."
	listen-interfaces=""
	limit_transfer="no"
	limit_query="no"

Sur le NAS1, fichier m1.ndd.tld :

$ORIGIN m1.ndd.tld.
$TTL 86400
m1.ndd.tld. IN SOA ns1.m1.ndd.tld. m1.ndd.tld. (
	2021101502
	43200
	180
	1209600
	10800
)
m1.ndd.tld.	600	A	A.B.C.D
m1.ndd.tld.	600	NS	ns1.m1.ndd.tld.
ns1.m1.ndd.tld.	600	A	A.B.C.D
*.m1.ndd.tld.	600	CNAME	m1.ndd.tld.

Avec A.B.C.D : IP publique du NAS1 / BOX de la M1

et W.X.Y.Z : IP publique du serveur chez LWS

[.Shad.]

Je pense aussi que le fait d'utiliser un CNAME pour pointer l'IP d'un NS peut poser problème dans la pratique, même si sur le papier, rien ne l'empêche.
Vu que LWS ne propose pas de DNS dynamique (de mes recherches en tout cas, et j'imagine que c'est pour cette raison que tu veux utiliser le DDNS Synology).

Pour moi la solution la plus simple serait de déporter ta zone vers un hébergeur comme Cloudflare.
La version Free devrait permettre d'ajouter tes 3 DDNS (à vérifier quand même), et ainsi tu t'affranchis des DDNS Synology.

https://www.cloudflare.com/fr-fr/plans/

Autrement, tout me semble bien configuré, si tu étais joueur tu pourrais faire du VPN site-à-site entre les 3 NAS, et laisser juste le point d'entrée sur celui qui a le proxy inversé. 😉 

[PiwiLAbruti]

Comme le dit @.Shad., le CNAME pose problème. Les enregistrements NS doivent nécessairement pointer vers des enregistrements A et/ou AAAA.

Donc fais directement pointer les enregistrements NS vers nasx.synology.me.

[Finnithnel]

Oui, je l'ai réalisé en tombant au hasard sur le journal du serveur DNS du synology

De manière totalement contre intuitive, la configuration mise en place était acceptée... mais pas effective !

En fait le serveur NAS indiquait dans ses logs que les NS étaient définis par des CNAME ce qu'il jugeait illégal, du coup il appliquait la dernière configuration jugée "valide" tout en laissant en apparent mes settings qu'il jugeait "invalides"

 

En rebasculant sur des IP fixes, avec des A, ça refonctionne

Mais ça ne résoud pas mon problème puisque je me retrouve à devoir définir sur mon registrar les IP fixes de mes 2 NAS, et à devoir les redéfinir sur chaque vue publiques de mes NAS maîtres (soit au minimum 4 fois par IP, et dans 3 interfaces différentes, la grosse loose si je dois les éditer à chaque changement...)

 

J'ai étudié la proposition de @.shad. consistant à utiliser Cloudfare comme proxy DNS

Ca a l'avantage de me permettre d'utiliser leur API pour mettre à jour les IP fixes... ça résout donc le problème sur 1 des 4 configurations, mais ça pose la contrainte de devoir désactiver DNSSEC que je comptais mettre en place une fois tout le bouzin fonctionnel et ça ne résoud pas l'impossibilité d'avoir recours à des CNAME sur les serveurs DNS des 2 NAS synology

y'a aucun autre moyen ? J'avoue être assez septique sur le fait d'avoir été le seul zozo à avoir eu l'envie de déléguer des sous domaines à coup de noms canoniques au lieu d'IP plus ou moins fixes

[PiwiLAbruti]

Tu as essayé d'utiliser les noms dynamiques nasx.synology.me directement dans les enregistrements NS comme je te l'ai suggéré ? Ça évite de devoir définir les adresses IP, non ?

En tout cas c'est ce que je fais chez OVH avec leur système de DNS dynamique, donc ça devrait fonctionner même avec des enregistrements terminant par synology.me.

Pour la réplication des zones (qui ne se configure qu'avec des adresses IP), j'utilise les adresses IPv6 qui, elles, sont fixes.