sly77 Posté(e) le 20 novembre 2021 Posté(e) le 20 novembre 2021 Bonjour à tous 🙂 Tout d'abord merci @Fenrir pour ton tuto J'ai mis en place les règle de sécurité de base, double MFA, changement des port natif, et déjà quelque règle de par feux. et par la suite je ferais le proxy mais pour le moment le dns qui je pense permet de valider cette première étape de la configuration. J'ai réalisé la première parti local : Zone local + Résolution + Vue Mais j'avoue après avoir fait la parti publique et tout décrémenté ensuite car, et vous aller le comprendre, avant de découvrir votre site j'ai fait l'acquisition de deux nom de domaine un en .fr et un en .com C'est domaine est mon pseudodegeek.dc (.dc pour datacenter) dans sont intégralité 😄 Enfin pour tenter de faire bref, je n'ai pas trop saisi ce que je devais faire pour la parti publique suite à l'indication en bleu : Quel suite ? dois je faire les zone master .fr et .com ?? En faite dans le tuto je ne sais pas si je peux créer une zone master monpseudo.fr, et avec l'étape préparatoire dans les prérequis faut-il reprendre les SOA et NS avec les commandes indiqué demander les informations de zone : nslookup -querytype=SOA monpseudo.fr mon ip privé demander la liste des serveurs de zone : nslookup -querytype=NS monpseudo.fr mon ip privé demander la valeur d'un enregistrement : nslookup www.monpseudo.fr mon ip privé de plus concernant le serveur dns secondaire, est ce que celui d'ovh peux être pris ? si j'ai bien compris actuellement mon registrar dns c'est ovh ? Su ma console OVH j'ai les serveur dns suivant ( les deux sont activé avec anycast et DNSSEC activé) dnsxx1anycast.me nsxx1anycast.me dnsx2.ovh.net nsx2.ovh.net sur serveur dns il n'y a pas d'indication ip, mais dans zone dns les NS ayant ces cibles ci dessus ont un également un type A qui pointe sur l'ip xxx.xxx.xxx.xxx ip que est identique au commande à effectuer en prérequis. enfin voilà ou j'en suis, je ne sais pas si je suis sur la bonne voix, de plus y a t'il aussi des opération à faire sur la console OVH ???? Merci d'avance pour votre attention et votre aide 🙂 0 Citer
Jeff777 Posté(e) le 20 novembre 2021 Posté(e) le 20 novembre 2021 Bonjour, 1/utiliser des serveurs sur internet généralement ceux de votre bureau d'enregistrement en tant que SOA et NS : Chez OVH ce sera dans l'onglet DNS serveur de ton domaine que tu mettras les serveurs ns d'OVH. Par défaut je crois que tu y trouveras deux serveurs de noms OVH. Il faudra faire la zone publique dans l'onglet zone DNS (je crois que là aussi il y aura quelques enregistrements par défaut) 3/ pour être à la fois SOA et NS ce sont tes serveurs DNS primaire et secondaire qu'il faudra mettre dans l'onglet DNS serveur. Ta zone publique sera hébergée sur le NAS (DNS serveur). Pour l'option 2/ je suppose (je n'ai jamais fait) que tu héberges ta zone mais tu utilise les serveurs de nom de OVH. Déjà il faut que tu fasses ce choix, sachant que pour l'option 3 il te faudra un serveur secondaire qui ne devra pas être sur le même réseau local que ton DNS primaire (ton nas) et qui hébergera une zone slave de ta zone publique. Tu peux utiliser un nas extérieur ou un fournisseur de service internet (attention tous ne font pas DNS secondaire) J'espère que mes explications t'aideront à faire ce choix. 0 Citer
oracle7 Posté(e) le 20 novembre 2021 Posté(e) le 20 novembre 2021 (modifié) @sly77 Bonjour, Le 29/01/2017 à 01:58, Fenrir a dit : Une architecture DNS se doit de disposer d'au moins 2 serveurs de nom (NS) pour une zone donnée. Il vous faut donc configurer un autre serveur DNS qui contiendra les mêmes valeurs que celles présentent dans votre NAS (le serveur secondaire recevra les données depuis votre NAS). nb : un DNS secondaire (on parle plutôt d'esclave ou slave en anglais) est un serveur qui contient une copie du fichier de zone, il ne peut pas en modifier le contenu Le plus simple pour ça et d'utiliser les serveurs DNS de votre bureau d'enregistrement, certains permettent de faire DNS "secondaire". Si ce n'est pas le cas il faudra trouver un autre serveur DNS acceptant de jouer ce rôle pour votre zone. Sauf erreur de ma part, pour être à la fois SOA et NS OVH ne nous permet pas de faire office de DNS "secondaire". Il te faut trouver un autre prestataire pour cela : Hurricane Electric est gratuit me semble-t-il mais il doit y en avoir d'autres. A ma connaissance, sur ce forum seul @Jeff777 a été jusqu'au bout et héberge sa propre zone publique. Il sera sûrement le plus compétent pour te renseigner comment il a procédé exactement. Bon bah grillé par @jeff777 ....🤣 Cordialement oracle7😉 Modifié le 20 novembre 2021 par oracle7 0 Citer
Mic13710 Posté(e) le 20 novembre 2021 Posté(e) le 20 novembre 2021 il y a 29 minutes, oracle7 a dit : A ma connaissance, sur ce forum seul @Jeff777 a été jusqu'au bout et héberge sa propre zone publique. Regarde à la page 2 du tuto.... Mais depuis que Free a sauvagement changé mon IP, j'ai basculé ma zone publique chez OVH. 0 Citer
oracle7 Posté(e) le 20 novembre 2021 Posté(e) le 20 novembre 2021 @Mic13710 Bonjour, 👍 Merci beaucoup pour l'info. Pour parfaire la bonne compréhension de ton REX, il est dommage que les images que tu avais mises ne soient plus disponibles.😟 Par ailleurs de toutes façons, il faut disposer d'une @IP externe fixe pour que cela marche. Cordialement oracle7😉 0 Citer
sly77 Posté(e) le 21 novembre 2021 Auteur Posté(e) le 21 novembre 2021 Bonjour à tous et merci pour votre retour 🙂 @Mic13710 la poisse pour toi, de mon côté je suis chez Free mais je suis en full stack me permettant en plus d'avoir une ip fixe dédié mais également non mutualisé et avoir à ma disposition l'ensemble des ports 🙂 J'ai déjà regardé à la page deux j'avoue qu'il faut que je le relise j'ai pas tous saisie encore 😛 et +1 pour les screen manquant 0 Citer
Mic13710 Posté(e) le 21 novembre 2021 Posté(e) le 21 novembre 2021 @sly77 j'ai bien un ip full stack (sinon ce serait la galère pour mon utilisation). C'est juste qu'un jour free ont décidé de changer l'IP que j'avais depuis des années pour la passer en ip partagée. Il a fallut demander une full stack, mais du coup j'ai perdu mon dns secondaire chez Fenrir. Je me suis donc résigné à rapatrier ma zone chez OVH pour ne plus avoir de problème. Concernant le vues du thread, c'est un souci d'hébergeur. Je l'avais déjà mis à jour en changeant d'hébergement mais le site a semble t'il fermé. Et comme mon sujet est quelque peu dépassé depuis les wildcard et les certificats via acme.sh. Il nécessiterait une maj et je n'ai pas beaucoup de temps pour ça. 0 Citer
sly77 Posté(e) le 21 novembre 2021 Auteur Posté(e) le 21 novembre 2021 @Mic13710 ton retour d'expérience inclu dans mon projet un facteur risque non négligeable et me pousse a suivre le même exemple, n'étant pas sur un abonnement pro, il se peu effectivement qu'un jour free décide de la changer et ce qui vas entrainer pas mal d'incidence. Du coup je peux garder ma zone local, mais quelle est la marche à suivre si je veux rediriger des services tel que mon serveur emby par exemple ? 0 Citer
Jeff777 Posté(e) le 21 novembre 2021 Posté(e) le 21 novembre 2021 @sly77 Si tu veux accéder tes services de l'extérieur en utilisant nom de domaine et reverse proxy il te faudra de toute manière configurer un serveur de nom avec une zone publique qui fera correspondre ton nom de domaine avec ton IP publique. Si celle-ci change il faudra le reconfigurer quelque soit la solution retenue. Si tu retiens la première option c'est plus simple. Le problème de @Mic13710 c'est qu'il était dans le cas 3 et qu'il n'avait pas la main sur son serveur secondaire hébergé par Fenrir. 0 Citer
sly77 Posté(e) le 22 novembre 2021 Auteur Posté(e) le 22 novembre 2021 ok bon bas au boulot alors 😄 0 Citer
PiwiLAbruti Posté(e) le 22 novembre 2021 Posté(e) le 22 novembre 2021 (modifié) Le 20/11/2021 à 20:34, Mic13710 a dit : Mais depuis que Free a sauvagement changé mon IP, j'ai basculé ma zone publique chez OVH. Pour ma part, je laisse également la zone publique domain.tld chez OVH. Par contre, j'héberge des zones publique de 3ème niveau sur le NAS du type nas.domain.tld qui sont totalement insensibles aux changements d'adresse IP. Pour cela, il faut créer un enregistrement NS nas.domain.tld chez OVH pointant vers un DynHost dynhost-nas.domain.tld (ou n'importe quel service de DNS dynamique). Le DynHost est configuré sur le NAS pour qu'il soit mis à jour automatiquement avec l'adresse IP publique. Ainsi, s'il y a un changement d'adresse IP publique, la zone publique du NAS nas.domain.tld redevient accessible dès que le DynHost a été mis à jour (1 minute d'indisponibilité maximum). Inconvénients : Ça rallonge un peu les URL (https://dsm7.nas.domain.tld/ pour accéder à DSM par exemple), mais avec un 2ème niveau de 4 caractères (minimum disponible pour le grand public) ce n'est pas une grosse contrainte (abcd.tld). Avantages : On peut gérer une infinité de zones publiques de 3ème niveau tout en conservant le domaine parent chez le registrar. Cette technique rend une zone publique exploitable même avec une connexion ne disposant pas d'une adresse IP fixe. L'accès peut être limité dans le pare-feu, très pratique pour sécuriser le serveur DNS. On peut aussi limiter les IP source directement dans les paramètres de chaque zone, mais le pare-feu à l'avantage de ne même pas exposer le port udp/53. Modifié le 23 novembre 2021 par PiwiLAbruti 2 Citer
Jeff777 Posté(e) le 22 novembre 2021 Posté(e) le 22 novembre 2021 @PiwiLAbruti, ça mériterai de faire un commentaire dans le tuto DNS Serveur pour ceux qui s'arrête aux prérequis. 1 Citer
sly77 Posté(e) le 22 novembre 2021 Auteur Posté(e) le 22 novembre 2021 je ne sais que dire je fais les test dans tous les sens et rien car rien que mettre un redirection vers mon serveur emby sur ovh, et même quand je paramètre un type serveur avec le port et le lien https , je tombe systématiquement sur la page d'accès dsm et redirigé sur le port https que j'ai personnalisé, Je ne veux pas que ma page d'accès dsm soit visible au reste du monde 😕 0 Citer
Jeff777 Posté(e) le 22 novembre 2021 Posté(e) le 22 novembre 2021 il y a une heure, sly77 a dit : je ne sais que dire je fais les test dans tous les sens et rien C'est bien là le problème. Si tu as suivi le tuto de DNS serveur+ celui sur le reverse proxy et effectué les vérifications recommandées à chaque phase tu devrais y arriver. Nous passons tous par ses moments de doute mais finalement on s'aperçoit que quelque chose nous avait échappé et tout s'éclaire. C'est difficile de t'aider car nous ne savons pas trop où tu en es. 0 Citer
sly77 Posté(e) le 22 novembre 2021 Auteur Posté(e) le 22 novembre 2021 j'ai juste laissé le dns local et remis le DDNS et renouvelé mes certification pour être en https ha non je n'ai pas fait le reverse proxy 😕 Je vais peut être trop vite je vais reprendre les tuto de base que vous m'avez donné dans mon topic de présentation 🙂 0 Citer
oracle7 Posté(e) le 22 novembre 2021 Posté(e) le 22 novembre 2021 @sly77 Bonjour, Il y a 2 heures, sly77 a dit : 'ai juste laissé le dns local et remis le DDNS Je ne comprend pas : tu dis avoir une @IP externe full stack FIXE et tu parles d'avoir remis le DDNS : cherchez l'erreur ???? Si tu as une @IP externe fixe, tu n'as pas besoin de "jouer" avec un "DDNS" (Dynamic Domain Name Server). Cela impacte la configuration de ta zone locale DNS chez OVH. C'est peut-être du coup la configuration de ce DDNS de trop qui perturbe tout, non ? A mon humble avis, il te faut reprendre cela. Cordialement oracle7😉 0 Citer
sly77 Posté(e) le 22 novembre 2021 Auteur Posté(e) le 22 novembre 2021 (modifié) oui je m'en suis rendu compte en l'écrivant, c'était avant de m'inscrire ici, je ne comprenant pas pourquoi j'étais forcé de faire un DDNS, ce sont les recherche sur le web qui m'ont mis en erreur Mon objectif est d'être non visible je m'explique sur ovh quand on prend un nom de domaine on n'a la page de félicitation : et je souhaite que cela reste ainsi car cette redirection est visible Alors je suis allé déjà ici et j'ai mis mon ip publique et les ports personalisé puis je suis allé ici et mis les setting correspondant ainsi que le nom de domaine du coup ça avance quand même, depuis ma console ovh j'ai fait des redirection invisible dns https j'ai modifier les ip pour que ça pointe sur mon ip publique je fait des test depuis le vpn pour avoir des tests plus aboutie mon dsm ne peux être atteinds en www.alias.nomdedomain.fr seul le https est possible les test de www. ou http donne une page blanche pour l'appli file j'ai créé les enregistrement dns sur ovh et configurer sur le nas les connexion et port personnalisé pour le moment les test semble bon je reviens vers vous dès que tous est validé Edit : Oui tout fonctionne comme je le souhaite pour le moment pour le DSM : les www sont inconue au bataillons sur la toile l'alias choisi name.nomdedomaine bascule bien sur la console DSM si je tape http c'est redirigé en https pour file station : idem https uniquement tout autre connexion est refusé après je ne suis pas expert est ce bien de ne pas faire de www ??? 😕 Modifié le 22 novembre 2021 par sly77 0 Citer
Kramlech Posté(e) le 22 novembre 2021 Posté(e) le 22 novembre 2021 il y a 25 minutes, sly77 a dit : après je ne suis pas expert est ce bien de ne pas faire de www Le www est un sous domaine comme les autres ... https://www.prodomaines.com/nom-domaine-avec-sans-www 2 Citer
sly77 Posté(e) le 23 novembre 2021 Auteur Posté(e) le 23 novembre 2021 Il y a 14 heures, Kramlech a dit : Le www est un sous domaine comme les autres ... https://www.prodomaines.com/nom-domaine-avec-sans-www intéressent du coup aucun problème de ce côté, j'ai fais les enregistrement dns comme je le fais dans ma boite j'ai du faire un choix car sur dsm ont ne peu pas attribuer plusieurs certificat à un service du coup je fait des non www, je trouve en plus le nommage plus court et sympa 0 Citer
sly77 Posté(e) le 23 novembre 2021 Auteur Posté(e) le 23 novembre 2021 bon du coup après l'étude du tuto de @Fenrirsur la sécurité. j'ai crus être dans the walking dead 😄 J'ai supprimé mes redirections qui pointait sur le DSM et le DS file. j'ai appliqué les configurations recommandé, j'ai quelque interrogation car le tuto date de 2016 et je suis en DSM7 certaine option son nommé ou interprété différemment. Je reprendrais la suite de ce projet dns plus tard car j'ai encore la parti vpn et proxy à faire 😛 0 Citer
sly77 Posté(e) le 23 novembre 2021 Auteur Posté(e) le 23 novembre 2021 par contre je ne vois pas comment désactiver la fonction configuration du routeur ? Je l'avais effectivement utilisé mais depuis la découverte du tuto pour sécuriser sont nas j'ai désactive l'option upnp sur ma box free et réalisé à la main les redirection de port 0 Citer
Jeff777 Posté(e) le 23 novembre 2021 Posté(e) le 23 novembre 2021 il y a 6 minutes, sly77 a dit : par contre je ne vois pas comment désactiver la fonction configuration du routeur ? Je ne l'ai jamais activée mais il n'y aurait pas une case "activé" à décocher puis cliquer sur appliquer ? 0 Citer
sly77 Posté(e) le 23 novembre 2021 Auteur Posté(e) le 23 novembre 2021 non, mais quand on clique sur l'un des bouton il dit qu'il faut activer le service bonjour, que j'ai désactivé suite au tuto par contre y a quand même pas mal de changement côté administration entre le dsm6 et dsm7 0 Citer
Jeff777 Posté(e) le 23 novembre 2021 Posté(e) le 23 novembre 2021 il y a 14 minutes, sly77 a dit : par contre y a quand même pas mal de changement côté administration entre le dsm6 et dsm7 Je te parle de cette case ci (identique chez DSM6 et DSM7): 0 Citer
sly77 Posté(e) le 23 novembre 2021 Auteur Posté(e) le 23 novembre 2021 et je ne comprend pas cette histoire de nom de domaine et hote ici faut mettre quoi du coup ? l'ip de ma box ou son name ? ou le nom de mon nas ??? et ici par ce que impossible de me connecter en dsm autre que l'ip du nas et du coup pas possible d'affecter un certificat puisque tout est en ip il y a 6 minutes, Jeff777 a dit : Je te parle de cette case ci (identique chez DSM6 et DSM7): alors c'est décoché mais il y a toujours les restes mais ça ne communique plus Entre temps j'ai posté juste au dessus 😉 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.