fabpan Posté(e) le 19 mars 2022 Posté(e) le 19 mars 2022 Bonjour, Voici mon soucis : Après avoir suivi les tutos de Fenrir sur le VPN et le DNS, je me suis lancé. J'ai créé une connexion VPN avec le serveur OpenVPN, tout fonctionne bien, je me connecte à mon nas via mon navigateur https://10.8.0.1. Je précise je suis en Split Tunnel (#redirect-gateway def1) J'ai ensuite voulu, comme dans le tuto Fenrir sur le VPN, créer un serveur DNS pour pouvoir se connecter avec un nom de domaine "nas.maison" En local tout fonctionne bien : nslookup nas.maison 192.168.1.x Pour la connexion VPN, j'ai modifié le fichier VPNConfig.ovpn en décommentant "dhcp-option DNS 10.8.0.1" pour pointer sur le serveur DNS du NAS. Sur mon PC windows distant, lorsque je tape nslookup nas.maison 10.8.0.1 cela fonctionne ! Mais quand je ne précise pas 10.8.0.1 j'ai par défaut les DNS de mon routeur (192.168.0.254), si bien que lorsque je tape http://nas.maison dans mon navigateur je n'obtiens rien. Il pensait que lorsque l'on se connectait à OpenVPN, les DNS par défaut serait celui configuré dans le fichier VPNConfig.ovpn (10.8.0.1), je me trompe ? Merci d'avance pour votre aide, 0 Citer
.Shad. Posté(e) le 20 mars 2022 Posté(e) le 20 mars 2022 (modifié) Salut, tu peux essayer l'une et/ou l'autre des options dans le fichier ovpn : script-security 2 block-outside-dns Modifié le 20 mars 2022 par .Shad. 0 Citer
fabpan Posté(e) le 20 mars 2022 Auteur Posté(e) le 20 mars 2022 Salut, Merci pour ta réponse. script-security 2 était déjà dans le fichier. J'ai donc rajouté block-outside-dns, et là bingo ça fonctionne ! nslookup nas.maison me renvoi bien l'adresse 10.8.0.1, sans erreur. Par contre lorsque je rentre l'adresse https://nas.maison dans mon navigateur j'ai une erreur DNS_PROBE_STARTED Si je ping nas.maison : la requête Ping n’a pas pu trouver l’hôte Il y a une manip à faire ? 0 Citer
fabpan Posté(e) le 20 mars 2022 Auteur Posté(e) le 20 mars 2022 Je viens de capter un truc, je ne ping pas la bonne adresse. Je retente avec ping ns.nas.maison (toujours depuis mon PC distant en VPN), résultat : Envoi d’une requête 'ping' sur ns.nas.maison [192.168.1.30] avec 32 octets de données : Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination. Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination. Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination. Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination. Statistiques Ping pour 192.168.1.30: Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%) Du coup je ping mon serveur DNS, mais j'ai une réponse de mon routeur chez moi (192.168.0.254) 192.168.1.30 correpond à l'IP fixe de mon NAS sur son LAN. Je suis un peu perdu là... 0 Citer
fabpan Posté(e) le 22 mars 2022 Auteur Posté(e) le 22 mars 2022 Est-ce que quelqu'un aurait une piste ? 0 Citer
oracle7 Posté(e) le 22 mars 2022 Posté(e) le 22 mars 2022 @fabpan Bonjour, Sous réserves, as-tu essayé de mettre "dhcp-option DNS @IPlocaleTonServeurDNS" ? Cordialement oracle7😉 0 Citer
.Shad. Posté(e) le 23 mars 2022 Posté(e) le 23 mars 2022 Il y a 12 heures, fabpan a dit : Est-ce que quelqu'un aurait une piste ? Est-ce que le serveur DNS du NAS fait bien autorité pour le domaine nas.maison ? Vérifier si tu as la mention "non-authoritative answer" dans la réponse de : nslookup ns.nas.maison Peux-tu nous faire une impression d'écran de ta zone DNS et des ACL (restriction d'IP d'origine, vues, etc...) ? 0 Citer
fabpan Posté(e) le 23 mars 2022 Auteur Posté(e) le 23 mars 2022 Le 22/03/2022 à 17:58, oracle7 a dit : @fabpan Bonjour, Sous réserves, as-tu essayé de mettre "dhcp-option DNS @IPlocaleTonServeurDNS" ? Cordialement oracle7😉 Bonjour, Dans mon fichier de configuration j'ai ça : dhcp-option DNS 10.8.0.1 0 Citer
oracle7 Posté(e) le 23 mars 2022 Posté(e) le 23 mars 2022 (modifié) @fabpan Bonjour, Je voulais dire que si ton Serveur DNS est installé sur ton NAS alors : IPlocaleTonServeurDNS=@IPlocaleNAS, donc l'option serait "dhcp-option DNS @IPlocaleNAS". Cordialement oracle7😉 Modifié le 23 mars 2022 par oracle7 0 Citer
fabpan Posté(e) le 23 mars 2022 Auteur Posté(e) le 23 mars 2022 Il y a 15 heures, .Shad. a dit : Est-ce que le serveur DNS du NAS fait bien autorité pour le domaine nas.maison ? Vérifier si tu as la mention "non-authoritative answer" dans la réponse de : nslookup ns.nas.maison Peux-tu nous faire une impression d'écran de ta zone DNS et des ACL (restriction d'IP d'origine, vues, etc...) ? Bonjour, Pour info j’ai remplacé « .maison » par « .lrc », ça ne change pas mon problème. Voici le résultat nslookup ns.nas.lrc : 1) Sur mon ordi connecté sur le réseau local avec le NAS : nslookup ns.nas.lrc Serveur : UnKnown Address: 192.168.1.30 Nom : ns.nas.lrc Address: 192.168.1.30 Quand je tape https://ns.nas.lrc:6601 dans mon navigateur, j’accède bien au NAS. 2) Sur mon PC windows distant connecté en VPN (OpenVPN) : nslookup ns.nas.lrc Serveur : UnKnown Address: 10.8.0.1 Nom : ns.nas.lrc Address: 192.168.1.30 Quand je tape https://ns.nas.lrc:6601 dans mon navigateur, ERR_CONNECTION_TIMED_OUT. Voici les imprimes écrans : Menu Résolution Menu Vues Merci d'avance pour votre aide 0 Citer
fabpan Posté(e) le 23 mars 2022 Auteur Posté(e) le 23 mars 2022 il y a 20 minutes, oracle7 a dit : @fabpan Bonjour, Je voulais dire que si ton Serveur DNS est installé sur ton NAS alors : IPlocaleTonServeurDNS=@IPlocaleNAS, donc l'option serait "dhcp-option DNS @IPlocaleNAS". Cordialement oracle7😉 Ok, voici la config : Si je me trompe pas il faut bien rentrer : dhcp-option DNS 10.8.0.1 C'est bien ça ? 0 Citer
.Shad. Posté(e) le 23 mars 2022 Posté(e) le 23 mars 2022 Tu n'autorises pas l'accès des clients au serveur LAN (dernière impression d'écran). Mais ta zone renvoie vers l'IP locale du NAS et pas son IP VPN, donc ça me semble logique que tu n'y accèdes pas. Il n'y a pas de route disponible. Si tu veux ne pas cocher cette case, tu dois faire une zone identique à la zone du LAN mais avec l'IP VPN pour le NAS plutôt que son IP locale. 0 Citer
fabpan Posté(e) le 24 mars 2022 Auteur Posté(e) le 24 mars 2022 Il y a 20 heures, .Shad. a dit : Tu n'autorises pas l'accès des clients au serveur LAN (dernière impression d'écran). Mais ta zone renvoie vers l'IP locale du NAS et pas son IP VPN, donc ça me semble logique que tu n'y accèdes pas. Il n'y a pas de route disponible. Si tu veux ne pas cocher cette case, tu dois faire une zone identique à la zone du LAN mais avec l'IP VPN pour le NAS plutôt que son IP locale. Ok merci pour ta réponse! Oui je n'ai pas coché cette case car je n'ai pour l'instant pas besoin d'accèder à d'autres appareils sur mon LAN... Juste une précision, est-ce que je dois créer une deuxième zone master avec le même nom de domaine, ou je dois remplacer celle existante ? 0 Citer
.Shad. Posté(e) le 24 mars 2022 Posté(e) le 24 mars 2022 Non tu crées une deuxième zone, elle sera numérotée 2 je crois me souvenir. Le tout étant de mettre la bonne vue VPN pour une zone avec IP VPN. 0 Citer
fabpan Posté(e) le 24 mars 2022 Auteur Posté(e) le 24 mars 2022 Ok j'ai créé une deuxième zone master avec le même nom de domaine nas.lrc et l'adresse IP VPN : 10.8.0.1 (serveur DNS princpal) Effectivement ça m'a créé un deuxième ID réseau nas.lrc(2) J'ai mis les mêmes restrictions : Dans le menu "Vues", j'ai créé une vue VPN avec comme restriction le sous réseau 10.0.0.0/8 : Et j'ai sélectionné la zone nas.lrc(2) Malheureusement ça ne marche toujours pas : >nslookup ns.nas.lrc Serveur : UnKnown Address: 10.8.0.1 Nom : ns.nas.lrc Address: 192.168.1.30 J'ai raté un truc ? 0 Citer
.Shad. Posté(e) le 25 mars 2022 Posté(e) le 25 mars 2022 (modifié) Tu n'as pas d'enregistrement A pour ton domaine racine nas.lrc, ce n'est pas "légal" d'un point de vue de la RFC. Si tu mes 10.0.0.0/8 dans les deux vues, pour un enregistrement qui existe dans les deux zones (ns.nas.lrc par exemple), comment il doit choisir ? 10. ou 192. ? Enlève 10.0.0.0/8 de la vue locale et ne laisse effectivement que lui dans la zone VPN. Si tu limites les IP sources au niveau des zones, tu peux enlever la limitation globale que tu as peut-être mise en place si tu as suivi le tutoriel de Fenrir, pour moi c'est une redondance qui n'a pas lieu d'être. Modifié le 25 mars 2022 par .Shad. 0 Citer
fabpan Posté(e) le 25 mars 2022 Auteur Posté(e) le 25 mars 2022 En fait je viens de tenter un truc, j'ai juste inversé l'ordre de priorité des Vues : Et ça fonctionne ! en VPN sur PC distant et également en Local ! 🍾 Bon c'est peut-être pas très "propre" mais c'est efficace. T'en penses quoi ? 0 Citer
.Shad. Posté(e) le 25 mars 2022 Posté(e) le 25 mars 2022 J'en pense que tu devrais faire ce que j'ai dit 😉 Ça confirme ce que je pensais, il traite les vues dans l'ordre, du coup vu que tu inclus les clients VPN dans ta vue locale, il n'a aucune raison d'aller voir l'autre. D'où l'intérêt de les exclure de la vue locale. 0 Citer
fabpan Posté(e) le 25 mars 2022 Auteur Posté(e) le 25 mars 2022 Ok j'ai supprimé les clients VPN dans la vue locale, j'ai rechangé les priorités comme au début, effectivement ça fonctionne ! Il y a 6 heures, .Shad. a dit : Tu n'as pas d'enregistrement A pour ton domaine racine nas.lrc, ce n'est pas "légal" d'un point de vue de la RFC. Pas sûr de comprendre : pour la zone nas.lrc, j'ai l'enregistrement A qui pointe sur 192.168.1.30 : pour la zone nas.lrc(2) j'ai un enregistrement A qui pointe sur 10.8.0.1 : Il y a quelque chose qui cloche ou c'est bon ? 0 Citer
.Shad. Posté(e) le 25 mars 2022 Posté(e) le 25 mars 2022 (modifié) @fabpan On définit toujours un enregistrement A et NS pour un domaine racine (sans sous-domaine). Ce qui ne pose pas de problème localement serait non fonctionnel si c'était un serveur publique faisant autorité. Donc dans la première, tu peux ajouter par exemple : nas.lrc. A 192.168.1.30 Et dans la zone VPN : nas.lrc. A 10.8.0.1 Modifié le 25 mars 2022 par .Shad. 0 Citer
fabpan Posté(e) le 26 mars 2022 Auteur Posté(e) le 26 mars 2022 Yes merci pour cette précision, c'est rajouté ! Juste entre parenthèse par rapport au tuto de Fenrir sur le DNS : Dans sa partie Zone DNS locale il ne précise pas d'enregistrement A pour son domaine racine. Par contre sa section Zone DNS publique, il le précise effectivement : Le 29/01/2017 à 01:58, Fenrir a dit : (edit) : ce n'est pas dans la capture, mais il faut aussi créer un enregistrement pour le "naked domain", le domaine lui même, ça doit être un type A Merci beaucoup pour ton aide , ainsi que oracle7 pour sa contribution. Sujet résolu ! 1 Citer
GB Informatics Posté(e) le 17 juillet 2023 Posté(e) le 17 juillet 2023 Bonjour, J'ai suivi les deux tutoriels qui sont évoqués dans le fil de la discussion. J'utilise un NAS, je souhaite pour voir à distance l'utiliser comme quand je le fait chez moi. J'ai mis en place un VPN avec VPN server et OpenVPN. Je voudrais remonter les lecteurs comme suivant : \\Adresse_IP_du_serveur\Documents ou \\Nom_du_serveur\Documents ou \\10.8.0.1\Documents. Actuellement j'arrive à faire la remontée avec \\Adresse_IP_du_serveur\Documents ou \\10.8.0.1\Documents. Je n'arrive à faire le plus important.. Ce que j'ai fait : J'ai créé deux zones => lan.local => lan.local NS maison.lan.local dsm.lan.local CNAME maison.lan.local maison.lan.local A 172.16.XX.X vpn.local => vpn.local NS maison.vpn.local maison.vpn.local A 10.8.0.1 Dans résolution j'ai mis => Redirecteur 1 = Ma Box Redirecteur 2 = Le serveur DNS du NAS Dans les vues j'ai mis => Priorité 1 = VPN avec IP source : 10.8.0.0/28 => en sélectionnant la zone vpn.local Priorité 2 = LAN avec IP source : 127.0.0.0/8;172.16.XX.X/24 => en sélectionnant la zone lan.local Je n'ai pas tout compris, je pense qu'il y a des erreurs. Est-il possible de m'aider pour éclaircir les choses s'il vous plait ? Mercii 0 Citer
.Shad. Posté(e) le 17 juillet 2023 Posté(e) le 17 juillet 2023 Hello, alors pour ta zone lan, j'aurais fait quelque chose du genre : lan.local NS ns.lan.local lan.local A 172.16.X.X ns.lan.local CNAME lan.local dsm.lan.local CNAME lan.local Même chose pour ta zone vpn, en changeant le sous-réseau privé : lan.local NS ns.lan.local lan.local A 10.0.8.1 ns.lan.local CNAME lan.local dsm.lan.local CNAME lan.local Ces zones ne se différencient que par l'IP finale pointée, les noms de domaine sont identiques, donc passer du LAN au VPN est transparent pour tes montages réseaux. Au niveau de tes vues ça devrait être bon. En revanche, je ne comprends pas pourquoi tu as le mis l'IP du NAS en second redirecteur. Si ta requête n'est pas résolue par ta zone locale, lui redemander ne changera rien. Soit tu actives un ou deux redirecteurs, et dans ce cas-là tu disposes d'un serveur récursif, càd la requête est transmise à un(des) serveur(s) publique(s) de ton choix qui va(vont) retrouver pour toi l'IP de destination. Soit tu ne les actives pas, et dans ce cas-là ton résolveur fonctionne de manière itérative, il va lui-même interroger les serveurs root et redescendre la chaîne des domain level jusqu'à trouver la zone faisant autorité sur l'enregistrement que tu recherches. Dernière chose, joindre un NAS par son nom NetBios ne fonctionne pas en VPN, donc c'est soit par IP soit par nom de domaine. 0 Citer
GB Informatics Posté(e) le 18 juillet 2023 Posté(e) le 18 juillet 2023 (modifié) Bonjour, J'ai mis l'adresse IP du NAS car je n'avais pas tout compris pour les 1.1.1.1 et 1.0.0.1. il faut donc que je mette comme redirecteur seulement ma Livebox en 172.16.XX.X ? "Dernière chose, joindre un NAS par son nom NetBios ne fonctionne pas en VPN, donc c'est soit par IP soit par nom de domaine." => Uniquement avec le fichier host directement rempli si je comprends bien. Je voudrais remplacer le "ns" par quelque chose de plus propre. Mon serveur s'appelle DS218. Mon domaine s'appelle "maison". J'ai fait des modifications, pourras-t m'expliquer pour que je sois sûr d'avoir bien compris s'il te plait ? Il faut mieux limiter les IP sources dans les zones ou les vues ? Zone LAN : lan.local NS ns.lan.local => lan.local NS maison.lan.local lan.local A 172.16.X.X => lan.local A 172.16.X.X ns.lan.local CNAME lan.local => maison.lan.local CNAME lan.local dsm.lan.local CNAME lan.local => ds218.lan.local CNAME lan.local Zone VPN : lan.local NS ns.lan.local => lan.local NS maison.lan.local lan.local A 10.0.8.1 => lan.local A 10.8.0.1 ns.lan.local CNAME lan.local => maison.lan.local CNAME lan.local => Le FQDN de CNAME et d'autres enregistrements ne peuvent être identiques dsm.lan.local CNAME lan.local => DS218.lan.local CNAME lan.local Modifié le 18 juillet 2023 par GB Informatics correction 0 Citer
.Shad. Posté(e) le 18 juillet 2023 Posté(e) le 18 juillet 2023 il y a 44 minutes, GB Informatics a dit : J'ai mis l'adresse IP du NAS car je n'avais pas tout compris pour les 1.1.1.1 et 1.0.0.1. il faut donc que je mette comme redirecteur seulement ma Livebox en 172.16.XX.X ? Pas forcément l'IP de la box, tu peux mettre des DNS publiques comme ceux de Cloudflare, ceux de Quad9, de Google, ou de la FdN : 80.67.169.12 et 80.67.169.40 il y a 46 minutes, GB Informatics a dit : Uniquement avec le fichier host directement rempli si je comprends bien. Probablement, mais utiliser le nom de serveur n'est plus forcément intéressant si tu as un serveur DNS local non ? il y a 48 minutes, GB Informatics a dit : Il faut mieux limiter les IP sources dans les zones ou les vues ? A toi de voir, moi je le ferais dans les vues, mais je ne suis pas sûr qu'il y a un consensus là-dessus. Tes zones me paraissent ok, ainsi pour tes montages SMB si tu utilises //ds218.lan.local/dossier_partage ça fonctionnera que tu sois en lan ou connecté via le serveur VPN. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.