Aller au contenu

OpenVPN et DNS local


fabpan

Messages recommandés

Bonjour,

Voici mon soucis :

Après avoir suivi les tutos de Fenrir sur le VPN et le DNS, je me suis lancé.

J'ai créé une connexion VPN avec le serveur OpenVPN, tout fonctionne bien, je me connecte à mon nas via mon navigateur https://10.8.0.1.

Je précise je suis en Split Tunnel (#redirect-gateway def1)

J'ai ensuite voulu, comme dans le tuto Fenrir sur le VPN, créer un serveur DNS pour pouvoir se connecter avec un nom de domaine "nas.maison"

En local tout fonctionne bien : nslookup nas.maison 192.168.1.x

Pour la connexion VPN, j'ai modifié le fichier VPNConfig.ovpn en décommentant "dhcp-option DNS 10.8.0.1" pour pointer sur le serveur DNS du NAS.

Sur mon PC windows distant, lorsque je tape nslookup nas.maison 10.8.0.1 cela fonctionne !

Mais quand je ne précise pas 10.8.0.1 j'ai par défaut les DNS de mon routeur (192.168.0.254), si bien que lorsque je tape http://nas.maison dans mon navigateur je n'obtiens rien.

Il pensait que lorsque l'on se connectait à OpenVPN, les DNS par défaut serait celui configuré dans le fichier VPNConfig.ovpn (10.8.0.1), je me trompe ?

Merci d'avance pour votre aide,

Lien vers le commentaire
Partager sur d’autres sites

Salut,

Merci pour ta réponse.

script-security 2 était déjà dans le fichier.

J'ai donc rajouté block-outside-dns, et là bingo ça fonctionne !

nslookup nas.maison me renvoi bien l'adresse 10.8.0.1, sans erreur.

Par contre lorsque je rentre l'adresse https://nas.maison dans mon navigateur j'ai une erreur DNS_PROBE_STARTED

Si je ping nas.maison : la requête Ping n’a pas pu trouver l’hôte

Il y a une manip à faire ?

Lien vers le commentaire
Partager sur d’autres sites

Je viens de capter un truc, je ne ping pas la bonne adresse.

Je retente avec ping ns.nas.maison (toujours depuis mon PC distant en VPN), résultat :

Envoi d’une requête 'ping' sur ns.nas.maison [192.168.1.30] avec 32 octets de données :
Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination.
Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination.
Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination.
Réponse de 192.168.0.254 : Impossible de joindre l’hôte de destination.

Statistiques Ping pour 192.168.1.30:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%)

Du coup je ping mon serveur DNS, mais j'ai une réponse de mon routeur chez moi (192.168.0.254)

192.168.1.30 correpond à l'IP fixe de mon NAS sur son LAN.

Je suis un peu perdu là...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, fabpan a dit :

Est-ce que quelqu'un aurait une piste ?

Est-ce que le serveur DNS du NAS fait bien autorité pour le domaine nas.maison ?
Vérifier si tu as la mention "non-authoritative answer" dans la réponse de :

nslookup ns.nas.maison

Peux-tu nous faire une impression d'écran de ta zone DNS et des ACL (restriction d'IP d'origine, vues, etc...) ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, .Shad. a dit :

Est-ce que le serveur DNS du NAS fait bien autorité pour le domaine nas.maison ?
Vérifier si tu as la mention "non-authoritative answer" dans la réponse de :

nslookup ns.nas.maison

Peux-tu nous faire une impression d'écran de ta zone DNS et des ACL (restriction d'IP d'origine, vues, etc...) ?

Bonjour,

Pour info j’ai remplacé « .maison » par « .lrc », ça ne change pas mon problème.

Voici le résultat nslookup ns.nas.lrc :


    1) Sur mon ordi connecté sur le réseau local avec le NAS :

nslookup ns.nas.lrc

    Serveur :   UnKnown
    Address:  192.168.1.30
    Nom :    ns.nas.lrc
    Address:  192.168.1.30

Quand je tape https://ns.nas.lrc:6601 dans mon navigateur, j’accède bien au NAS.

   2) Sur mon PC windows distant connecté en VPN (OpenVPN) :

nslookup ns.nas.lrc

Serveur :   UnKnown
Address:  10.8.0.1
Nom :    ns.nas.lrc
Address:  192.168.1.30

Quand je tape https://ns.nas.lrc:6601 dans mon navigateur, ERR_CONNECTION_TIMED_OUT.

Voici les imprimes écrans :

image.png.455781b1386ff685476d5a8965ec1a26.png

Menu Résolution

image.png.59a6c5ce95f10ed72c90b6608661f6d2.png

image.png.643bbadb0f5654935305c62ead33c2e6.png

Menu Vues

image.png.4bb0ad8229c5bf7cab43dfe1c686df8a.png

 

image.png.76a4f10df3a95c16c0f32ab21ad67d3d.png

Merci d'avance pour votre aide

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 20 minutes, oracle7 a dit :

@fabpan

Bonjour,

Je voulais dire que si ton Serveur DNS est installé sur ton NAS alors : IPlocaleTonServeurDNS=@IPlocaleNAS, donc l'option serait "dhcp-option DNS @IPlocaleNAS".

Cordialement

oracle7😉

Ok, voici la config :

image.png.e548f30255f6b7aaf6f3f8a623445aed.png

Si je me trompe pas il faut bien rentrer :

dhcp-option DNS 10.8.0.1

C'est bien ça ?

Lien vers le commentaire
Partager sur d’autres sites

Tu n'autorises pas l'accès des clients au serveur LAN (dernière impression d'écran). Mais ta zone renvoie vers l'IP locale du NAS et pas son IP VPN, donc ça me semble logique que tu n'y accèdes pas. Il n'y a pas de route disponible.

Si tu veux ne pas cocher cette case, tu dois faire une zone identique à la zone du LAN mais avec l'IP VPN pour le NAS plutôt que son IP locale.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 20 heures, .Shad. a dit :

Tu n'autorises pas l'accès des clients au serveur LAN (dernière impression d'écran). Mais ta zone renvoie vers l'IP locale du NAS et pas son IP VPN, donc ça me semble logique que tu n'y accèdes pas. Il n'y a pas de route disponible.

Si tu veux ne pas cocher cette case, tu dois faire une zone identique à la zone du LAN mais avec l'IP VPN pour le NAS plutôt que son IP locale.

Ok merci pour ta réponse!

Oui je n'ai pas coché cette case car je n'ai pour l'instant pas besoin d'accèder à d'autres appareils sur mon LAN...

Juste une précision, est-ce que je dois créer une deuxième zone master avec le même nom de domaine, ou je dois remplacer celle existante ?

Lien vers le commentaire
Partager sur d’autres sites

Ok j'ai créé une deuxième zone master avec le même nom de domaine nas.lrc et l'adresse IP VPN : 10.8.0.1 (serveur DNS princpal)

Effectivement ça m'a créé un deuxième ID réseau nas.lrc(2)

image.png.f438e51d734df5af5833afc6bfb94726.png

J'ai mis les mêmes restrictions :

image.png.a99f38db8b7d47786715f53bfb92a8d1.png

Dans le menu "Vues", j'ai créé une vue VPN avec comme restriction le sous réseau 10.0.0.0/8 :

image.png.b41ff63e12cbe62eaab77f0f75624875.png

Et j'ai sélectionné la zone nas.lrc(2)

image.png.06825cfb7e1498d60abd721f06eb2a50.png

Malheureusement ça ne marche toujours pas :

>nslookup ns.nas.lrc
Serveur :   UnKnown
Address:  10.8.0.1

Nom :    ns.nas.lrc
Address:  192.168.1.30

J'ai raté un truc ?

Lien vers le commentaire
Partager sur d’autres sites

Tu n'as pas d'enregistrement A pour ton domaine racine nas.lrc, ce n'est pas "légal" d'un point de vue de la RFC.
Si tu mes 10.0.0.0/8 dans les deux vues, pour un enregistrement qui existe dans les deux zones (ns.nas.lrc par exemple), comment il doit choisir ? 10. ou 192. ?
Enlève 10.0.0.0/8 de la vue locale et ne laisse effectivement que lui dans la zone VPN.

Si tu limites les IP sources au niveau des zones, tu peux enlever la limitation globale que tu as peut-être mise en place si tu as suivi le tutoriel de Fenrir, pour moi c'est une redondance qui n'a pas lieu d'être.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

J'en pense que tu devrais faire ce que j'ai dit 😉

Ça confirme ce que je pensais, il traite les vues dans l'ordre, du coup vu que tu inclus les clients VPN dans ta vue locale, il n'a aucune raison d'aller voir l'autre. D'où l'intérêt de les exclure de la vue locale.

Lien vers le commentaire
Partager sur d’autres sites

Ok j'ai supprimé les clients VPN dans la vue locale, j'ai rechangé les priorités comme au début, effectivement ça fonctionne !

image.png.322f3d4794a926853d2f9b89a6d91802.png

Il y a 6 heures, .Shad. a dit :

Tu n'as pas d'enregistrement A pour ton domaine racine nas.lrc, ce n'est pas "légal" d'un point de vue de la RFC.

Pas sûr de comprendre :

pour la zone nas.lrc, j'ai l'enregistrement A qui pointe sur 192.168.1.30 :

image.png.9362c86e7de9b23f5296f8b6fc0a1491.png

pour la zone nas.lrc(2) j'ai un enregistrement A qui pointe sur 10.8.0.1 :

image.png.bd61df62a9cdc9a7570652582a2e6b8e.png

Il y a quelque chose qui cloche ou c'est bon ?

 

Lien vers le commentaire
Partager sur d’autres sites

@fabpan

On définit toujours un enregistrement A et NS pour un domaine racine (sans sous-domaine).
Ce qui ne pose pas de problème localement serait non fonctionnel si c'était un serveur publique faisant autorité.

Donc dans la première, tu peux ajouter par exemple :

nas.lrc.           A           192.168.1.30

Et dans la zone VPN :

nas.lrc.           A           10.8.0.1
Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Yes merci pour cette précision, c'est rajouté !

Juste entre parenthèse par rapport au tuto de Fenrir sur le DNS :

Dans sa partie Zone DNS locale il ne précise pas d'enregistrement A pour son domaine racine.

Par contre sa section Zone DNS publique, il le précise effectivement :

Le 29/01/2017 à 01:58, Fenrir a dit :

(edit) : ce n'est pas dans la capture, mais il faut aussi créer un enregistrement pour le "naked domain", le domaine lui même, ça doit être un type A

Merci beaucoup pour ton aide , ainsi que oracle7 pour sa contribution.

Sujet résolu !

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...

Bonjour,

J'ai suivi les deux tutoriels qui sont évoqués dans le fil de la discussion.

J'utilise un NAS, je souhaite pour voir à distance l'utiliser comme quand je le fait chez moi. J'ai mis en place un VPN avec VPN server et OpenVPN.

Je voudrais remonter les lecteurs comme suivant : \\Adresse_IP_du_serveur\Documents ou \\Nom_du_serveur\Documents ou \\10.8.0.1\Documents.

Actuellement j'arrive à faire la remontée avec \\Adresse_IP_du_serveur\Documents ou \\10.8.0.1\Documents. Je n'arrive à faire le plus important..

Ce que j'ai fait :

J'ai créé deux zones =>

lan.local => lan.local    NS    maison.lan.local

                   dsm.lan.local    CNAME    maison.lan.local

                   maison.lan.local    A   172.16.XX.X

vpn.local => vpn.local    NS    maison.vpn.local

                   maison.vpn.local    A   10.8.0.1

Dans résolution j'ai mis => Redirecteur 1 = Ma Box 

                                            Redirecteur 2 = Le serveur DNS du NAS

Dans les vues j'ai mis =>

Priorité 1 = VPN avec IP source 10.8.0.0/28  => en sélectionnant la zone vpn.local

Priorité 2 = LAN avec IP source : 127.0.0.0/8;172.16.XX.X/24  => en sélectionnant la zone lan.local

 

Je n'ai pas tout compris, je pense qu'il y a des erreurs. Est-il possible de m'aider pour éclaircir les choses s'il vous plait ? Mercii

Lien vers le commentaire
Partager sur d’autres sites

Hello, alors pour ta zone lan, j'aurais fait quelque chose du genre :

lan.local       NS       ns.lan.local
lan.local       A        172.16.X.X
ns.lan.local    CNAME    lan.local
dsm.lan.local   CNAME    lan.local

Même chose pour ta zone vpn, en changeant le sous-réseau privé :

lan.local       NS       ns.lan.local
lan.local       A        10.0.8.1
ns.lan.local    CNAME    lan.local
dsm.lan.local   CNAME    lan.local

Ces zones ne se différencient que par l'IP finale pointée, les noms de domaine sont identiques, donc passer du LAN au VPN est transparent pour tes montages réseaux.
Au niveau de tes vues ça devrait être bon.

En revanche, je ne comprends pas pourquoi tu as le mis l'IP du NAS en second redirecteur. Si ta requête n'est pas résolue par ta zone locale, lui redemander ne changera rien. Soit tu actives un ou deux redirecteurs, et dans ce cas-là tu disposes d'un serveur récursif, càd la requête est transmise à un(des) serveur(s) publique(s) de ton choix qui va(vont) retrouver pour toi l'IP de destination. Soit tu ne les actives pas, et dans ce cas-là ton résolveur fonctionne de manière itérative, il va lui-même interroger les serveurs root et redescendre la chaîne des domain level jusqu'à trouver la zone faisant autorité sur l'enregistrement que tu recherches.

Dernière chose, joindre un NAS par son nom NetBios ne fonctionne pas en VPN, donc c'est soit par IP soit par nom de domaine.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai mis l'adresse IP du NAS car je n'avais pas tout compris pour les 1.1.1.1 et 1.0.0.1. il faut donc que je mette comme redirecteur seulement ma Livebox en 172.16.XX.X ?

"Dernière chose, joindre un NAS par son nom NetBios ne fonctionne pas en VPN, donc c'est soit par IP soit par nom de domaine." => Uniquement avec le fichier host directement rempli si je comprends bien.

Je voudrais remplacer le "ns" par quelque chose de plus propre. Mon serveur s'appelle DS218. Mon domaine s'appelle "maison".

J'ai fait des modifications, pourras-t m'expliquer pour que je sois sûr d'avoir bien compris s'il te plait ? 

Il faut mieux limiter les IP sources dans les zones ou les vues ?

Zone LAN :
lan.local       NS       ns.lan.local => lan.local         NS       maison.lan.local
lan.local       A        172.16.X.X   => lan.local         A        172.16.X.X 
ns.lan.local    CNAME    lan.local    => maison.lan.local  CNAME    lan.local
dsm.lan.local   CNAME    lan.local    => ds218.lan.local   CNAME    lan.local
Zone VPN :
lan.local       NS       ns.lan.local => lan.local         NS   maison.lan.local
lan.local       A        10.0.8.1     => lan.local         A    10.8.0.1
ns.lan.local    CNAME    lan.local    => maison.lan.local CNAME lan.local 
                => Le FQDN de CNAME et d'autres enregistrements ne peuvent être identiques
dsm.lan.local   CNAME    lan.local    => DS218.lan.local  CNAME lan.local
Modifié par GB Informatics
correction
Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, GB Informatics a dit :

J'ai mis l'adresse IP du NAS car je n'avais pas tout compris pour les 1.1.1.1 et 1.0.0.1. il faut donc que je mette comme redirecteur seulement ma Livebox en 172.16.XX.X ?

Pas forcément l'IP de la box, tu peux mettre des DNS publiques comme ceux de Cloudflare, ceux de Quad9, de Google, ou de la FdN : 80.67.169.12 et 80.67.169.40

il y a 46 minutes, GB Informatics a dit :

Uniquement avec le fichier host directement rempli si je comprends bien.

Probablement, mais utiliser le nom de serveur n'est plus forcément intéressant si tu as un serveur DNS local non ?

il y a 48 minutes, GB Informatics a dit :

Il faut mieux limiter les IP sources dans les zones ou les vues ?

A toi de voir, moi je le ferais dans les vues, mais je ne suis pas sûr qu'il y a un consensus là-dessus.
Tes zones me paraissent ok, ainsi pour tes montages SMB si tu utilises //ds218.lan.local/dossier_partage ça fonctionnera que tu sois en lan ou connecté via le serveur VPN.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.