J'ai quelques serveurs perso sur mon lan. Il y en a quelques uns ouverts en https grace à un nat sur ma freebox.
J'ai personnalisé mon reverse dns (fonctionnalité proposée par free)
J'ai maintenant dnsmasq sur mon lan.
Je voudrais :
-limiter le nombre de redirection nat.
-Sécuriser l'accès à mes serveurs (il y a plusieurs hosts)
- avoir une url unique pour accéder à un serveur depuis le lan ou le wan (notamment depuis un device ios)
Comment dois-je configurer tout ça?
En interne est-il judicieux de nommer mon domaine du même nom que le reverse dns de free?
Conseil: dns vhost
Conseil: dns vhost
Salut
-limiter le nombre de redirection nat. => je ne vois pas le rapport avec le DNS ? Tu dois faire un NAT par service ouvert
-Sécuriser l'accès à mes serveurs (il y a plusieurs hosts) => je vois pas non plus le rapport avec le DNS
- avoir une url unique pour accéder à un serveur depuis le lan ou le wan (notamment depuis un device ios) => faut configurer tes domaines pour que ça pointe sur ton adresse IP, et en interne, ça peut marcher (selon le routeur), sinon il faudrait "surcharger" via dnsmasq les domaines définis en mettant leur adresse locale pour qu'en local ça fonctionne
-limiter le nombre de redirection nat. => je ne vois pas le rapport avec le DNS ? Tu dois faire un NAT par service ouvert
-Sécuriser l'accès à mes serveurs (il y a plusieurs hosts) => je vois pas non plus le rapport avec le DNS
- avoir une url unique pour accéder à un serveur depuis le lan ou le wan (notamment depuis un device ios) => faut configurer tes domaines pour que ça pointe sur ton adresse IP, et en interne, ça peut marcher (selon le routeur), sinon il faudrait "surcharger" via dnsmasq les domaines définis en mettant leur adresse locale pour qu'en local ça fonctionne
Conseil: dns vhost
En effet mon interrogation sur le dns tiens plus sur le nom de domaine que je dois déclarer en interne (dans mon dnsmasq donc). J'ai essayé en déclarant mondomainefree mais n'ayant pas de controleurs de domaine je déclare un workgroup sur les machines windows mais elles n'aiment pas. Les serveur restent accessibles avec un chemin unc mais sont invisibles dans le voisinage réseau
Sinon pour le reste je vais prendre un exemple:
J' ai un serveur jeedom qui tourne sur une vm. Sur le lan on y accede sur el port 80 par http://ipserveur/jeedom
J'ai un xpenology avec différents services (ftp, file station, sabnzbd, ...) qui tourne sur une autre vm. On accède à ces services sur le lan par http://ipserveur:portduservice et depuis l'extérieur par http://mondomainefree:portredirigé
Pour chaque service redirigé j'ai ouvert un port.
Je voudrais accéder depuis le lan ou le wan à mes services avec une url du type:
mondomaine/jeedom
mondomaine/filestation
Je ne vois pas encore trop comment configurer tout ça. Qu'est ce que je met dans mon dnsmasq, mon xpenology,...
Sinon pour le reste je vais prendre un exemple:
J' ai un serveur jeedom qui tourne sur une vm. Sur le lan on y accede sur el port 80 par http://ipserveur/jeedom
J'ai un xpenology avec différents services (ftp, file station, sabnzbd, ...) qui tourne sur une autre vm. On accède à ces services sur le lan par http://ipserveur:portduservice et depuis l'extérieur par http://mondomainefree:portredirigé
Pour chaque service redirigé j'ai ouvert un port.
Je voudrais accéder depuis le lan ou le wan à mes services avec une url du type:
mondomaine/jeedom
mondomaine/filestation
Je ne vois pas encore trop comment configurer tout ça. Qu'est ce que je met dans mon dnsmasq, mon xpenology,...
Conseil: dns vhost
si tes serveurs différentes applications de type mondomaine/un_service sont pas sur la même machine, va falloir caler un serveur web de type reverse proxy qui recevra toutes les requêtes sur http://mondomainfree et qui s'occupera d'aller contacter le serveur web qui correspond dans le LAN en fonction de la page demandée. On peut même faire du jeedom.mondomaine et filestation.mondomaine 
Pour le DNS, il faut déjà que tu le configures chez ton registrar avant d'essayer de bricoler des choses en LAN si c'est pas déjà fait
Pour le DNS, il faut déjà que tu le configures chez ton registrar avant d'essayer de bricoler des choses en LAN si c'est pas déjà fait
-
dsebire
- Messages : 12729
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Conseil: dns vhost
ya pas de registar si j'ai bien suivi, juste toto.hd.free.fr, qui est un sous domaine gratuit proposé par free.Pour le DNS, il faut déjà que tu le configures chez ton registrar avant d'essayer de bricoler des choses en LAN si c'est pas déjà fait
+1 avec Z, si tout passe sur du http, fais toi un reverse proxy en fonction de l'URL
mondomaine/jeedom
mondomaine/filestation
pourront être redirigés vers 2 machines différentes.
attention quand même, des fois ça passe mal les proxy !!!
concernant ta question sur le DNS interne/externe, n'essaie pas de donner ton nom de domaine a tes machines, surtout en workgroup, ça passera pas.
tu les appelle comme tu veux (bkvdkj.lan, ksjbkdb.lan etc...)
ce qui est important, c'est que ton serveur DNS renvoie des IP locales quand c'est une IP locale qui interroge !
pour arriver a faire ça, solution simple, 2 IP sur ton serveur DNS, une IP "publique" et une "privée"
tu mets 2 service DNS qui écoutent chacun sur une IP, chacun leur zone et hop, t'as plus qu'a mettre des IP locales dans la zone locale, le tout avec le même ndd.
par contre, ton DNS ne servira pas a grand chose pour differencier mondomaine/jeedom de mondomaine/filestation, vu que le DNS ne résoudra que le ndd.
du coup, ça peut être bien de prendre un vrai domaine, et de créer plein de sous domaine comme suggéré par Z
jeedom.mondomaine et filestation.mondomaine qui la sont 2 sous domaines différents, qui peuvent donc pointer vers des IPs différentes.
Conseil: dns vhost
ok merci pour les précisions. Un reverse proxy ça a nécessairement une patte wan et une lan (ça m'obligerait à refaire mon lan) ou je peux le déclarer comme passerelle par défaut sur mon lan?
Sur mes appareils mobiles (osx, ios) si je veux acceder par exemple jeedom
si je suis sur le lan je met: iplocale/jeedom ou nomserveur.mondomainelocal/jeedom dans ce cas dnsmasq me renvoie bien l'ip locale.
Ce qui m'intéresserait c'est de pouvoir mettre la même adresse en local et à l'extérieur pour y accéder car lorsque j'aurais fini de la paramétrer il faudra que ma femme puisse s'en servir (comme beaucoup à part zplay elle ne sait pas ce qu'est une ip).
edit : c'est bien un domaine type toto.hd.free.fr. Mais si un domaine chez un registrar m'apporte quelque chose pourquoi pas. Je me demande même si gandi ne m'en a pas offert un.
Sur mes appareils mobiles (osx, ios) si je veux acceder par exemple jeedom
si je suis sur le lan je met: iplocale/jeedom ou nomserveur.mondomainelocal/jeedom dans ce cas dnsmasq me renvoie bien l'ip locale.
Ce qui m'intéresserait c'est de pouvoir mettre la même adresse en local et à l'extérieur pour y accéder car lorsque j'aurais fini de la paramétrer il faudra que ma femme puisse s'en servir (comme beaucoup à part zplay elle ne sait pas ce qu'est une ip).
edit : c'est bien un domaine type toto.hd.free.fr. Mais si un domaine chez un registrar m'apporte quelque chose pourquoi pas. Je me demande même si gandi ne m'en a pas offert un.
Conseil: dns vhost
le reverse proxy c'est juste une serveur web qui sait questionner des serveurs web. Du coup à moins de transformer le système en firewall/routeur, il va pas servir de passerelle par défaut
-
dsebire
- Messages : 12729
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Conseil: dns vhost
tu n'as pas compris.Sur mes appareils mobiles (osx, ios) si je veux acceder par exemple jeedom
si je suis sur le lan je met: iplocale/jeedom ou nomserveur.mondomainelocal/jeedom dans ce cas dnsmasq me renvoie bien l'ip locale.
Ce qui m'intéresserait c'est de pouvoir mettre la même adresse en local et à l'extérieur pour y accéder car lorsque j'aurais fini de la paramétrer il faudra que ma femme puisse s'en servir (comme beaucoup à part zplay elle ne sait pas ce qu'est une ip).
le fait que le DNS réponde différemment si tu es sur une IP locale ou sur le WAN, c'est justement pour pouvoir utiliser les mêmes URL, mais qui seront transformées en IP WAN quand tu es sur internet, ou en IP LAN quand ru es sur le LAN
pour tes appareils, le moyen de se connecter a chez toi ne changera pas ou que tu sois, ça restera monservice.mondomaineinternet
attention de pas tout mélanger, les sous domaine, tu traite avec un DNS, les sous sites (vhost genre mondomaineinternet/monservice) ça se traite avec un reverse proxy !
tu as la 2 solutions, a toi de voir ce que tu veux faire.
Conseil: dns vhost
S'il a qu'une adresse IP publique et qu'il veut utiliser des services sur 2 serveurs dans son LAN, sous domaines ou pas, ce sera la case reverse proxy s'il veut pas utiliser des ports pas standards ^_^
Conseil: dns vhost
Pour faire simple, on va dire que ton domaine c'est truc.com et ton ip X.Y.Z.W
Tu as 2 solutions propres
soit tu fais des sous-domaines machin.truc.com, bidule.truc.com pour accéder à tes services
soit tu utilises un seul domaine ou sous-domaine comme truc.com et tu rajoutes des /service1 /service2 /service3 à la fin de l'url pour choisir ton service
si tu veux faire cela, en utilisant toujours le port 80 et que tes services sont sur plusieurs machines en LAN, tu dois avoir un reverse proxy qui recevra toutes les requêtes sur le port 80 de ton adresse IP, pour sa configuration/fonctionnement on verra plus tard
Ceci c'est que pour WEB / PORT 80 !!!!!
Tu as 2 solutions propres
soit tu fais des sous-domaines machin.truc.com, bidule.truc.com pour accéder à tes services
soit tu utilises un seul domaine ou sous-domaine comme truc.com et tu rajoutes des /service1 /service2 /service3 à la fin de l'url pour choisir ton service
si tu veux faire cela, en utilisant toujours le port 80 et que tes services sont sur plusieurs machines en LAN, tu dois avoir un reverse proxy qui recevra toutes les requêtes sur le port 80 de ton adresse IP, pour sa configuration/fonctionnement on verra plus tard
Ceci c'est que pour WEB / PORT 80 !!!!!Conseil: dns vhost
Pour le DNS,
tu as truc.com vu de l'extérieur qui pointe vers X.Y.Z.W, selon la freebox, il se peut que truc.com fonctionne également à l'intérieur (ça dépend du routeur, des fois ça marche, des fois non). Si ça marche pas, il faudra que tu configures dnsmasq pour le faire pointer vers la machine qui reçoit le NAT.
Si tu fais un reverse proxy en 192.168.1.100, tu feras pointer truc.com vers 192.168.1.100 dans ton dnsmasq, tandis que chez le registrar, ce sera toujours X.Y.Z.W. Selon que tu sois à l'intérieur ou l'extérieur du réseau, tu auras toujours truc.com mais l'adresse IP sera différente.
tu as truc.com vu de l'extérieur qui pointe vers X.Y.Z.W, selon la freebox, il se peut que truc.com fonctionne également à l'intérieur (ça dépend du routeur, des fois ça marche, des fois non). Si ça marche pas, il faudra que tu configures dnsmasq pour le faire pointer vers la machine qui reçoit le NAT.
Si tu fais un reverse proxy en 192.168.1.100, tu feras pointer truc.com vers 192.168.1.100 dans ton dnsmasq, tandis que chez le registrar, ce sera toujours X.Y.Z.W. Selon que tu sois à l'intérieur ou l'extérieur du réseau, tu auras toujours truc.com mais l'adresse IP sera différente.
Conseil: dns vhost
+1 avec Z !
avant FB V5, si j'utilisé les xxx.com pour joindre mon serveur alors que j'etais en local, marché po
avec la V6, xxx.com renvoi bien sur mon serveur que je sois dedans ou dehors de mon reseau local
avant FB V5, si j'utilisé les xxx.com pour joindre mon serveur alors que j'etais en local, marché po
avec la V6, xxx.com renvoi bien sur mon serveur que je sois dedans ou dehors de mon reseau local
Conseil: dns vhost
j'étais chez free y a longtemps, avec la V3 je crois, ça marchait local ou extérieur+1 avec Z !
avant FB V5, si j'utilisé les xxx.com pour joindre mon serveur alors que j'etais en local, marché po
avec la V6, xxx.com renvoi bien sur mon serveur que je sois dedans ou dehors de mon reseau local
Conseil: dns vhost
ma fb est une v5. La ou je m'embrouille vraiment c'est avec les workgroup sachant que je ne veux pas gérer d'annuaire à la maison.
Qu'est ce que je met ? c'est complètement indépendant du nom de domaine ?
Les sous domaines ont l'air plus pratiques. Je vais voir comment ça se configure dans dnsmasq.
Le reverse proxy j'y vois un avantage immédiat, surtout en ce moment que je change beaucoup de choses, je n'aurais pas à redémarrer ma FB, ce que je ne peux pas faire à distance (le boitier tv est dans un carton il est hs et de toute façon ne me sert à rien)
depuis le lan : machine.domaine.lan:port
depuis le wan domaine:port
selon l'endroit où je suis je change le paramétrage de l'hôte dans ios.
D'ailleurs je ne me suis pas encore vraiment penché sur l'ouverture de jeedom à l'extérieur mais si ce n'est pas trop secure je vais peut être le faire via vpn.
Qu'est ce que je met ? c'est complètement indépendant du nom de domaine ?
Les sous domaines ont l'air plus pratiques. Je vais voir comment ça se configure dans dnsmasq.
Le reverse proxy j'y vois un avantage immédiat, surtout en ce moment que je change beaucoup de choses, je n'aurais pas à redémarrer ma FB, ce que je ne peux pas faire à distance (le boitier tv est dans un carton il est hs et de toute façon ne me sert à rien)
Pas vraiment pour accéder à un service je me sers detu n'as pas compris.
le fait que le DNS réponde différemment si tu es sur une IP locale ou sur le WAN, c'est justement pour pouvoir utiliser les mêmes URL, mais qui seront transformées en IP WAN quand tu es sur internet, ou en IP LAN quand ru es sur le LAN
depuis le lan : machine.domaine.lan:port
depuis le wan domaine:port
selon l'endroit où je suis je change le paramétrage de l'hôte dans ios.
D'ailleurs je ne me suis pas encore vraiment penché sur l'ouverture de jeedom à l'extérieur mais si ce n'est pas trop secure je vais peut être le faire via vpn.
Conseil: dns vhost
Le workgroup, je ne sais même pas en quoi ça consiste alors ça doit pas avoir trop de rapport avec la choucroute