résolution impossible du nom de serveur (no-ip) depuis le réseau local

[zoup1]

Bonjour,

Je viens vers vous car je rencontre un problème de configuration pour accéder à mon serveur nextcloud.

Voici ma configuration :
- J'ai un serveur (un raspberry Pi sous raspbian) qui est hébergé chez moi sur un réseau local. Il est relié en filaire à une livebox (fibre) avec une adresse privée 192.168.1.28
- J'utilise un service dyndns de façon à pouvoir accéder à mon serveur depuis l'extérieur alors même que ma livebox ne dispose pas d'une adresse IP fixe (disons) monserveur.ddns.net (en pratique mon adresse IP ne change pas vraiment mais ce n'est pas là qu'est le problème)
- J'ai configuré la livebox en NAT de façon à pouvoir accéder depuis l'extérieur à mon serveur que ce soit en ssh (port 22), en http (port 80), ou en https (port 443).

Tout cela fonctionne, je peux accéder au serveur depuis chez moi via le réseau local en utilisant l'adresse privé 192.168.1.28 (en wifi), je peux également accéder au serveur depuis l'extérieur cette fois en utilisant l'adresse IP de la livebox ou le nom de domaine fournir par ddns (monserveur.ddns.net).

En pratique, lorsque je suis sur le réseau local, il n'est pas possible de résoudre correctement "mon domaine" monserveur.ddns.net

Cependant, pour utiliser un service comme owncloud ou nextcloud depuis une machine qui est susceptible d'être parfois connectée au réseau local et d'autres fois connecté via internet, j'ai besoin de modifier la configuration du client nextcloud... ce qui est lourd et/ou pas très pratique. Le moyen le plus simple que j'ai trouvé c'est de changé le ffichier hosts (/etc/hosts ) pour y indiquer la façon de résoudre comme il faut l'url monserveur.ddns.net mais cette manipulation est à mon goût pénible et difficilement réalisable par les autres utilisateurs du service (mes fils...). Je pourrais faire un petit script pour changer le fichier de configuration de nextcloud, mais je préfèrerai trouver une solution plus simple et surtout comprendre pourquoi je n'arrive pas à le faire simplement.

J'ai un moment imaginé que le serveur DNS de orange court-circuite la résolution de monserveur.ddns.net mais même si je change la configuration de mon portable pour qu'il utilise les serveurs de google, il n'y a rien à faire, la résolution de monserveur.ddns.net ne fonctionne pas.

Je suis près à utiliser IPv6 si cela peut aider (mais je n'y comprends rien pour le moment et je dois bien avouer que je ne me suis pas penché sur la question).

Je n'arrive pas à comprendre ce qui cloche. Quelqu'un a-t-il une explication ? Une solution ?

Merci d'avance
-----

[Freemaster]

Salut,

je ne sais pas combien tu as de fils... mais modifié un fichier (hosts) par poste, est la solution la plus simple
surtout que l'on doit faire qu'une seule fois

sinon, dans un réseau local conséquent, où des portables sont susceptibles d'être connecté, je procède comme suis :
je désactive le dhcp du routeur box, et j’active un serveur dhcp sur le serveur ad, qui fait donc office de dns
le dhcp est pour être certain de mettre en dns primaire, le dns du serveur ad, que ce soit par câble ou en wifi...
ensuite je crée une nouvelle zone dns, je récré l'arborescence existant par rapport au dns qui fait autorité
et je modifies juste le sous domaine concerné, afin qu'il pointe sur l'adresse ip locale

maintenant tu vas me dire, mais moi je n'ai pas d'ad
mais on peut créer un serveur dns sans ad, ainsi que un serveur dhcp...
une vm linux par exemple, mais aussi sous windows

[zoup1]

Merci pour la réponse

Salut,
je ne sais pas combien tu as de fils... mais modifié un fichier (hosts) par poste, est la solution la plus simple
surtout que l'on doit faire qu'une seule fois

J'en ai 4 dont 3 qui utilisent des portables régulièrement depuis le réseau local et depuis l'extérieur. Il faudrait donc changer à chaque fois le fichier hosts ce qui est pénible pour un service comme nextcloud car ce qui est appréciable c'est justement qu'il synchronise sans qu'on ai rien à faire.

sinon, dans un réseau local conséquent, où des portables sont susceptibles d'être connecté, je procède comme suis :
je désactive le dhcp du routeur box, et j’active un serveur dhcp sur le serveur ad, qui fait donc office de dns
le dhcp est pour être certain de mettre en dns primaire, le dns du serveur ad, que ce soit par câble ou en wifi...
ensuite je crée une nouvelle zone dns, je récré l'arborescence existant par rapport au dns qui fait autorité
et je modifies juste le sous domaine concerné, afin qu'il pointe sur l'adresse ip locale

maintenant tu vas me dire, mais moi je n'ai pas d'ad

heu, à vrai dire la question que je me pose plutôt c'est : mais c'est quoi un serveur ad. Google me dit que c'est un serveur active directory. Mais de toute façon, si je comprends bien la suite, il suffit d'avoir un serveur sur lequel on installe un serveur dhcp et un serveur dns. J'aurais préféré une solution moins lourde, mais si c'est la solution pourquoi pas. Je n'ais jamais fait cela, mais je peux essayer.

mais on peut créer un serveur dns sans ad, ainsi que un serveur dhcp...
une vm linux par exemple, mais aussi sous windows

Je peux mettre cela sur mon serveur raspberry pi qui me sert de serveur web et abrite entre autre le serveur nextcloud.

[zoup1]

Je viens de me rendre compte qu'il ne s'agit pas vraiment d'une problème de dns. La résolution de nom fonctionne correctement, et je récupère bien l'adresse IP de la box. Cependant, il y a quand même un problème. Lorsque j'essaye d'utiliser l'adresse IP de la box (l'adresse publique) Cela me renvoie vers la box elle même (vers sa page de configuration visiblement) mais les règles de NAT ou DMZ (je viens de découvrir cela et cela me convient) ne sont pas appliquées.

Est-ce que ce comportement est spécifique à la Livebox ou toutes les boxes se comportent de la même façon ? Y-a-t-il un moyen plus ou moins simple de désactiver ce comportement.

Cordialement,

[A voir en vidéo sur Futura]

[JPL]

Je pense que tu dois pouvoir bloquer l'accès vers la page de configuration à partir de l'extérieur. C'était une option sur le modem routeur que j'avais autrefois. Ce devrait être plus ou moins pareil mais je n'ai jamais exploré cette partie de la configuration.

[zoup1]

Je peux effectivement bloquer la page de configuration mais ce n'est pas pour autant que les règles NAT sont appliquées.

[JPL]

Je suis à l'affut de ce que tu trouveras parce que je serait peut-être amené à utiliser le NAT à l’avenir.

[zoup1]

Je suis à l'affut de ce que tu trouveras parce que je serait peut-être amené à utiliser le NAT à l’avenir.

Voilà ce que j'ai trouvé https://www.sheldon.fr/2014/10/la-livebox-et-son-loopback-go-fuck/ qui semble répondre exactement au problème que j'ai.
Il semble donc bien qu'il faille passer par un serveur DHCP, DNS pour faire l'affaire...
Cela n'a pas l'air bien sorcier, je vais essayer de ce pas.

[Patrick_91]

Bonsoir,

Oui Orange insiste depuis des années a ne pas offrir le loopback sur ses livebox donc cela ne peut pas fonctionner , en tout cas pas simplement.
C'est pas un bug c'est devenu une "feature" ...
A plus

[Freemaster]

je dirais même plus... ce n'est pas spécifique qu'à la livebox d'orange, contrairement à ce qu'on peut lire

[Patrick_91]

Hi ce n'est pas une bonne raison , ce n'est pas le cas chez Free (sauf pendant 15 jours avant correction de que qu'il on appelé un "bug") ni chez 9BOX et sur aucun modem du marché et encore moins sur les modems sous logiciel libres.
Mais cela n'aura plus de sens sous IP V6 (pas de NAT) a moins qu'ils trouvent un autre moyen pour interdire l'installation de serveurs privés ! car c'est le seul problème que cela pose ...
A plus

[Patrick_91]

Doublon .. désolé ..

[zoup1]

Voilà ce que j'ai trouvé https://www.sheldon.fr/2014/10/la-livebox-et-son-loopback-go-fuck/ qui semble répondre exactement au problème que j'ai.
Il semble donc bien qu'il faille passer par un serveur DHCP, DNS pour faire l'affaire...
Cela n'a pas l'air bien sorcier, je vais essayer de ce pas.

Donc j'ai fait cela et cela fonctionne... pas exactement comme c'est indiqué mais bon an mal an cela fonctionne.
La partie dns en tout cas fonctionne. Par contre, je n'ai pas pu faire fonctionner la partie dhcp.
Du coup, cela m'oblige à modifier à la main la configuration la connexion wifi de façon à ce que ce soit mon serveur DNS qui est utilisé et non pas celui de la box. J'arrive à le faire sans problème sous ubuntu, j'imagine que cela se fait aussi facilement sous Windows (jai un fils qui a un portable sous windows).

Cordialement,

[Patrick_91]

Hello,

Très drôle et tres bien , j'ai pour les mêmes raisons mis (off) le dhcp server de la livebox (cela lui fait des vacances, du coup elle en reboot plus toute seule !!) , j'ai mis en ligne un serveur dhcp (souple) sur un raspberry a 35 € en réseau avec le reste en local et il tourne un serveur dhcp et centralise un ficher hosts pour toutes les machines. Ce dnmask me donne des idées , mais je ne sais pas s'il saura diriger une requête (ftp ou ssh ou http ou https etc ... ) sur une requête avec nom de host : port ! ?
Je vais essayer ...
Si non pour contourner le problème je teste toujours l’Accès depuis ,l'exterieur en passant par une connexion via un téléphone mobile , c'est assez simple.
A plus

[Freemaster]

oui, mais si ton fils se connecte ailleurs, avec ton dns indiqué, il n'aura pas internet... du coup ce sera pas plus simple que de modifier le fichier hosts...
le mieux reste à faire fonctionner ton serveur dhcp

[zoup1]

oui, mais si ton fils se connecte ailleurs, avec ton dns indiqué, il n'aura pas internet... du coup ce sera pas plus simple que de modifier le fichier hosts...
le mieux reste à faire fonctionner ton serveur dhcp

le dns indiqué dans la configuration est propre à la connexion donc au point d'accès utilisé (le SSID de chez moi quoi !) Si il se connecte ailleurs (en fait, c'est le cas pour tous les portables qui traînent à la maison) la configuration de la connexion pour le SSID utilisé n'utlisera pas mon serveur DNS.

[Freemaster]

le dns indiqué dans la configuration est propre à la connexion donc au point d'accès utilisé (le SSID de chez moi quoi !) Si il se connecte ailleurs (en fait, c'est le cas pour tous les portables qui traînent à la maison) la configuration de la connexion pour le SSID utilisé n'utlisera pas mon serveur DNS.

c'est le cas dans une utilisation dhcp... sans dhcp c'est l'adresse indiqué qui sera utilisé, quelque soit le SSID

[zoup1]

c'est le cas dans une utilisation dhcp... sans dhcp c'est l'adresse indiqué qui sera utilisé, quelque soit le SSID

Je ne connais pas bien la généralité de la chose, mais sous ubuntu tu peux configurer l'utilisation d'une connexion en utilisant le DHCP uniquement pour récupérer une adresse IP, cela te permet d'indiquer les serveurs DNS utilisés sans utilisés ceux qui sont indiqués par le serveur DHCP.
Je ne vois pas bien pourquoi on ne pourrait pas faire la même chose sous windows !

[Freemaster]

je ne vois pas ta capture, mais on va dire que je mets le dhcp uniquement pour récupérer l'ip, et en dns je mets 8.8.8.8
quelque soit le ssid, je récupère bien l'ip, et j'ai bien internet car j'utilise un dns open/public

mais si tu mets en dns une ip locale, en changeant de ssid, elle va garder ce dns, qui ne sera pas accessible !

[Patrick_91]

Du coup, cela m'oblige à modifier à la main la configuration la connexion wifi de façon à ce que ce soit mon serveur DNS qui est utilisé et non pas celui de la box. J'arrive à le faire sans problème sous ubuntu, j'imagine que cela se fait aussi facilement sous Windows (jai un fils qui a un portable sous windows).

Cordialement,

Hum je ne vois pas ou est l'intervention de la connexion WiFi ?? non couper le serveur dhcp de la livebox est indispensable, de facon a etre certain que cela soit le serveur dhcp que tu as configuré qui indique le DNS au client qui se connecte sur le réseau (quelque soit le point d'acces WiFi ou Ethernet c'est égal). Ensuite la requête DNS si elle est fructueuse pointera une machine du réseau ocal, si non cela renverra vers un DNS public (cas usuel).Le fonctionnement coté client n'est pas affecté par l'OS utilisé s'il n'est pas bogué bien sur.
je vais tester ce bout de programme sur mon raspberry ...
A plus

[Patrick_91]

Hello
Faut pas mettre les DNS en dur, c'est une option du serveur dhcp que d'indiquer au client le DNS qu'il doit contacter ..
A plus

[zoup1]

Hum je ne vois pas ou est l'intervention de la connexion WiFi ?? non couper le serveur dhcp de la livebox est indispensable, de facon a etre certain que cela soit le serveur dhcp que tu as configuré qui indique le DNS au client qui se connecte sur le réseau (quelque soit le point d'acces WiFi ou Ethernet c'est égal). Ensuite la requête DNS si elle est fructueuse pointera une machine du réseau ocal, si non cela renverra vers un DNS public (cas usuel).Le fonctionnement coté client n'est pas affecté par l'OS utilisé s'il n'est pas bogué bien sur.
je vais tester ce bout de programme sur mon raspberry ...
A plus

Je serais ravi de pouvoir changer le dns fourni par le serveur DHCP, mais je n'arrive pas à faire en sorte que celui de dnsmasq par contre les serveur DNS de dnsmasq fonctionne correctement et me permet de faire ce que je veux.

voilà à quoi ressemble le fichier de configuration de ma connexion à mon ssid (c'est peut-être plus parlant qu'une image) :

Code:

[wifi-security]
group=
key-mgmt=wpa-psk
pairwise=
proto=
psk=contamines


[ipv4]
dns-search=
may-fail=false
method=auto


[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=ignore
olivier@oli6:~$ sudo cat "/etc/NetworkManager/system-connections/Olivier_Sandra"
Olivier_Sandra          Olivier_Sandra(google)  Olivier_Sandra(Orange)  
olivier@oli6:~$ sudo cat "/etc/NetworkManager/system-connections/Olivier_Sandra(google)" 
[connection]
id=Olivier_Sandra(google)
uuid=18715d50-b0d7-4603-8afc-3b12ade4c52d
type=wifi
permissions=
secondaries=
timestamp=1483553686


[wifi]
mac-address-blacklist=
mac-address-randomization=0
mode=infrastructure
seen-bssids=B8:26:6C:CC:39:48;B8:26:6C:CC:39:49;
ssid=Olivier_Sandra


[wifi-security]
group=
key-mgmt=wpa-psk
pairwise=
proto=
psk=????


[ipv4]
dns=192.168.1.28;
dns-search=
ignore-auto-dns=true
method=auto


[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=ignore

Dans la rubrique IPv4 il y a indiqué le dns à utiliser et le également que l'on doit ignore-auto-dns=true qui signifie qu'on doit ignorer le dns fourni par le serveur dhcp et utiliser celui ou ceux de l'item dns de la même rubrique. Je n'ai pas du tout de WIndows disponible pour le moment donc je ne sais pas très bien si je pourrais faire le même type de configuration mais c'est marginal dans mon utilisation.

[Patrick_91]

bonsoir

voilà à quoi ressemble le fichier de configuration de ma connexion à mon ssid

C'est la config de quoi ça ?? ce n'est pas au client qui se connecte au WiFi qui doit choisir son DNS , c'est normalement une option fournie par le serveur DHCP .
Sous linux les serveurs DHCP permettent de choisir le DNS (en general la gateway comem la livebox) mais on peut mettre autre chose comem un serveur DNS local accessible sur le réseau bien sur.
Reste ensuite à installer le DNSMASK qui transforme les requêtes vers le nom de domaine public assorti d'un numéro de port soit transformé en connexion vers une IP Locale avec le port correspondant ... le reste basculé vers la livebox ... par exemple ....
A +

[zoup1]

bonsoir


C'est la config de quoi ça ?? ce n'est pas au client qui se connecte au WiFi qui doit choisir son DNS , c'est normalement une option fournie par le serveur DHCP .
Sous linux les serveurs DHCP permettent de choisir le DNS (en general la gateway comem la livebox) mais on peut mettre autre chose comem un serveur DNS local accessible sur le réseau bien sur.
Reste ensuite à installer le DNSMASK qui transforme les requêtes vers le nom de domaine public assorti d'un numéro de port soit transformé en connexion vers une IP Locale avec le port correspondant ... le reste basculé vers la livebox ... par exemple ....
A +

C'est le fichier de configuration de la connexion côté client. Cela se trouve à cet emplacement sous Ubuntu : /etc/NetworkManager/system-connections/
c'est utiliser par les service networkmanager qui se charge d'ouvrir les connections à travers les différentes interfaces, Il y en a qui est créé à chaque fois que l'on utilise une nouvelle connexion que ce soit en filaire ou en wifi.

Je serais ravi d'avoir un serveur DHCP fonctionnel mais vu que la bidouille précédente fonctionne au moins sous ubuntu (ce qui représente 99% de la famille effectivement présente sur le réseau local) cela me convient. Encore une fois, la partie DNS fonctionne à merveille, elle traite ce qui concerne les requêtes locales vers le serveur et rebascule pour les autres vers un autre serveur DNS externe.

[Patrick_91]

hello,

C'est le fichier de configuration de la connexion côté client. Cela se trouve à cet emplacement sous Ubuntu : /etc/NetworkManager/system-connections/
c'est utiliser par les service networkmanager qui se charge d'ouvrir les connections à travers les différentes interfaces, Il y en a qui est créé à chaque fois que l'on utilise une nouvelle connexion que ce soit en filaire ou en wifi.

Non les clients sont en config ip fixe (et tout est géré à la main) ou bien ceux ci sont en automatique et c'est un serveur sur modem/routeur ou bien sous Ubuntu isc-dhcp-server qui gère cela (a la place de la box) ... je ne comprends pas bien ce que tu décris là ?

A plus

[zoup1]

hello,
Non les clients sont en config ip fixe (et tout est géré à la main) ou bien ceux ci sont en automatique et c'est un serveur sur modem/routeur ou bien sous Ubuntu isc-dhcp-server qui gère cela (a la place de la box) ... je ne comprends pas bien ce que tu décris là ?
A plus

Je ne sais pas très bien comment fait Ubuntu pour que cela fonctionne et je ne connais rien aux protocoles. Ce que je peux dire c'est qu'il y a localement (pas sur le serveur mais sur le client une instance de dnsmasq qui tourne et qui dépend visiblement de network manager

Code:

/usr/sbin/dnsmasq --no-resolv --keep-in-foreground --no-hosts --bind-interfaces --pid-file=/var/run/NetworkManager/dnsmasq.pid --listen-address=127.0.1.1 --cache-size=0 --conf-file=/dev/null --proxy-dnssec --enable-dbus=org.freedesktop.NetworkManager.dnsmasq --conf-dir=/etc/NetworkManager

[Patrick_91]

Hello , je vais regarder ce dnsmasq et ce qu'il fait exactement.
A +

[saveus]

en fait c est normal c est un problème de routage insoluble.
c'est du au fait que tu fait a la fois du SNat (source Nat) et Dnat (destination Nat)

en gros quand tu sort sur internet il va remplacer ton IP privé par l’IP publique et en plus il va modifier le port source de manière séquentielle qu’il va stoker dans une table tampon
en gros tu aura une table du type*:

Code:

port		IP
20000		10.0.0.1
20001		10.0.0.46
20002		10.0.0.1

comme ça quand un paquet lui reviendra sur le port 20001 il enverra le paquet a l’adresse 10.0.0.46



Maintenant quand ouvre ssh sur internet c est du Dnat le principe est le même sauf que comme le flux est inversé il va avoir une autre table de nat basé sur les port de destinations



les 2 cohabitent très bien sans problème sauf dans 1cas… le tien

car vu que l’IP source et l’IP de déstination sont les memes…. Il est incapable de savoir sur laquelle des 2 tables de Nat il faut se baser.

Les 2 seuls moyens serrais sois d’avoir 2 ip publique, une pour le Snat et une pour le Dnat ,sois sur certains routeurs on peu définir les plage de ports de routage.
Mais ces 2 solutions ne sont pas paramétrable sur une box basique.