ADSL-BC

[Sky-keeper]

Bonjour,

Je me permet de poster ceci dans le forum "Discussion réseaux". Si un modérateur pense qu'il devrait se trouver dans le forum Belgacom/Proximus, je m'en excuse, et la/le remercie de l'y déplacer

Je suis entrain de configurer ma BBox2 (Belgacom) afin de rendre un serveur accessible depuis l'extérieur.
J'ai configuré un DNS dynamique qui se met à jour correctement, le port forwarding fonctionne, tout est OK depuis l'extérieur.

Depuis l'intérieur, quand j'utilise le hostname de mon serveur, je suis redirigé sur http://192.168.1.1/dns_error. Une solution simple consisterait à modifier la configuration du serveur DNS de la BBox pour qu'il me renvoie l'adresse IP locale de mon serveur plutôt que l'adresse publique de ma BBox pour ce hostname particulier.
J'ai donc mis ce nom d'hôte dans la configuration DHCP statique, ça ne marche pas. Ensuite, j'ai essayé de configurer ça avec rg_conf_set dns/entry/...; mais rien n'y a fait.

Finalement, j'ai essayé de regarder quel serveur DNS est utilisé par la BBox en interne, et ça m'a l'air d'être directement openrg qui écoute sur le port 53 (?!)

Quelqu'un sait-il comment modifier la configuration du serveur DNS local afin de ne pas renvoyer une requête sur un hostname spécifique sur les serveurs DNS extérieurs ?

Merci,
Quentin

[mackguil]

C'est un problème connu de loopback, une solution consiste en la modification de ton fichier hosts pour renvoyer le nom de domaine vers l'ip de ton serveur

[esperlu]

C'est un problème connu de loopback, une solution consiste en la modification de ton fichier hosts pour renvoyer le nom de domaine vers l'ip de ton serveur

A changer sur toutes les machines de ton réseau.

Si tu veux t'éviter ce travail (et quid des smartphones etc...), installe un serveur-cache DNS comme dnsmasq pour assurer une résolution locale de noms tout en accélérant globalement la résolution de noms externes grâce au cache. Un Raspberry PI d'occase même de première génération suffit largement. Prix et consommation d'énergie ridicules. Et il pourra également servir de serveur DHCP et même bloquer toutes les publicités sur tous les clients de ton LAN.

Par ailleurs, si tu installes un serveur accessible depuis l'extérieur, il vaut mieux te configurer un pare-feu digne de ce nom pour bloquer les IP suspectes comme les exit-points TOR, les BOGONS et autres adresses en provenance de pays qui n'ont rien à faire sur ton serveur. Vois du côté de DD-WRT ou mieux OpenWRT. Ou, pour pas beaucoup plus cher, un Ubiquiti EdgeRouter Lite (router pur. 1 million de paquets par seconde pour moins de 100 €) ou son petit frère le Edge Router X (router/switch 50 €). Plus besoin du Raspberry dans ce cas.

Le Edge Router Lite est un router pur (pas switch) "Entreprise Grade" tandis que le X est plutôt "SOHO Grade" router/switch. Toujours mieux que les "Consumer Grade" routers tels que D-Link, Linksys, Netgear et tous les autres router/switch "pour la maison".

[mackguil]

C'est un problème connu de loopback, une solution consiste en la modification de ton fichier hosts pour renvoyer le nom de domaine vers l'ip de ton serveur

A changer sur toutes les machines de ton réseau.

Si tu veux t'éviter ce travail (et quid des smartphones etc...), installe un serveur-cache DNS comme dnsmasq pour assurer une résolution locale de noms tout en accélérant globalement la résolution de noms externes grâce au cache. Un Raspberry PI d'occase même de première génération suffit largement. Prix et consommation d'énergie ridicules. Et il pourra également servir de serveur DHCP et même bloquer toutes les publicités sur tous les clients de ton LAN.

Par ailleurs, si tu installes un serveur accessible depuis l'extérieur, il vaut mieux te configurer un pare-feu digne de ce nom pour bloquer les IP suspectes comme les exit-points TOR, les BOGONS et autres adresses en provenance de pays qui n'ont rien à faire sur ton serveur. Vois du côté de DD-WRT ou mieux OpenWRT. Ou, pour pas beaucoup plus cher, un Ubiquiti EdgeRouter Lite (router pur. 1 million de paquets par seconde pour moins de 100 €) ou son petit frère le Edge Router X (router/switch 50 €). Plus besoin du Raspberry dans ce cas.

Le Edge Router Lite est un router pur (pas switch) "Entreprise Grade" tandis que le X est plutôt "SOHO Grade" router/switch. Toujours mieux que les "Consumer Grade" routers tels que D-Link, Linksys, Netgear et tous les autres router/switch "pour la maison".

Il t'a lu et est parti en courant.

[esperlu]

Il t'a lu et est parti en courant.

Probablement, mais le conseil pourrait intéresser les lecteurs qui font une recherche sur "résolution DNS pour le LAN".

Dans tous les cas, mettre le serveur en DMZ, si la BBox2 le permet. Car s'il est compromis, il restera au moins isolé des autres hôtes du LAN.

[mackguil]

Il t'a lu et est parti en courant.

Probablement, mais le conseil pourrait intéresser les lecteurs qui font une recherche sur "résolution DNS pour le LAN".

Dans tous les cas, mettre le serveur en DMZ, si la BBox2 le permet. Car s'il est compromis, il restera au moins isolé des autres hôtes du LAN.

Ouiap, c'est aussi ma façon de voir les choses.

[esperlu]

... et encore, une DMZ en VLAN, j'ai des doutes. Le VLAN leaking n'est pas un mythe. Une erreur de configuration ou un switch qui redémarre en factory reset sans que personne ne s'en aperçoive et il n'y a plus de ségrégation. Perso, je n'aurais pas confiance dans une DMZ sur un switch L2 tout "maneagable" soit-il. Enfin, c'est déjà mieux que de mettre un serveur "public" sur le subnet du LAN.

Rien de tel qu'un segment de réseau physiquement séparé par un router à plusieurs NIC ou un deuxième router en aval du premier.