Résolution DNS & VPN

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Résolution DNS & VPN

Messagepar pscl » 04 Juin 2010 01:59

Bonjour,

J'ai un SMEserveur derrière un routeur WRT54GL (avec DDWRT), lui même connecté à une livebox.
La LB est en 192.168.1.1, le routeur en wan 192.168.1.12 et en lan 192.168.2.1. Le serveur est en 192.168.2.10. Les ports sont bien redirigés. Tout marche bien localement et à distance (ssh, ftp, http, https...) le serveur ping bien tout ce petit monde, sauf que :
Lorsque je suis connecté à mon serveur en VPN (via le serveur VPN du routeur ou de SME) et que j'ai obtenu une adresse locale de type 192.168.2.*, la connexion en samba ou afp mouline sous OSX puis crash. Sous Ubuntu, pas de soucis... pas testé sous Windows.

Seuls les logs de OSX me parlent et renvoient lors de la tentative de connexion samba/afp :
Code: Tout sélectionner
mDNSResponder[16]   Note: DNS Server 192.168.2.10 for domain . registered more than once


Il semble que samba ou afp ne trouve pas le chemin de sortie...


Le Basic Setup du routeur est configuré comme suit :

WAN Connection Type IP Statique
WAN IP Address... 192.168.1.12
Subnet Mask... 255.255.255.0
Gateway... 192.168.1.1
Static DNS 1... 192.168.1.1
Static DNS 2...
Static DNS 3...

Routeur
Local IP Address... 192.168.2.1
Subnet Mask... 255.255.255.0
Gateway... 192.168.2.1
Local DNS... 192.168.2.1

Le serveur résolue lui même ses DNS, j'ai également essayé de mettre les DNS d'orange, sans changements.


Il y a un soucis de résolution DNS qui se trame derrière, mais je sèche

Merci pour vos lumières.
Pascal
pscl
Matelot
Matelot
 
Messages: 5
Inscrit le: 07 Mars 2008 02:12

Messagepar jibe » 04 Juin 2010 18:06

Salut,

Tu veux redéclencher le troll du siècle ? :lol:

Bien sûr, tout est possible. Mais les usines à gaz, ce n'est pas forcément ce qu'il y a de mieux ! Tu ferais ça avec deux debian, je ne dis pas, mais SME+WRT54GL, ça ne me parait absolument pas le bon choix. Même si ça devrait être possible, on ne fait pas la soupe dans une poële ni un steak dans une marmite...

Il y a un post-it sur ce sujet, je te suggère de commencer par le lire et de bien réfléchir à tes besoins et à tes choix. Tu y trouveras aussi quelques liens qui pourront t'aider :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar stephdl » 05 Juin 2010 10:56

effectivement, je ne comprends pas l'interet du WRT54GL.....à quoi te sert il......?

as tu passé l'ip du WRT54GL en DMZ sur la live Box ?, et redirigé tous les ports externes vers l'ip de la sme dans le WRT54GL....

le fait que cela fonctionne sous ubuntu me laisse penser que tu l'as fais, et que c'est un probleme interne à Mac...

(le port 53 des dns est il natté vers la sme)

sous network-manager, il y a une case à cocher pourrouter tout ou une partie du flux vers le tunnel open-vpn, il n'y aurait pas la même chose avec mac.
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar pscl » 06 Juin 2010 13:34

Salut,

J'ai pas envie de redéclencher un troll, seulement faire marcher ce **** VPN.
Et puis ce couple fait le job, le routeur permet de monitorer le réseau, faire du QoS, DHCP sans faire tourner une autre machine ; quant à SME...

Oui les port sont correctement reroutés.

Quid du DNS sur SME. Dois-je laisser tel quel, mettre les DNS du routeur, de la livebox ou d'orange ?

Stephdl, comment je nat le port 53 vers SME ? A quoi ça sert ?
pscl
Matelot
Matelot
 
Messages: 5
Inscrit le: 07 Mars 2008 02:12

Messagepar stephdl » 06 Juin 2010 16:29

Le port 53 est le port des DNS internet...pour le router, il faut de ton WRT54GL lui indiquer l'ip de la sme, ainsi que le port externe et le port interne.
par contre normalement tu as déja du le faire pour tous les autres ports (en vrac 993,995,143,110,25,22,1194,53,80,443....) puisque tu me dis que tu les as router

personnellement pour ta configuration je verrais cela

Livebox
I
I=DMZ
I
Routeur WRT54GL (IP externe fixe 192.168.1.100 ; IP local fixe 192.168.56.1)
I
I
I=nattage des ports vers la SME et DHCP du reseau
I
I
reseau local dont la SME (IP fixe 192.168.56.100)

concernant les DNS du reseau local, si ta configuration d'IP est fixe pour le WRT54GL il te faudra indiquer en DNS celle de ta livebox, charge à lui de les refournir en dhcp pour le reste du reseau.

Concernant le champs DNS de la Sme, je ne l'ai pas rempli, juste celui de la gateway, par contre j'avais lu quelque part que pour orange il fallait le renseigner, tu peux essayer.....soit l'IP des dns orange, soit celle du WRT54GL (pour te connecter login admin en ssh)

Maintenant ce qui m'inquiete, est que l'informatique, c'est du binaire, aussi si cela fonctionne avec Ubuntu, cela devrait fonctionner avec Mac.....donc pour ma part je crois que c'est un probleme interne à Mac.
Mais là je ne pourrais trop t'aider, car je n'en possede pas.
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar stephdl » 06 Juin 2010 16:44

Heu il me vient une idée...
lorsque tu fais tes essais avec mac...tu es sur ton réseau local, ou tu es de l'exterieur de ton réseau local...
en gros tu es connecté a ta livebox, ou au WRT54GL.
j'avais lu quelque part que d'avoir la meme IP que le reseau vpn distant que tu veux rejoindre peut apporter des angoisses.
cependant Linux le gere tres bien, mais quid de mac ?
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar jibe » 06 Juin 2010 23:54

Salut,

pscl a écrit:J'ai pas envie de redéclencher un troll, seulement faire marcher ce **** VPN.

:roll:

Tu n'as pas lu ou pas compris le lien que je t'ai donné... Le troll était justement à propos de la meilleure manière de faire fonctionner ce dont on a besoin.

Tu as une usine à gaz, et un VPN qui ne fonctionne pas. Moi, je propose KISS (Keep it simple and stupid) et un VPN qui fonctionne, démontré par de nombreuses SME en prod. Les trolleurs prétendaient que l'usine à gaz est préférable, mais ne l'ont jamais prouvé. Par contre, j'ai montré que bien souvent - et c'est encore le cas ici -, ça ne marche pas. A toi de choisir ! (Je ne vois pas en quoi le "tout fonctionne bien sauf" peut être considéré comme une solution satisfaisante !!!)

pscl a écrit:Et puis ce couple fait le job, le routeur permet de monitorer le réseau, faire du QoS, DHCP sans faire tourner une autre machine ; quant à SME...

:?: :?: :?: :?:

pscl a écrit:Et puis ce couple fait le job

Ben non, puisque ton VPN ne fonctionne pas !

pscl a écrit:le routeur permet de monitorer le réseau, faire du QoS, DHCP sans faire tourner une autre machine ; quant à SME...

Ben justement, là je vois deux machines qui tournent !

Bon, si vous tenez à faire fonctionner cette usine à gaz, vous devriez pouvoir y arriver. Pour quoi de plus ? Et à quel prix ? Et si théoriquement c'est possible, pratiquement y arriverez-vous ?

Je répète une dernière fois et je sors, parce que c'est bien le troll du siècle qui repart : SME n'est pas faite pour le "pourquoi faire simple quand on peut faire compliqué". Si tu veux une bonne solution, choisis KISS ou Debian. Mais après tout, c'est ton réseau et c'est à toi de décider.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar tomtom » 07 Juin 2010 10:42

Promis je ne relance pas le troll....


- Je ne suis pas convaincu par l'erreur de DNS....
- Samba est tatillon avec les broadcast, etc, notemment pour élire des maitres explorateurs de domaines, ce genre de choses.... Souvent sur les VPN ça pose des soucis.
- Est-ce que la connexion Samba marche en direct, avec le mac sur le reseau local ?
- Est-ce que la connexion fonctionne en entrant l'adresseIP pour le partage au lieu du nom DNS ?
- tu peux essayer de regarder par là : http://discussions.apple.com/thread.jsp ... dID=449787


a+

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar stephdl » 07 Juin 2010 21:13

Jibe, Jibe.....la question n'est pas de comment on peut faire autrement, mais comment on peut faire marcher cette configuration....

Je tiens à dire que c'est le fonctionnement que j'ai avec un serveur Sme en serveur seul et un routeur Modem sur lequel j'ai natté les ports.

pscl précise que le VPN fonctionne avec Ubuntu, et pas avec Mac, donc on peut esperer que ce n'est qu'un probleme inherent au Mac, comme semble le souligner tomtom.
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar stephdl » 07 Juin 2010 21:15

stephdl a écrit:Heu il me vient une idée...
lorsque tu fais tes essais avec mac...tu es sur ton réseau local, ou tu es de l'exterieur de ton réseau local...
en gros tu es connecté a ta livebox, ou au WRT54GL.
j'avais lu quelque part que d'avoir la meme IP que le reseau vpn distant que tu veux rejoindre peut apporter des angoisses.
cependant Linux le gere tres bien, mais quid de mac ?


tu ne m'as pas répondu ?
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar Franck78 » 07 Juin 2010 22:46

et que j'ai obtenu une adresse locale de type 192.168.2.*,

je trouve que l'on passe assez rapidement du coq à l'âne dans la description du problème.

Rien que cette phrase m'interpelle. Car le client distant ne peut pas être dans le LAN local. Enfin, en vpn normal? mais quel vpn au fait.....?

Lorsque je suis connecté à mon serveur en VPN (via le serveur VPN du routeur ou de SME)

?
Tout marche bien localement et à distance (ssh, ftp, http, https...) le serveur ping bien tout ce petit monde, sauf que :
Vraiment, on ne sait qui fait quoi....

vpn, routage, dns, samba (mais pas samba ubuntu), c'est sur que que tout ce qui dépend de la couche d'en dessous va merdoyer. En fait, d'accord avec TomTom, il n'y a rien pour affirmer qu'un DNS ne marcherait pas!

Faut être plus précis dans la description des tests et expliquer quelle validation on visait avec.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar stephdl » 07 Juin 2010 22:58

+1 franck78......quel VPN

je suis parti sur OpenVPN, mais rien ne l'affirme.

maintenant, tu as raison de relever pour savoir sur quel reseau il se trouve (local ou exterieur ?)
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar unnilennium » 07 Juin 2010 23:28

stephdl a écrit:+1 franck78......quel VPN

je suis parti sur OpenVPN, mais rien ne l'affirme.

maintenant, tu as raison de relever pour savoir sur quel reseau il se trouve (local ou exterieur ?)


Je suis d'accord avec le tableau imparfait:

est il :
sur internet,
sur local livebox
sur local wrt
sur local sme (il n'est pas precisé que la sme est en mode serveur simple, nous ne faison qu'assumer)


s'agit 'il d'OpenVPN bridge ou de PPTP ?

Les routeurs sont ils bien configurés pour faire du nat à chaque niveau sur les bons ports utiles pour le VPNe t les autre services?

Qu'en est il des pseudo DMZ offertes par les routeurs ?

Le VPN est il utile dans ce cas de figure aurait on pu faire autrement (réseau local)?

sans totu cela on ne peut pas répondre, nos boules de cristal sont encrassée.



Enfin je rejoins Jibé : Quelle utilité d'avoir la livebox en mode routeur ? Quelle utilité d'avoir un autre routeur en mode routeur ? Le Qos peut etre fait par SME, le monitoring encore plus (ntop etc) !

Tu multiplies le risque de panne, tu multiplie le nombre de paramètres à savoir maitriser.
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar jibe » 07 Juin 2010 23:36

Salut,

stephdl a écrit:Jibe, Jibe.....la question n'est pas de comment on peut faire autrement, mais comment on peut faire marcher cette configuration....

C'est exactement le malentendu qui a déclenché le troll : s'il s'agit d'un défi technique à relever, je n'y vois aucun inconvénient. S'il s'agit d'un réseau de prod, l'objectif n'est pas d'obtenir le fonctionnement d'une quelconque architecture, mais de trouver le meilleur moyen et surtout le plus fiable de répondre à un besoin bien précis.

C'est donc à psci de nous dire quel est son besoin : faire fonctionner ce qu'il a déjà+le VPN, ou garder cette configuration et de se débrouiller avec pour que le VPN fonctionne.

De ce besoin, pscl n'a quasiment rien dit. S'il a relativement bien décrit son réseau, on ne sait absolument rien du cahier des charges. Personnellement, je vois une chose : le choix a été porté sur SME pour certaines fonctions. C'est donc :
- Soit qu'un critère de simplicité et/ou de coût de mise en oeuvre et d'administration était imposé ou au moins acceptable,
- Soit que le choix SME est mauvais, parce que sorti de ce cadre, SME n'apporte que des inconvénients par rapport à une distrib "normale".

De plus, dans le presque rien que nous connaissons des besoins de pscl, je relève qu'il souhaite n'avoir qu'une machine, que tout peut être réalisé sur SME, que le VPN si important pour lui fonctionnerait sans problème s'il n'avait pas cette seconde machine (le WRT54GL) dont toi-même, stephdl, ne vois pas la nécessité... Je n'ai pas vu, par contre, la nécessité pour lui de garder son architecture actuelle, seulement le fait qu'il ne voit pas la nécessité de changer ce qui lui semble bien fonctionner... sauf pour le VPN.

Il me parait donc important de ne pas mettre pscl sur une fausse piste et de bien connaitre son besoin dans tous ses détails. Je répète que je n'ai rien contre les expériences et les défis, et si c'est de ça qu'il s'agit, continuez ! Mais dans le cadre de la production, si une solution choisie s'avère mauvaise, il faut savoir en changer...

[Edit]Il y a eu quelques posts pendant que je rédigeais... Ils confirment ce que je disais : "de ce besoin, psci n'a quasiment rien dit"... et font bien d'insister sur ce point plutôt que de chercher à mettre au point une usine à gaz dont on ne sait même pas ce qu'elle doit produire ![/Edit]
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar stephdl » 08 Juin 2010 07:56

Bein dites donc, autant de posts et autant d'interrogations, va bein falloir qu'il repasse par ici pcsl....

de plus je suis confronté au même problème avec ma neufbox...en effet je ne peux changer le network de 192.168.1.x, ce qui dans certains cas peut me poser des problèmes lorsque je suis en roadwarrior pour me connecter à mon réseau en VPN.
en effet c'est un network répandu :(

et je ne peux pas la virer la 9box, car ma femme n'aurait plus de télé.....ou pire, elle ne pourrait plus appeler sa mere gratuitement :)

donc une des solutions serait d'avoir un routeur entre les deux......ou une sme en serveur/passerelle

dans le cas de la sme/passerelle, cela assumerait que lorsque qu'un copain arrive pour se connecter en wifi avec son PC, il se connecterait par un VPN à mon network (puisque le wifi sera en dehors du réseau sme)....

c'est un peu $%#&!....et c'est aussi peut etre la problématique de pcsl......
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron