Synology Accéder au sous domaine en local

[xavax]

Bonjour, après avoir mis en place un reverse proxy, reglé le parefeu, je suis confronté a un autre problème.
Je n'arrive pas a me connecter à jellyfin via le sous domaine en local ou via le VPN...
J'ai une freebox V6, un routeur unifi en DMZ dans la freebox.
J'ai désactive le parefeu epour tester, ca ne change rien.
Ce qui est étrange c'est qu'il me semble que ca fonctionnait il y a 2 jours....
Merci pour votre aide

 

[MilesTEG]

Peut-être que la freebox ne permet pas le loopback... (c'est grossièrement le fait qu'avec un nom de domaine pointant sur l'IP de la freebox, utilisé depuis le LAN permet de sortir puis rentrer dans la fouler de la freebox... et je ne saurais pas expliquer ça correctement ? désolé ^^)
Perso, j'ai un serveur AdGuard Home (équivalent pi-hole) qui me permet de réécrire l'adresse de mon ndd avec l'IP LAN du nas
Tu pourrais faire la même chose avec DNS Server du NAS, mais là c'est quand même plus complexe XD

Tu confirmes que ça fonctionne depuis une connexion 4G ?

 

[xavax]

j'ai aussi adguard home sur le syno et sans docker, tu fais comment du coup ?

Oui ca fonctionne depuis le reseau 4G. en VPN ca ne fonctionne pas

 

[MilesTEG]

j'ai aussi adguard home sur le syno et sans docker, tu fais comment du coup ?

Oui ca fonctionne depuis le reseau 4G. en VPN ca ne fonctionne pas

Alors c’est pas dur : (désolé captures iOS donc grosse taille ?)



Là j’ai mis tous les « sous-domaines » de ton ndd, mais tu peux ne choisir que ce que tu veux comme bla-bla.ton-ndd.tld

 

[xavax]

ok donc si j'ai plein de sous domaine dans ce format par exemple
file.monnomdedomaine.me
dsaudio.monnomdedomaine.me
Dsm.monnomdedomaine.me

il me suffit de mettre dans la partie réécriture DNS *.monnomdedomaine.me

J'ai bien compris ?

Message automatiquement fusionné : 14 Avril 2022

et l'ip qu'il faut mettre c'est bien celle du NAS ?

Message automatiquement fusionné : 14 Avril 2022

je viens de tester et ca ne passe pas non plus .... je ne pige pas...

 

[MilesTEG]

il me suffit de mettre dans la partie réécriture DNS *.monnomdedomaine.me

J'ai bien compris ?

Exactement

et l'ip qu'il faut mettre c'est bien celle du NAS ?

Yep également

je viens de tester et ca ne passe pas non plus .... je ne pige pas...

Hmm, il y a un soucis ailleurs...
Tu peux vérifier que dans le journal des requêtes tu as bien ça quand tu essayes d'accéder à un de tes noms de domaines :


En fonction de la réponse, on verra pour trouver où le soucis est

 

[xavax]

tu trouves ca ou le journal des requetes ? en fait j'ai refait des tests, en local ca passe mais pas en VPN avec openvpn....

Ca ne peut pas venir d'adguard et le parametrage DNS ?
J'ai mis ceci :



de mon pare feu ?

 

[MilesTEG]

tu trouves ca ou le journal des requetes ? en fait j'ai refait des tests, en local ca passe mais pas en VPN avec openvpn....

Pour le VPN, c'est probablement que le serveur DNS utilisé par le VPN n'est pas ton serveur AdGH.

Pour les réglages de AdGH, moi j'ai ça :


Il est installé comment et où ton serveur AdGH ?

 

[xavax]

sur le syno sans docker. j'avais trouvé le tuto sur cachem

J'ai mis la meme chose que toi en Dns ca n'a rien changé avec le VPN
avec VPN server je fais comment pour que ca passe par Adguard ?

Message automatiquement fusionné : 14 Avril 2022

j'ai trouvé comment faire passer le trafique VPN par le DNS adgaud. dans le journal je vois bien mon iphone mais pas de trace du nom de domaine avec jellyfin..... Je pense que le parefeu doit le bloquer direct mais je ne vois pas ce que j'ai mal configuré.
c'est bien ca qu'il faut mettre ?

Message automatiquement fusionné : 14 Avril 2022

Bon apres ca fonctionne en local et a l'exterieur c'est juste avec le VPN que ca deconne. Ce n'est oas très génant c'est juste que j'aimerais bien comprendre

 

[MilesTEG]

j'ai trouvé comment faire passer le trafique VPN par le DNS adgaud. dans le journal je vois bien mon iphone mais pas de trace du nom de domaine avec jellyfin.....

Tu as procédé comment pour indiquer au VPN le serveur dns à utiliser ? (Pour voir si tu as fait ce que j’envisageais de te faire faire)

Car normalement si toutes les requêtes dns passent par l’iP de ton serveur AdGH (donc celle du nas) la résolution du nom de domaine devrait fonctionner et être réécrite avec l’iP du serveur jellyfin.

Mon serveur AdGH est installé avec docker en macvlan (complexe ?) afin qu’il soit considéré comme une machine à part entière et possède sa propre iP (différente de celle du nas).

Sinon dans ton pare-feu, crée une règle concernant le port de jellyfin autorisée pour les pays France et autres.
Sinon pourquoi as-tu deux règles pour le reverse proxy ?

 

[xavax]

Tu as procédé comment pour indiquer au VPN le serveur dns à utiliser ? (Pour voir si tu as fait ce que j’envisageais de te faire faire)

Car normalement si toutes les requêtes dns passent par l’iP de ton serveur AdGH (donc celle du nas) la résolution du nom de domaine devrait fonctionner et être réécrite avec l’iP du serveur jellyfin.

Mon serveur AdGH est installé avec docker en macvlan (complexe ?) afin qu’il soit considéré comme une machine à part entière et possède sa propre iP (différente de celle du nas).

Sinon dans ton pare-feu, crée une règle concernant le port de jellyfin autorisée pour les pays France et autres.
Sinon pourquoi as-tu deux règles pour le reverse proxy ?

Pour le dns du VPN j’ai modifié le fichier de configuration en enlevant le # et indiquant l’adresse ip adguard
Je vais essayer sur le pare-feu.
Pour le déversé proxy c’est parce que j’ai utilisé 2 ports différents un pour les appli et l’autre pour dsm. Comme ça j’active celui de dsm quand j’en ai vraiment besoin.

 

[MilesTEG]

Pour le dns du VPN j’ai modifié le fichier de configuration en enlevant le # et indiquant l’adresse ip adguard
Je vais essayer sur le pare-feu.
Pour le déversé proxy c’est parce que j’ai utilisé 2 ports différents un pour les appli et l’autre pour dsm. Comme ça j’active celui de dsm quand j’en ai vraiment besoin.

Ok la modification que tu as faite est celle que je t’aurais fait faire ?
Je viens de tester ma connexion VPN (pas identique mais similaire, mon serveur VPN est sur le routeur synology) : en openVPN la réécriture de mes noms de domaines fonctionne.
(J’ai constaté un soucis avec le SSL VPN faudra que j’investigue…)
Donc de ton côté ça devrait normalement fonctionner.
As-tu décommenté une autre ligne ? Celle qui fait passer tout le traffic à travers le VPN ?

 

[xavax]

Oui j’ai decommenté redirect-gateway def1 et float

 

[MilesTEG]

Oui j’ai decommenté redirect-gateway def1 et float

Le redirect gateway ok , l’autre je sais pas ce que ça fait…

Est-ce que tu as créé une réécriture aussi pour ton-ndd.tld ? En plus de *.ton-ndd.tld ?

 

[xavax]

Je suis parti en vacances, je ferais des tests en rentrant. Je vais chercher ce qu’est le float..
je n’accède pas non plus à d’autre appareil via le VPN et leur nom de domaine …. Bizarre

Message automatiquement fusionné : 17 Avril 2022

floatAutorise l'hôte distant à changer d'adresse IP et/ou de numéro de port, comme sous DHCP (par défaut si --remote n'est pas défini). Lorsque spécifié avec --remote, --floatautorise la connexion initiale d'un hôte dont l'adresse IP est connue. Si des paquets proviennent par la suite d'une autre adresse et passent les tests d'authentification, la session courante sera transférée vers cette adresse. Cette option est utile lorsque vous vous connectez à un hôte qui utilise une adresse dynamique obtenue par modem ou DHCP.
En essence, --float commande à OpenVPN d'accepter des paquets authentifiés provenant de n'importe quelle adresse, et pas uniquement de celle définie par l'option --remote.

 

[MilesTEG]

Pour l’option float je ne crois pas avoir eu besoin de l’activer et tout fonctionne bien chez moi…
Essaye en la désactivant.
Mais là je n’ai aucune idée de ce qui peut bloquer.
@FX Cachem as-tu une idée ?

Sinon @xavax tente de faire un ticket au support synology (soit en passant Par ton compte synology depuis un navigateur soit depuis le centre d’assistance de dsm).

 

[MilesTEG]

@xavax À titre d'information, j'ai ça comme fichier .ovpn :

dev tun
tls-client

remote mon-ndd-SYNO.tld 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1
#redirect-gateway ipv6

auth-nocache

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


reneg-sec 0

auth SHA512

cipher AES-256-CBC

auth-user-pass


key-direction 1

explicit-exit-notify
<ca>

-----BEGIN CERTIFICATE-----
XXXXXXX le certificat XXXXXXX
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
XXXXXXX Un autre certificat XXXXXXX
-----END CERTIFICATE-----
</ca>

<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXXXXXX clé OpenVPN XXXXXXX
-----END OpenVPN Static key V1-----
</tls-auth>

 

[xavax]

Je viens de remarquer quelque chose sur mon lieu de vacances…. En wifi et VPN ça fonctionne… ça ne fonctionne pas en 4g sosh…

 

[MilesTEG]

Je viens de remarquer quelque chose sur mon lieu de vacances…. En wifi et VPN ça fonctionne… ça ne fonctionne pas en 4g sosh…

Juste pour être sûr, pourrais-tu re-préciser exactement ce qui fonctionne bien et ce qui ne fonctionne pas dans les différents cas ?

 

[xavax]

ça ne fonctionne pas en 4g avec le VPN et le nom de domaine. Dans tous les autres cas de figure ça fonctionne y compris depuis un autre réseau wifi en VPN