Configuration de mon NAS QNAP

Question de réseau, je suis littéralement pas loin d’être un gros néophyte, et j’essaye de comprendre en jouant avec mon routeur. On ne peut vraisemblablement pas changer les DNS de la Livebox de ce que j’ai trouvé, du coup garder mon routeur Archer C5 derrière semble pas être une mauvaise idée (en attendant de potentiellement trouver mieux si celui-ci est trop limitant, mais so far so good) :

  • J’ai la livebox qui a un DHCP qui va de 192.168.1.10 à 192.168.1.20 (pour l’instant). Dessus, je n’ai littéralement que :
    • Le smartphone du kid (un Redmi 4x d’il y a des années en wifi only). Pourquoi, parce qu’il ne fonctionne pas avec le wifi du Archer, allez comprendre pourquoi, que ce soit en 2.4 ou en 5ghz)
    • Le routeur Archer sur le 192.168.1.14 (dhcp fixe de la livebox), qui délivre actuellement du 192.168.0.X sur le reste des équipements, dont le NAS, en 192.168.0.10 en DHCP fixe.

Sur le NAS, j’ai donc plusieurs containers qui tournent, dont le Pi-Hole qui semble être le next step pour la config du réseau (192.168.0.210). J’imagine que c’est lui que je dois déclarer en DHCP, en désactivant le DHCP du Archer.

Sans faire ce dernier point, quand je mets l’ip du Pi-Hole en serveur DNS du Archer, je n’ai plus le net. Est-ce que quelqu’un saurait m’expliquer pourquoi ?

Question bonus toute conne et sûrement très basique en réseau : le routeur Archer, il est obligé de fournir un sous-réseau en « autre chose » que 192.168.1.X ? Ou il peut attribuer du 192.168.1.20 > 254 ? Genre le 192.168.1.x il est réservé au premier routeur (la livebox) ?

Pour info la livebox, de ce que j’ai lu, ne peut pas être configurée en mode bridge, Orange ne le permet pas.

Merci pour vos explications :slight_smile:

Pour aider, j’ai fait un jouli schéma tout pété :

Est-ce que ton pihole a bien un DNS externe publique configuré ? Sinon en l’état les requêtes DNS vont boucler entre pihole et archer car ton archer fournit sa propre IP en serveur DNS (via DHCP) au pihole.

Le plan d’adressage wan (wan du archer, mais lan vu de la livebox) doit être distinct de celui du lan.
Sinon ça veut dire ne pas utiliser la wan du archer, mais ça veut dire désactiver le DHCP de la livebox (sûrement pas possible), et que le serveur DHCP (archer ou autre) annonce l’IP de la livebox en default gateway.

Le workaround consiste à déclarer le archer en DMZ dans la livebox. Ça n’empêche pas le double NAT (pas grave dans l’absolu) mais ça permet de n’avoir à gérer qu’un seul firewall (celui du archer) au lieu de 2 (archer et livebox).

1 « J'aime »

J’imagine que tu fais référence aux options du Pi-Hole, qui de base, à celui de Google de coché ?

image

Donc ça ne gêne pas. Je pourrais effectivement désactiver le DHCP de la Livebox, mais j’ai déjà essayé et j’ai perdu tout mes accès, j’ai galéré pour retrouver mes petits (car la livebox une fois que tu saves un truc, elle stocke tes paramètres dans le cloud et quand tu reset, il reset d’après ta conf, pas d’usine… donc si t’as fait une boulette, t’es comme un con, j’ai heureusement pu modifier ça sur l’appli smartphone…). J’ose plus trop toucher au DHCP de la Livebox quoi :smiley:

Oui j’avais lu ça également, j’ai l’impression que c’est pas super recommandable… du coup j’ose pas non plus. En soit, c’est pas dramatique de ne pas gérer autre chose que le firewall « de base » de la livebox pour un usage perso, si ?

Putain, mettre un pi et laisser les DNS de google en upstream. 0 race quoi :smiley:

1 « J'aime »

A aucun moment t’as pu te dire que c’est la conf de base du container et qu’avant de changer quoi que ce soit je cherchais a le faire fonctionner ?

C’est bien à ca que je faisais référence. Mais en étant mieux réveillé, je présume plutôt que le Archer n’aime pas avoir un serveur DNS accessible via le lan, ce n’est pas une configuration naturelle/logique, le serveur DNS étant plutôt côté wan.
Tu dois pouvoir laisser sur le Archer le serveur DNS attribué via le DHCP statique par la livebox, et configurer le serveur DHCP du Archer pour qu’il attribue une autre IP serveur DNS que lui-même côté lan (DHCP Option 6).
Avant de jardiner dans le DHCP, si ce n’est pas déjà fait, tu peux déjà valider le fonctionnement du pihole sur un PC dans le lan du Archer, en faisant un adressage statique (gw = Archer et dns = pihole).

Dans ce cas tu es ‹ obligé › de cascader le Archer et la Livebox et d’avoir la distinction subnet wan / subnet lan.

Rien de dramatique, c’était pour éviter à chaque ajout de règle de NAT à avoir à le faire sur les 2 (Archer et Livebox). La DMZ revient à rediriger tout le traffic non solicité venant du wan vers une IP lan en particulier. Donc pour des questions évidentes de sécurité, l’équipement associé à cette IP lan (le Archer ici) doit avoir un Firewall permettant de le protéger.

1 « J'aime »

Installe AdGuard Home.

Que ce soit pihole ou adguard, ça ne changera rien à sa problématique réseau.

Merci pour ces explications @Pollux j’essaye ça dans le weekend :smiling_face_with_three_hearts:

Ptit update :

  • Sur le Archer, j’ai bien le WAN de la Livebox, et je fais bien pointer le primary DNS sur le PiHole, qui semble faire son taf (encore un peu de mal sur les blocklists mais je continue d’apprendre, genre j’avais un poil trop bloqué Spotify :smiley:)

image

  • Sur le Archer toujours, le LAN est bien sur le 192.168.0.1 et va de 10 à 250 : ici j’ai donc configuré le default gateway DHCP du routeur sur le 192.168.0.1. Ça semble fonctionner, puisque mon PC est dessus et en automatique, je tombe bien sur l’IP que je lui ai réservée et qu’il semble avoir les bons DNS :

image

Je suppose donc que de ce côté, c’est bon, merci donc @Pollux pour ta précieuse aide :]

Côté NAS, j’ai, contrairement à ce que @pr7 disait plus haut, j’ai bien configuré mon vswitch en « ip fixe » et chaque container tope une IP qui lui est propre (la preuve, j’ai encore des container « actifs » qui ont une ip en 192.168.1.x, qui ne fonctionnent bien évidemment pas). Et le NZBGet + Radarr que j’ai configuré from scratch (j’aime repartir d’une page blanche :peach:) fonctionnent bien, se voient bien, pas de soucis à déplorer).

Est-ce qu’on est d’accord que passer le Pi-Hole en serveur DHCP n’a pas de sens vu que le Archer fait ça très bien ?

Next, je vais regarder le reverse proxy :slight_smile:

Question bonus : c’est quoi le « swarm », c’est nécessaire ? Je tombe là dessus quand je regarde des trucs autour de Traefik.

Sur le Archer, je m’attendais plutôt à configurer les DNS dans la section DHCP Server, au lieu du WAN. C’est 2 choses distinctes. Mais vu que c’est un matériel grand public, peut-être que le choix a été fait de combiner ces réglages et de les rendre uniquement disponibles dans la section WAN (ce qui n’est pas génial). En tous cas la configuration des DNS dans la partie WAN, semble bien affecter la partie DHCP Server également, puisque le PC client récupère bien ces DNS.

Par ailleurs, tu devrais enlever le secondary DNS (1.1.1.1). Même si il est probable qu’une grande majorité des clients utiliseront principalement le DNS primaire, une partie des requêtes DNS des clients utiliseront aussi le DNS secondaire (quand bien même le DNS primaire est joignable). Ce qui n’est pas ce que tu souhaites.

Effectivement, activer le serveur DHCP sur le pihole n’a pas de sens si tu utilises celui du Archer. Il faut utiliser soit l’un, soit l’autre, de manière exclusive.

Je peux les mettre dans les deux en fait. Dans le WAN, ou dans le DHCP. C’est quoi la diff pour ma culture ?

Et ok pour le second je testerai :slight_smile:

Le routeur peut très bien utiliser via son interface WAN un serveur DNS, et annoncer un autre serveur DNS à ses clients sur le LAN via DHCP. C’est deux fonctions différentes sans corrélation directe. Cela permet par exemple au routeur d’accéder aux mises à jour du firmware sans dépendre ici du DNS sur la partie LAN (le pihole).

1 « J'aime »

Je continue dans ma quête de reverse-proxy, avec lequel j’ai un peu de mal, et je rencontre une difficulté toute bête : aujourd’hui quand je tape sur mon IP externe, j’ai rien dans le browser (ce qui me paraît normal, vu que j’ai rien « ouvert » si j’ai bien compris).

Pour récapéter, j’ai donc un schéma du genre :

WEB
    |
LIVEBOX (192.168.1.x)
    |
NAS (192.168.0.10)
    |
Nginx (port XXXXX pour la console d’admin)

Si j’ai bien tout compris l’idée, c’est de prendre mon ndd, de le faire pointer sur mon IP publique, et après ? Comme je fais arriver le trafic précisément sur le nginx qui est derrière le second WAN ?

(j’ajoute que quand j’essaye de taper sur le ndd depuis le nginx pour le certificat SSL, il me jette une erreur comme quoi j’ai un « invalid domain or ip », si ça peut aider)

En forwardant les ports 80 et 443 (pour le http et https), et éventuellement d’autres si besoin vers l’IP de ton NAS.

Il faudra également acheter et configurer un domaine publique si tu veux un accès via une URL depuis Internet (mais tu peux toujours t’en passer). Ton Pihole ne servira pas à grand chose dans ce cadre.
Par contre, ce que tu essai de faire est globalement une mauvaise idée en terme de sécurité.
Tu n’as pas envisagé d’utiliser un VPN classique ou un service « zero trust » comme Tailscale comme discuté plus haut ?

Non alors j’en suis a l’étape « reverse proxy ». C’est a dire que j’ai déployé NGinx sur le NAS et en tapant sur l’IP du NAS j’arrive bien à taper dessus, et j’ai bien accès à son admin.

Seulement dans tous les tutos que j’ai pu trouver il me dit que le next step c’est justement d’avoir un ndd pour pouvoir gérer les sous domaines, gérer le ssl etc.

Le VPN permet de passer outre tout ça ? Faut que je le gère avant de passer au reverse-proxy ?

Edit : aucun lien avec le pihole qui lui est en place et qui fonctionne visiblement bien.

En fait tu peux le faire en local avec le PiHole (pour le TLS c’est plus compliqué par contre, il faut aussi un domaine public pour pouvoir faire le challenge DNS avec letsencrypt).
Je pensais que c’était pour cela que tu voulais le monter.
Mais bien évidement, cela ne fonctionnera pas depuis Internet.

Le VPN te permet d’accéder à ton réseau local ou à une ressource de manière sécurisée, sans exposer tous tes services à n’importe qui sur Internet.

Le reverse-proxy, en simplifiant, te permet juste d’accéder à tes services avec une URL au lieu d’une IP et d’un port. Cela permet aussi de largement simplifier l’utilisation d’un certificat pour la mise en oeuvre du TLS. Mais tu pourrais très bien exposer un service d’un container directement sur ton réseau local, sans RP, et NATer les flux venant d’internet vers l’IP/port de ton NAS correspondant à ton service.

Je voulais le pihole pour le côté pub, ce pour quoi il a été il me semble conçu, et ça fonctionne donc bien.

Après j’ai donc mis en place le NGinx et j’en suis vraiment au point où il existe et j’suis là « bahhh comment je dis que radarr.local ça tape sur telle IP ? ». Et de fait quand j’ai lu ici et là ça disait qu’il fallait un ndd… D’où mes questions.

Le VPN pour moi c’était l’étape d’après.

Du coup depuis NGinx comment tu mets en place domaines fictifs ?

La première étape c’est de le paramétrer sur le Pihole. Il est devenu ton serveur DNS sur ton réseau local donc il peut associer n’importe quel domaine à une IP.
Si ton PiHole est aussi ton serveur DHCP tout devrait être « automatique ». Sinon tu vas dans « local DNS » et tu le fait à la main. Ou alors tu vas dans les options DHCP et tu actives la fonction « conditionnal forwading » et indiquant le domaine local souhaité et l’IP de ton serveur DHCP. Mais cela ne fonctionnera que pour les machines en DHCP.
Pour un NAS qui est normalement en IP fixe, tu peux le faire manuellement.

Coté Nginx après tu associe manuellement le nom de ton service type « service.nas.domain.local » à l’IP et au port du service correspondant.