Changer URL serveur web accessible via VPN
CyberNanaR
Messages postés
7
Statut
Membre
-
brupala Messages postés 115236 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 115236 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Une application métier est hébergée sur un serveur (LAN distant chez un hébergeur) accessible par un serveur web uniquement via connexion VPN avec l'URL : http://nomduserveurweb/xxx.
Nous souhaitons changer l'URL avec installation d'un certificat permettant d'accéder à cette application en https toujours via ce VPN : https://nomappli.entreprise.fr.
Un certificat pour le domaine entreprise.fr a bien été installé sur le serveur web en question et nous avons créé un alias CNAME nomappli pointant sur le serveur web au niveau du domaine entreprise.fr.
Quelles sont les autres configurations à effectuer pour que cela fonctionne ?
Merci infiniment pour votre aide!
Une application métier est hébergée sur un serveur (LAN distant chez un hébergeur) accessible par un serveur web uniquement via connexion VPN avec l'URL : http://nomduserveurweb/xxx.
Nous souhaitons changer l'URL avec installation d'un certificat permettant d'accéder à cette application en https toujours via ce VPN : https://nomappli.entreprise.fr.
Un certificat pour le domaine entreprise.fr a bien été installé sur le serveur web en question et nous avons créé un alias CNAME nomappli pointant sur le serveur web au niveau du domaine entreprise.fr.
Quelles sont les autres configurations à effectuer pour que cela fonctionne ?
Merci infiniment pour votre aide!
A voir également:
- Url vpn
- Url - Guide
- Vpn comment ça marche - Guide
- Vpn gratuit - Accueil - Guide VPN
- Hola vpn chrome - Guide
- Comment changer url iptv - Forum Créer un site
2 réponses
Bonjour,
C'est une excellente décision car certains considèrent à tort le chiffrement réseau (VPN) comme un substitut du chiffrement applicatif (HTTPS dans ce cas).
Si le certificat a été émis pour entreprise.fr (en valeur CN), alors il ne couvre pas le sous-domaine, à moins que le sous-domaine nomappli.entreprise.fr ou le wildcard *.entreprise.fr. soit placé en SAN¹
nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?
Si ce serveur Web possède une IP privée, ce qui est probablement (pas nécessairement) le cas si on y accède via un VPN, il est possible que le DNS (souvent un relai) du client bloque les réponses contenant des IP privées pour éviter certaines attaques².
Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie.
¹ https://en.wikipedia.org/wiki/Subject_Alternative_Name
² https://en.wikipedia.org/wiki/DNS_rebinding
C'est une excellente décision car certains considèrent à tort le chiffrement réseau (VPN) comme un substitut du chiffrement applicatif (HTTPS dans ce cas).
Si le certificat a été émis pour entreprise.fr (en valeur CN), alors il ne couvre pas le sous-domaine, à moins que le sous-domaine nomappli.entreprise.fr ou le wildcard *.entreprise.fr. soit placé en SAN¹
nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?
Si ce serveur Web possède une IP privée, ce qui est probablement (pas nécessairement) le cas si on y accède via un VPN, il est possible que le DNS (souvent un relai) du client bloque les réponses contenant des IP privées pour éviter certaines attaques².
Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie.
¹ https://en.wikipedia.org/wiki/Subject_Alternative_Name
² https://en.wikipedia.org/wiki/DNS_rebinding
Salut,
c'est assez complexe à analyser , mais,
c'est clairement un dns mal configuré ou mal diffusé sur l'internet.
En fait, je me demande si tu accèdes bien à ton dns (hébergeur ou registrar ?) quand tu passes par le vpn vers un réseau local.
Le réseau local a t-il une redirection sur internet ?
c'est assez complexe à analyser , mais,
DNS_PROBE_FINISHED_NXDOMAIN
c'est clairement un dns mal configuré ou mal diffusé sur l'internet.
En fait, je me demande si tu accèdes bien à ton dns (hébergeur ou registrar ?) quand tu passes par le vpn vers un réseau local.
Le réseau local a t-il une redirection sur internet ?
je veux dire le réseau là où te connecte ton vpn permet t-il une connexion à l'internet donc un accès à ton dns public ?
on est d'accord que le dns est public, pas privé, si c'est entreprise.fr ?
Mais c'est vrai qu'il pourrait être privé aussi.
Si tu mets l'équivalent de l'enregistrement A dans le fichier hosts, ça fonctionne ?
on est d'accord que le dns est public, pas privé, si c'est entreprise.fr ?
Mais c'est vrai qu'il pourrait être privé aussi.
Si tu mets l'équivalent de l'enregistrement A dans le fichier hosts, ça fonctionne ?
Merci. Oui le certificat est bien wildcard.
"nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?"
Il y a 2 CNAME enregistré# sur le domaine entreprise.fr avec le hostname correspondant au serveur de la manière suivante :
- www.nomappli 10800 IN CNAME hostnameduserveur.
- nomappli 10800 IN CNAME hostnameduserveur.
Ce n'est pas suffisant ?
Oui l'IP est bien privée
"Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie."
Auriez-vous la gentillesse de reformuler de manière plus détaillée ? Concrètement comment je procède ?
Encore merci
Si nomappli.entreprise.fr est un alias (CNAME) vers hostnameduserveur, et puisque hostnameduserveur fonctionne déjà, alors tout est bon, nomappli.entreprise.fr devrait bien se résoudre avec l'IP du serveur.
Je suppose qu'il y a déjà un DNS interne pour résoudre "hostnameduserveur" ? À quel niveau ce nom (hostnameduserveur) est-il défini pour pointer vers l'IP du serveur Web ?
La configuration exposée me semble correcte, avez-vous des difficultés pour accéder à https://nomappli.entreprise.fr/ lorsque la connexion VPN est activée ?
J'ai un doute sur le hostnameduserveur (information néanmoins demandée à plusieurs reprises à l'hébergeur). Est-ce qu'il faut bien mettre un "." après hostnameduserveur dans la configuration du CNAME ? Comment puis-je vérifier où et si ce hostnameduserveur pointe bien vers l'IP ?
Sans le point, « hostnameduserveur » dans la zone DNS de entreprise.fr. est un raccourci qui signifie hostnameduserveur.entreprise.fr.
Les deux CNAME, tels que donnés plus haut, sont donc exacts :
Si la résolution DNS ne fonctionne pas (erreur DNS_PROBE_FINISHED_NXDOMAIN), tu peux tenter d'en savoir plus avec la commande dans un invite de commande.
Par exemple