Changer URL serveur web accessible via VPN

Fermé
CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022 - 27 janv. 2022 à 22:12
brupala Messages postés 109404 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 17 avril 2024 - 28 janv. 2022 à 10:36
Bonjour,

Une application métier est hébergée sur un serveur (LAN distant chez un hébergeur) accessible par un serveur web uniquement via connexion VPN avec l'URL : http://nomduserveurweb/xxx.

Nous souhaitons changer l'URL avec installation d'un certificat permettant d'accéder à cette application en https toujours via ce VPN : https://nomappli.entreprise.fr.

Un certificat pour le domaine entreprise.fr a bien été installé sur le serveur web en question et nous avons créé un alias CNAME nomappli pointant sur le serveur web au niveau du domaine entreprise.fr.

Quelles sont les autres configurations à effectuer pour que cela fonctionne ?

Merci infiniment pour votre aide!
A voir également:

2 réponses

avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024 4 496
Modifié le 27 janv. 2022 à 22:50
Bonjour,

C'est une excellente décision car certains considèrent à tort le chiffrement réseau (VPN) comme un substitut du chiffrement applicatif (HTTPS dans ce cas).

Si le certificat a été émis pour entreprise.fr (en valeur CN), alors il ne couvre pas le sous-domaine, à moins que le sous-domaine nomappli.entreprise.fr ou le wildcard *.entreprise.fr. soit placé en SAN¹

nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?

Si ce serveur Web possède une IP privée, ce qui est probablement (pas nécessairement) le cas si on y accède via un VPN, il est possible que le DNS (souvent un relai) du client bloque les réponses contenant des IP privées pour éviter certaines attaques².
Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie.

¹ https://en.wikipedia.org/wiki/Subject_Alternative_Name
² https://en.wikipedia.org/wiki/DNS_rebinding
0
CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022
27 janv. 2022 à 23:21
Bonjour,

Merci. Oui le certificat est bien wildcard.

"nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?"
Il y a 2 CNAME enregistré# sur le domaine entreprise.fr avec le hostname correspondant au serveur de la manière suivante :
- www.nomappli 10800 IN CNAME hostnameduserveur.
- nomappli 10800 IN CNAME hostnameduserveur.
Ce n'est pas suffisant ?


Oui l'IP est bien privée
"Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie."
Auriez-vous la gentillesse de reformuler de manière plus détaillée ? Concrètement comment je procède ?

Encore merci
0
avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024 4 496 > CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022
Modifié le 27 janv. 2022 à 23:25
J'avais compris que nomappli.entreprise.fr. était un alias vers entreprise.fr, autant pour moi.

Si nomappli.entreprise.fr est un alias (CNAME) vers hostnameduserveur, et puisque hostnameduserveur fonctionne déjà, alors tout est bon, nomappli.entreprise.fr devrait bien se résoudre avec l'IP du serveur.

Je suppose qu'il y a déjà un DNS interne pour résoudre "hostnameduserveur" ? À quel niveau ce nom (hostnameduserveur) est-il défini pour pointer vers l'IP du serveur Web ?

La configuration exposée me semble correcte, avez-vous des difficultés pour accéder à https://nomappli.entreprise.fr/ lorsque la connexion VPN est activée ?
0
CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022 > avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024
27 janv. 2022 à 23:35
J'ai actuellement une erreur : DNS_PROBE_FINISHED_NXDOMAIN

J'ai un doute sur le hostnameduserveur (information néanmoins demandée à plusieurs reprises à l'hébergeur). Est-ce qu'il faut bien mettre un "." après hostnameduserveur dans la configuration du CNAME ? Comment puis-je vérifier où et si ce hostnameduserveur pointe bien vers l'IP ?
0
CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022 > avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024
27 janv. 2022 à 23:41
Ou est-ce qu'en indiquant l'IP directement à la place de hostnameduserveur cela fonctionnerait ? (Je crois avoir déjà testé sans succès, je tourne en rond depuis un bout de temps sur ce problème)
0
avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024 4 496 > CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022
27 janv. 2022 à 23:49
Il faut mettre un point pour indiquer que hostnameduserveur. est un FQDN

Sans le point, « hostnameduserveur » dans la zone DNS de entreprise.fr. est un raccourci qui signifie hostnameduserveur.entreprise.fr.

Les deux CNAME, tels que donnés plus haut, sont donc exacts :

www.nomappli 10800 IN CNAME hostnameduserveur.
nomappli 10800 IN CNAME hostnameduserveur.


Si la résolution DNS ne fonctionne pas (erreur DNS_PROBE_FINISHED_NXDOMAIN), tu peux tenter d'en savoir plus avec la commande
nslookup
dans un invite de commande.

Par exemple
nslookup hostnameduserveur

nslookup nomappli.entreprise.fr
0
brupala Messages postés 109404 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 17 avril 2024 13 615
Modifié le 27 janv. 2022 à 23:57
Salut,
c'est assez complexe à analyser , mais,
DNS_PROBE_FINISHED_NXDOMAIN

c'est clairement un dns mal configuré ou mal diffusé sur l'internet.
En fait, je me demande si tu accèdes bien à ton dns (hébergeur ou registrar ?) quand tu passes par le vpn vers un réseau local.
Le réseau local a t-il une redirection sur internet ?

0
CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022
28 janv. 2022 à 10:15
Bonjour,

"Le réseau local a t-il une redirection sur internet ?" : je ne suis pas sûr de comprendre la question, comment se matérialise / à quel niveau se fait cette redirection?
0
brupala Messages postés 109404 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 17 avril 2024 13 615 > CyberNanaR Messages postés 6 Date d'inscription jeudi 27 janvier 2022 Statut Membre Dernière intervention 28 janvier 2022
Modifié le 28 janv. 2022 à 10:42
je veux dire le réseau là où te connecte ton vpn permet t-il une connexion à l'internet donc un accès à ton dns public ?
on est d'accord que le dns est public, pas privé, si c'est entreprise.fr ?
Mais c'est vrai qu'il pourrait être privé aussi.
Si tu mets l'équivalent de l'enregistrement A dans le fichier hosts, ça fonctionne ?
0