A voir également:
- Url certificat vpn gratuit
- Url - Guide
- Photofiltre 7 gratuit - Télécharger - Retouche d'image
- Vpn gratuit - Accueil - Guide VPN
- Clé d'activation windows 10 gratuit - Guide
- Open office gratuit - Télécharger - Suite bureautique
2 réponses
Bonjour,
C'est une excellente décision car certains considèrent à tort le chiffrement réseau (VPN) comme un substitut du chiffrement applicatif (HTTPS dans ce cas).
Si le certificat a été émis pour entreprise.fr (en valeur CN), alors il ne couvre pas le sous-domaine, à moins que le sous-domaine nomappli.entreprise.fr ou le wildcard *.entreprise.fr. soit placé en SAN¹
nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?
Si ce serveur Web possède une IP privée, ce qui est probablement (pas nécessairement) le cas si on y accède via un VPN, il est possible que le DNS (souvent un relai) du client bloque les réponses contenant des IP privées pour éviter certaines attaques².
Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie.
¹ https://en.wikipedia.org/wiki/Subject_Alternative_Name
² https://en.wikipedia.org/wiki/DNS_rebinding
C'est une excellente décision car certains considèrent à tort le chiffrement réseau (VPN) comme un substitut du chiffrement applicatif (HTTPS dans ce cas).
Si le certificat a été émis pour entreprise.fr (en valeur CN), alors il ne couvre pas le sous-domaine, à moins que le sous-domaine nomappli.entreprise.fr ou le wildcard *.entreprise.fr. soit placé en SAN¹
nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?
Si ce serveur Web possède une IP privée, ce qui est probablement (pas nécessairement) le cas si on y accède via un VPN, il est possible que le DNS (souvent un relai) du client bloque les réponses contenant des IP privées pour éviter certaines attaques².
Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie.
¹ https://en.wikipedia.org/wiki/Subject_Alternative_Name
² https://en.wikipedia.org/wiki/DNS_rebinding
Salut,
c'est assez complexe à analyser , mais,
c'est clairement un dns mal configuré ou mal diffusé sur l'internet.
En fait, je me demande si tu accèdes bien à ton dns (hébergeur ou registrar ?) quand tu passes par le vpn vers un réseau local.
Le réseau local a t-il une redirection sur internet ?
c'est assez complexe à analyser , mais,
DNS_PROBE_FINISHED_NXDOMAIN
c'est clairement un dns mal configuré ou mal diffusé sur l'internet.
En fait, je me demande si tu accèdes bien à ton dns (hébergeur ou registrar ?) quand tu passes par le vpn vers un réseau local.
Le réseau local a t-il une redirection sur internet ?
je veux dire le réseau là où te connecte ton vpn permet t-il une connexion à l'internet donc un accès à ton dns public ?
on est d'accord que le dns est public, pas privé, si c'est entreprise.fr ?
Mais c'est vrai qu'il pourrait être privé aussi.
Si tu mets l'équivalent de l'enregistrement A dans le fichier hosts, ça fonctionne ?
on est d'accord que le dns est public, pas privé, si c'est entreprise.fr ?
Mais c'est vrai qu'il pourrait être privé aussi.
Si tu mets l'équivalent de l'enregistrement A dans le fichier hosts, ça fonctionne ?
Merci. Oui le certificat est bien wildcard.
"nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?"
Il y a 2 CNAME enregistré# sur le domaine entreprise.fr avec le hostname correspondant au serveur de la manière suivante :
- www.nomappli 10800 IN CNAME hostnameduserveur.
- nomappli 10800 IN CNAME hostnameduserveur.
Ce n'est pas suffisant ?
Oui l'IP est bien privée
"Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie."
Auriez-vous la gentillesse de reformuler de manière plus détaillée ? Concrètement comment je procède ?
Encore merci
Si nomappli.entreprise.fr est un alias (CNAME) vers hostnameduserveur, et puisque hostnameduserveur fonctionne déjà, alors tout est bon, nomappli.entreprise.fr devrait bien se résoudre avec l'IP du serveur.
Je suppose qu'il y a déjà un DNS interne pour résoudre "hostnameduserveur" ? À quel niveau ce nom (hostnameduserveur) est-il défini pour pointer vers l'IP du serveur Web ?
La configuration exposée me semble correcte, avez-vous des difficultés pour accéder à https://nomappli.entreprise.fr/ lorsque la connexion VPN est activée ?
J'ai un doute sur le hostnameduserveur (information néanmoins demandée à plusieurs reprises à l'hébergeur). Est-ce qu'il faut bien mettre un "." après hostnameduserveur dans la configuration du CNAME ? Comment puis-je vérifier où et si ce hostnameduserveur pointe bien vers l'IP ?
Sans le point, « hostnameduserveur » dans la zone DNS de entreprise.fr. est un raccourci qui signifie hostnameduserveur.entreprise.fr.
Les deux CNAME, tels que donnés plus haut, sont donc exacts :
Si la résolution DNS ne fonctionne pas (erreur DNS_PROBE_FINISHED_NXDOMAIN), tu peux tenter d'en savoir plus avec la commande dans un invite de commande.
Par exemple