Changer URL serveur web accessible via VPN
Fermé
CyberNanaR
Messages postés
6
Date d'inscription
jeudi 27 janvier 2022
Statut
Membre
Dernière intervention
28 janvier 2022
-
27 janv. 2022 à 22:12
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 avril 2024 - 28 janv. 2022 à 10:36
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 avril 2024 - 28 janv. 2022 à 10:36
A voir également:
- Url certificat vpn gratuit
- Vpn gratuit - Guide
- Wetransfer gratuit sans inscription - Guide
- Lien url - Guide
- Chatgpt gratuit - Télécharger - Outils Internet
- Clé windows 10 gratuit - Guide
2 réponses
avion-f16
Messages postés
19246
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
21 avril 2024
4 497
Modifié le 27 janv. 2022 à 22:50
Modifié le 27 janv. 2022 à 22:50
Bonjour,
C'est une excellente décision car certains considèrent à tort le chiffrement réseau (VPN) comme un substitut du chiffrement applicatif (HTTPS dans ce cas).
Si le certificat a été émis pour entreprise.fr (en valeur CN), alors il ne couvre pas le sous-domaine, à moins que le sous-domaine nomappli.entreprise.fr ou le wildcard *.entreprise.fr. soit placé en SAN¹
nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?
Si ce serveur Web possède une IP privée, ce qui est probablement (pas nécessairement) le cas si on y accède via un VPN, il est possible que le DNS (souvent un relai) du client bloque les réponses contenant des IP privées pour éviter certaines attaques².
Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie.
¹ https://en.wikipedia.org/wiki/Subject_Alternative_Name
² https://en.wikipedia.org/wiki/DNS_rebinding
C'est une excellente décision car certains considèrent à tort le chiffrement réseau (VPN) comme un substitut du chiffrement applicatif (HTTPS dans ce cas).
Si le certificat a été émis pour entreprise.fr (en valeur CN), alors il ne couvre pas le sous-domaine, à moins que le sous-domaine nomappli.entreprise.fr ou le wildcard *.entreprise.fr. soit placé en SAN¹
nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?
Si ce serveur Web possède une IP privée, ce qui est probablement (pas nécessairement) le cas si on y accède via un VPN, il est possible que le DNS (souvent un relai) du client bloque les réponses contenant des IP privées pour éviter certaines attaques².
Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie.
¹ https://en.wikipedia.org/wiki/Subject_Alternative_Name
² https://en.wikipedia.org/wiki/DNS_rebinding
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 621
Modifié le 27 janv. 2022 à 23:57
Modifié le 27 janv. 2022 à 23:57
Salut,
c'est assez complexe à analyser , mais,
c'est clairement un dns mal configuré ou mal diffusé sur l'internet.
En fait, je me demande si tu accèdes bien à ton dns (hébergeur ou registrar ?) quand tu passes par le vpn vers un réseau local.
Le réseau local a t-il une redirection sur internet ?
c'est assez complexe à analyser , mais,
DNS_PROBE_FINISHED_NXDOMAIN
c'est clairement un dns mal configuré ou mal diffusé sur l'internet.
En fait, je me demande si tu accèdes bien à ton dns (hébergeur ou registrar ?) quand tu passes par le vpn vers un réseau local.
Le réseau local a t-il une redirection sur internet ?
CyberNanaR
Messages postés
6
Date d'inscription
jeudi 27 janvier 2022
Statut
Membre
Dernière intervention
28 janvier 2022
28 janv. 2022 à 10:15
28 janv. 2022 à 10:15
Bonjour,
"Le réseau local a t-il une redirection sur internet ?" : je ne suis pas sûr de comprendre la question, comment se matérialise / à quel niveau se fait cette redirection?
"Le réseau local a t-il une redirection sur internet ?" : je ne suis pas sûr de comprendre la question, comment se matérialise / à quel niveau se fait cette redirection?
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 621
>
CyberNanaR
Messages postés
6
Date d'inscription
jeudi 27 janvier 2022
Statut
Membre
Dernière intervention
28 janvier 2022
Modifié le 28 janv. 2022 à 10:42
Modifié le 28 janv. 2022 à 10:42
je veux dire le réseau là où te connecte ton vpn permet t-il une connexion à l'internet donc un accès à ton dns public ?
on est d'accord que le dns est public, pas privé, si c'est entreprise.fr ?
Mais c'est vrai qu'il pourrait être privé aussi.
Si tu mets l'équivalent de l'enregistrement A dans le fichier hosts, ça fonctionne ?
on est d'accord que le dns est public, pas privé, si c'est entreprise.fr ?
Mais c'est vrai qu'il pourrait être privé aussi.
Si tu mets l'équivalent de l'enregistrement A dans le fichier hosts, ça fonctionne ?
27 janv. 2022 à 23:21
Merci. Oui le certificat est bien wildcard.
"nomappli.entreprise.fr. pointe vers entreprise.fr. grâce au CNAME
Mais le nom entreprise.fr. pointe-t-il bien vers l'IP du serveur Web ?"
Il y a 2 CNAME enregistré# sur le domaine entreprise.fr avec le hostname correspondant au serveur de la manière suivante :
- www.nomappli 10800 IN CNAME hostnameduserveur.
- nomappli 10800 IN CNAME hostnameduserveur.
Ce n'est pas suffisant ?
Oui l'IP est bien privée
"Il faut donc s'assurer que le client utilise bien un DNS permettant les réponses avec des IP privées, ou alors déployer un DNS accessible via le VPN et configurer le client VPN de façon à utiliser ce DNS lorsque la connexion VPN est établie."
Auriez-vous la gentillesse de reformuler de manière plus détaillée ? Concrètement comment je procède ?
Encore merci
Modifié le 27 janv. 2022 à 23:25
Si nomappli.entreprise.fr est un alias (CNAME) vers hostnameduserveur, et puisque hostnameduserveur fonctionne déjà, alors tout est bon, nomappli.entreprise.fr devrait bien se résoudre avec l'IP du serveur.
Je suppose qu'il y a déjà un DNS interne pour résoudre "hostnameduserveur" ? À quel niveau ce nom (hostnameduserveur) est-il défini pour pointer vers l'IP du serveur Web ?
La configuration exposée me semble correcte, avez-vous des difficultés pour accéder à https://nomappli.entreprise.fr/ lorsque la connexion VPN est activée ?
27 janv. 2022 à 23:35
J'ai un doute sur le hostnameduserveur (information néanmoins demandée à plusieurs reprises à l'hébergeur). Est-ce qu'il faut bien mettre un "." après hostnameduserveur dans la configuration du CNAME ? Comment puis-je vérifier où et si ce hostnameduserveur pointe bien vers l'IP ?
27 janv. 2022 à 23:41
27 janv. 2022 à 23:49
Sans le point, « hostnameduserveur » dans la zone DNS de entreprise.fr. est un raccourci qui signifie hostnameduserveur.entreprise.fr.
Les deux CNAME, tels que donnés plus haut, sont donc exacts :
Si la résolution DNS ne fonctionne pas (erreur DNS_PROBE_FINISHED_NXDOMAIN), tu peux tenter d'en savoir plus avec la commande dans un invite de commande.
Par exemple