Conseils sur la protection d'un accès VPN.

11 réponses
Avatar
Olivier
Bonjour,

1. Via un ISP (type OVH, 1and1, ...), j'enregistre les domaines
mondomaine.fr et foobar.mondomaine.fr.
Est-il possible =E0 un tiers de d=E9couvrir l'existence de
foobar.mondomaine.fr =E0 partir de la seule connaissance de
mondomaine.fr ? Si oui, est-il possible de contr=F4ler ou limiter cette
possibilit=E9 ?

2. Que penser de l'id=E9e d'utiliser un nom de domaine plut=F4t qu'une
adresse IP pour acc=E9der =E0 un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?

Le VPN est construit avec OpenVPN qui permet de fournir plusieurs
adresses de serveur aux clients, ce qui laisse la possibilit=E9 d'un
secours mais j'imagine qu'il est plus difficile de contr=F4ler cette
possibilit=E9 avec des adresses en dur plut=F4t que des noms de domaine.
Votre avis ?

Slts

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAPeT9jjJ1RC9j3Nm9c1Q4mkAhfQaVU8-nmxcCggiinc0TWncxQ@mail.gmail.com

10 réponses

1 2
Avatar
Jean-Yves F. Barbier
On Tue, 31 Jan 2012 14:27:44 +0100
Olivier wrote:

1. Via un ISP (type OVH, 1and1, ...), j'enregistre les domaines
mondomaine.fr et foobar.mondomaine.fr.



foobar n'est pas un domaine, mais un s/s domaine du domain
mondomain.fr

Est-il possible à un tiers de découvrir l'existence de
foobar.mondomaine.fr à partir de la seule connaissance de
mondomaine.fr ? Si oui, est-il possible de contrôler ou limiter cette
possibilité ?



Techniquement, ça se passe dans le svr HTTP (qui apparie le nom
de s/s domain avec un directory).
Donc j'aurais tendance à dire non; mais il-y-a des gens bcp plus
branchés web ici qui t'en diront sûrement plus.

2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu' une
adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?



C'est ce que je fais pour les maintenances à distances de certaines
personnes que j'ai poussées à migrer s/s Linux; c'est non seuleme nt
très confortable (ssh -p nnnn monpote45.is-a-geek.org), et ça à ©vite
aussi d'avoir à écrire un cron qui tape un svr STUN et te renvoie un
e-mail lors d'un chgt d'adresse IP.

Le VPN est construit avec OpenVPN qui permet de fournir plusieurs
adresses de serveur aux clients, ce qui laisse la possibilité d'un
secours mais j'imagine qu'il est plus difficile de contrôler cette
possibilité avec des adresses en dur plutôt que des noms de dom aine.
Votre avis ?



http://openvpn.net/index.php/open-source/documentation/miscellaneous/78-sta tic-key-mini-howto.html
semble dire que c'est possible; il fut un temps où il n'acceptait
que les adresses IP, mais je pense que depuis, suffisamment de gens
ont gueulé pour que ça change.

--
What use is magic if it can't save a unicorn?
-- Peter S. Beagle, "The Last Unicorn"

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Pierre-Arnaud
Le 31/01/2012 14:55, Jean-Yves F. Barbier a écrit :
On Tue, 31 Jan 2012 14:27:44 +0100
Olivier wrote:
[...]
Est-il possible à un tiers de découvrir l'existence de
foobar.mondomaine.fr à partir de la seule connaissance de
mondomaine.fr ? Si oui, est-il possible de contrôler ou limiter cette
possibilité ?



Techniquement, ça se passe dans le svr HTTP (qui apparie le nom
de s/s domain avec un directory).
Donc j'aurais tendance à dire non; mais il-y-a des gens bcp plus
branchés web ici qui t'en diront sûrement plus.



C'est plus une question dns que web, il me semble.

Pour que l'on puisse connaître les noms d'hôtes définis sur la zone
mondomaine.fr, il faut que le serveur dns *faisant autorité* autorise
les transferts de zones (faire une recherche sur AXFR) pour mondomaine.fr.

Autoriser les transferts de zones sert dans le cadre d'une infra dns
avec des serveurs esclaves récupérant les données à partir d'un serveur
maître. Il me semble que l'AXFR est généralement restreint par IP.

Dans ton cas, il est probable qu'on ne puisse pas récupérer la zone dns
de n'importe où par défaut. Comment le vérifier? Avec la commande dig
mondomaine.fr. @dns_faisant_autorite axfr

Si les transferts sont autorisés, le contenu complet de la zone
mondomaine.fr va s'afficher. Sinon, dig va répondre "Transfer failed".

J'insiste lourdement: après l'arobase, il faut spécifier le nom (ou
l'IP) d'un serveur dns *faisant autorité* pour la zone mondomaine.fr.
Inutile de demander à 8.8.8.8 ou au dns de son fai, le résultat
(forcément transfer failed) serait trompeur. Pour connaître les dns
faisant autorité sur la zone, utiliser dig -t NS mondomaine.fr., et
regarder les noms à la fin des lignes NS.

Et comme tout ceci est bien maladroitement expliqué, un exemple pour la
route:

zoidberg:~# dig -t NS debian.org.
[...]
debian.org. 28800 IN NS ns4.debian.com.
debian.org. 28800 IN NS ns2.debian.org.
debian.org. 28800 IN NS ns3.debian.org.
debian.org. 28800 IN NS ns1.debian.org.

=> donne les 4 serveurs faisant autorité pour la zone debian.org.

zoidberg:~# dig debian.org. @ns4.debian.com. axfr
[...]
; Transfer failed.

=> je ne peux pas connaître le détail de la zone debian.org.

Pour s'initier au dns, je conseille souvent les pages de Zytrax:
http://www.zytrax.com/books/dns/
Si quelqu'un connaît un équivalent d'aussi bonne facture en français, ça
m'intéresse.

2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu'une
adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?



C'est ce que je fais pour les maintenances à distances de certaines
personnes que j'ai poussées à migrer s/s Linux; c'est non seulement
très confortable (ssh -p nnnn monpote45.is-a-geek.org), et ça évite
aussi d'avoir à écrire un cron qui tape un svr STUN et te renvoie un
e-mail lors d'un chgt d'adresse IP.



+1

Le VPN est construit avec OpenVPN qui permet de fournir plusieurs
adresses de serveur aux clients, ce qui laisse la possibilité d'un
secours mais j'imagine qu'il est plus difficile de contrôler cette
possibilité avec des adresses en dur plutôt que des noms de domaine.
Votre avis ?



http://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html
semble dire que c'est possible; il fut un temps où il n'acceptait
que les adresses IP, mais je pense que depuis, suffisamment de gens
ont gueulé pour que ça change.



Houla! Doit remonter à loin, ton souvenir, là, quand même ;-)
Oui, on peut bien utiliser des fqdn plutôt que des ip dans la conf
d'openvpn.

P.-A.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Tue, 31 Jan 2012 15:46:44 +0100
Pierre-Arnaud wrote:


Houla! Doit remonter à loin, ton souvenir, là, quand même ;-)



Tu parles, je lançais la VOD (Voice Over Desert) du temps de Caïn &
Abel, et le TCP (Tous Contre Pilate) du temps de Jésus, c'est dire
si ça remonte...

--
<wiggy> in a stunning new move I actually tested this upload

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Pierre-Arnaud
Le 31/01/2012 16:11, Jean-Yves F. Barbier a écrit :
On Tue, 31 Jan 2012 15:46:44 +0100
Pierre-Arnaud wrote:


Houla! Doit remonter à loin, ton souvenir, là, quand même ;-)



Tu parles, je lançais la VOD (Voice Over Desert) du temps de Caïn&Abel,



Et déjà à l'époque, la pomme foutait sa zone.

et le TCP (Tous Contre Pilate) du temps de Jésus, c'est dire
si ça remonte...



On notera que le protocole SPQR est tombé en désuétude. Trop
centralisateur, certainement.

Sinon, voici une photo d'époque de Moïse configurant un tunnel openvpn.
On ne voit hélas pas bien s'il utilise une IP ou un fqdn:
http://lescherubins.org/images/mer-rouge-Moise.jpg

P.-A.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Harang Jean-Marc
Le 31/01/2012 15:46, Pierre-Arnaud a écrit :

Pour s'initier au dns, je conseille souvent les pages de Zytrax:
http://www.zytrax.com/books/dns/
Si quelqu'un connaît un équivalent d'aussi bonne facture en français,
ça m'intéresse.



bravo pour ce topo sur les DNS et le pointeur vers la doc.

adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?



C'est ce que je fais pour les maintenances à distances de certaines
personnes que j'ai poussées à migrer s/s Linux; c'est non seulement
très confortable (ssh -p nnnn monpote45.is-a-geek.org), et ça évite
aussi d'avoir à écrire un cron qui tape un svr STUN et te renvoie un
e-mail lors d'un chgt d'adresse IP.



+1




Ça m'intéresse fortement cette méthode, pourriez-vous nous en dire plus
sur le principe de base et l'archi à mettre en place ?

merci,
--
jean-marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Tue, 31 Jan 2012 16:45:05 +0100
Harang Jean-Marc wrote:


Ça m'intéresse fortement cette méthode, pourriez-vous nous en dire plus
sur le principe de base et l'archi à mettre en place ?



C'est bête comme cailloux:
* à ce jour, toutes les boxes ont une rubrique DynDNS
* il suffit d'ouvrir un compte chez eux (un compte par box)
* choisir parmi les noms de domaines dispos
* et créer son propre sous-domaine.

Dans la box, renseigner:
* user
* mot de passe
* sous-domaine
* domaine DynDNS choisi

A chaque chgt d'adresse IP la box renseigne DynDNS, qui lui-même
met à jour ses DNS publics - si par exemple, une MàJ de firmware
fait sauter le setup, ça n'est pas (trop) grave: au bout de 30j
sans nouvelles, DynDNS t'envoie un e-mail pour prévenir et demander
s'il doit fermer ton compte ou non.

Par ex., dans mon cas:
dig @8.8.8.8 hank-hulator.is-a-geek.org
[SNIP]
hank-hulator.is-a-geek.org. 60 IN A 77.193.5.57
(je dig à l'extérieur parce que mon DNS pointe sur l'adresse LAN).

"is-a-geek" ne fait plus partie des domaines gratuits, mais il y en
a des tas d'autres.

--
Everlasting peace will come to the world when the last man has slain
the last but one.
-- Adolph Hitler

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Harang Jean-Marc
Le 31/01/2012 17:56, Jean-Yves F. Barbier a écrit :
On Tue, 31 Jan 2012 16:45:05 +0100
Harang Jean-Marc wrote:

Ça m'intéresse fortement cette méthode, pourriez-vous nous en dire plus
sur le principe de base et l'archi à mettre en place ?


C'est bête comme cailloux:
* à ce jour, toutes les boxes ont une rubrique DynDNS
* il suffit d'ouvrir un compte chez eux (un compte par box)
* choisir parmi les noms de domaines dispos
* et créer son propre sous-domaine.

Dans la box, renseigner:
* user
* mot de passe
* sous-domaine
* domaine DynDNS choisi

A chaque chgt d'adresse IP la box renseigne DynDNS, qui lui-même
met à jour ses DNS publics - si par exemple, une MàJ de firmware
fait sauter le setup, ça n'est pas (trop) grave: au bout de 30j
sans nouvelles, DynDNS t'envoie un e-mail pour prévenir et demander
s'il doit fermer ton compte ou non.

Par ex., dans mon cas:
dig @8.8.8.8 hank-hulator.is-a-geek.org
[SNIP]
hank-hulator.is-a-geek.org. 60 IN A 77.193.5.57
(je dig à l'extérieur parce que mon DNS pointe sur l'adresse LAN).

"is-a-geek" ne fait plus partie des domaines gratuits, mais il y en
a des tas d'autres



Bonsoir

Ouups désolé j'avais mal compris cet histoire de vpn. Pas grave. En
fait, ça fait un bail que je pratique cette méthode. D'ailleurs ça
devient difficile d'ouvrir des comptes DynDNS depuis qu'ils ont fermé
les vannes des comptes gratuits.

Merci quand même, j'espère que quelqu'un aura appris quelque chose sur
la liste ;)

--
jean-marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Olivier
--20cf303f6c6a2628d504b7d6b696
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 31 janvier 2012 15:46, Pierre-Arnaud a
écrit :

Le 31/01/2012 14:55, Jean-Yves F. Barbier a écrit :

On Tue, 31 Jan 2012 14:27:44 +0100
Olivier wrote:
[...]

Est-il possible à un tiers de découvrir l'existence de
foobar.mondomaine.fr à partir de la seule connaissance de
mondomaine.fr ? Si oui, est-il possible de contrôler ou limiter cette
possibilité ?




Techniquement, ça se passe dans le svr HTTP (qui apparie le nom
de s/s domain avec un directory).
Donc j'aurais tendance à dire non; mais il-y-a des gens bcp plus
branchés web ici qui t'en diront sûrement plus.




C'est plus une question dns que web, il me semble.

Pour que l'on puisse connaître les noms d'hôtes définis sur la zone
mondomaine.fr, il faut que le serveur dns *faisant autorité* autorise l es
transferts de zones (faire une recherche sur AXFR) pour mondomaine.fr.

Autoriser les transferts de zones sert dans le cadre d'une infra dns avec
des serveurs esclaves récupérant les données à partir d'un serveu r maître.
Il me semble que l'AXFR est généralement restreint par IP.

Dans ton cas, il est probable qu'on ne puisse pas récupérer la zone d ns de
n'importe où par défaut. Comment le vérifier? Avec la commande dig
mondomaine.fr. @dns_faisant_autorite axfr

Si les transferts sont autorisés, le contenu complet de la zone
mondomaine.fr va s'afficher. Sinon, dig va répondre "Transfer failed".

J'insiste lourdement: après l'arobase, il faut spécifier le nom (ou l 'IP)
d'un serveur dns *faisant autorité* pour la zone mondomaine.fr. Inutile
de demander à 8.8.8.8 ou au dns de son fai, le résultat (forcément transfer
failed) serait trompeur. Pour connaître les dns faisant autorité sur la
zone, utiliser dig -t NS mondomaine.fr., et regarder les noms à la fin
des lignes NS.

Et comme tout ceci est bien maladroitement expliqué, un exemple pour la
route:

zoidberg:~# dig -t NS debian.org.
[...]
debian.org. 28800 IN NS ns4.debian.com.
debian.org. 28800 IN NS ns2.debian.org.
debian.org. 28800 IN NS ns3.debian.org.
debian.org. 28800 IN NS ns1.debian.org.

=> donne les 4 serveurs faisant autorité pour la zone debian.org.

zoidberg:~# dig debian.org. @ns4.debian.com. axfr
[...]
; Transfer failed.

=> je ne peux pas connaître le détail de la zone debian.org.

Pour s'initier au dns, je conseille souvent les pages de Zytrax:
http://www.zytrax.com/books/**dns/ <http://www.zytrax.com/books/dns/>
Si quelqu'un connaît un équivalent d'aussi bonne facture en françai s, ça
m'intéresse.


2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu'une
adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?




C'est ce que je fais pour les maintenances à distances de certaines
personnes que j'ai poussées à migrer s/s Linux; c'est non seulement
très confortable (ssh -p nnnn monpote45.is-a-geek.org), et ça évit e
aussi d'avoir à écrire un cron qui tape un svr STUN et te renvoie un
e-mail lors d'un chgt d'adresse IP.




+1


Le VPN est construit avec OpenVPN qui permet de fournir plusieurs
adresses de serveur aux clients, ce qui laisse la possibilité d'un
secours mais j'imagine qu'il est plus difficile de contrôler cette
possibilité avec des adresses en dur plutôt que des noms de domaine .
Votre avis ?




http://openvpn.net/index.php/**open-source/documentation/**
miscellaneous/78-static-key-**mini-howto.html<http://openvpn.net/index.p hp/open-source/documentation/miscellaneous/78-static-key-mini-howto.html>
semble dire que c'est possible; il fut un temps où il n'acceptait
que les adresses IP, mais je pense que depuis, suffisamment de gens
ont gueulé pour que ça change.




Houla! Doit remonter à loin, ton souvenir, là, quand même ;-)
Oui, on peut bien utiliser des fqdn plutôt que des ip dans la conf
d'openvpn.

P.-A.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchL ists>

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org<debian-user-french-REQ
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**<http://l ists.debian.org/





Merci beaucoup pour cette longue et très précieuse réponse !
Génial !

--20cf303f6c6a2628d504b7d6b696
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<br><br><div class="gmail_quote">Le 31 janvier 2012 15:46, Pierre-Arnaud <span dir="ltr">&lt;<a href="mailto:">de </a>&gt;</span> a écrit :<br><blockquote cla ss="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;pa dding-left:1ex">
Le 31/01/2012 14:55, Jean-Yves F. Barbier a écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><div class="im">
On Tue, 31 Jan 2012 14:27:44 +0100<br>
Olivier&lt;<a href="mailto:" target="_blank">oza_4h07@ yahoo.fr</a>&gt;  wrote:<br></div>
[...]<div class="im"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
Est-il possible à un tiers de découvrir l&#39;existence de<br>
<a href="http://foobar.mondomaine.fr" target="_blank">foobar.mondomaine .fr</a> à partir de la seule connaissance de<br>
<a href="http://mondomaine.fr" target="_blank">mondomaine.fr</a> ? Si o ui, est-il possible de contrôler ou limiter cette<br>
possibilité ?<br>
</blockquote>
<br>
Techniquement, ça se passe dans le svr HTTP (qui apparie le nom<br>
de s/s domain avec un directory).<br>
Donc j&#39;aurais tendance à dire non; mais il-y-a des gens bcp plus<br>
branchés web ici qui t&#39;en diront sûrement plus.<br>
</div></blockquote>
<br>
C&#39;est plus une question dns que web, il me semble.<br>
<br>
Pour que l&#39;on puisse connaître les noms d&#39;hôtes définis sur l a zone <a href="http://mondomaine.fr" target="_blank">mondomaine.fr</a> , il faut que le serveur dns *faisant autorité* autorise les transferts d e zones (faire une recherche sur AXFR) pour <a href="http://mondomaine.fr " target="_blank">mondomaine.fr</a>.<br>

<br>
Autoriser les transferts de zones sert dans le cadre d&#39;une infra dns av ec des serveurs esclaves récupérant les données à partir d&#39;un s erveur maître. Il me semble que l&#39;AXFR est généralement restreint par IP.<br>

<br>
Dans ton cas, il est probable qu&#39;on ne puisse pas récupérer la zone dns de n&#39;importe où par défaut. Comment le vérifier? Avec la com mande dig <a href="http://mondomaine.fr" target="_blank">mondomaine.fr< /a>. @dns_faisant_autorite axfr<br>

<br>
Si les transferts sont autorisés, le contenu complet de la zone <a href ="http://mondomaine.fr" target="_blank">mondomaine.fr</a> va s&#39;affi cher. Sinon, dig va répondre &quot;Transfer failed&quot;.<br>
<br>
J&#39;insiste lourdement: après l&#39;arobase, il faut spécifier le nom (ou l&#39;IP) d&#39;un serveur dns *faisant autorité* pour la zone <a hr ef="http://mondomaine.fr" target="_blank">mondomaine.fr</a>. Inutile de demander à 8.8.8.8 ou au dns de son fai, le résultat (forcément tran sfer failed) serait trompeur. Pour connaître les dns faisant autorité s ur la zone, utiliser dig -t NS <a href="http://mondomaine.fr" target="_ blank">mondomaine.fr</a>., et regarder les noms à la fin des lignes NS.<b r>

<br>
Et comme tout ceci est bien maladroitement expliqué, un exemple pour la r oute:<br>
<br>
zoidberg:~# dig -t NS <a href="http://debian.org" target="_blank">debia n.org</a>.<br>
[...]<br>
<a href="http://debian.org" target="_blank">debian.org</a>.             28800   IN      NS      <a href="http://ns4.de bian.com" target="_blank">ns4.debian.com</a>.<br>
<a href="http://debian.org" target="_blank">debian.org</a>.             28800   IN      NS      <a href="http://ns2.de bian.org" target="_blank">ns2.debian.org</a>.<br>
<a href="http://debian.org" target="_blank">debian.org</a>.             28800   IN      NS      <a href="http://ns3.de bian.org" target="_blank">ns3.debian.org</a>.<br>
<a href="http://debian.org" target="_blank">debian.org</a>.             28800   IN      NS      <a href="http://ns1.de bian.org" target="_blank">ns1.debian.org</a>.<br>
<br>
=&gt; donne les 4 serveurs faisant autorité pour la zone <a href="htt p://debian.org" target="_blank">debian.org</a>.<br>
<br>
zoidberg:~# dig <a href="http://debian.org" target="_blank">debian.org< /a>. @<a href="http://ns4.debian.com" target="_blank">ns4.debian.com</a >. axfr<br>
[...]<br>
; Transfer failed.<br>
<br>
=&gt; je ne peux pas connaître le détail de la zone <a href="http:/ /debian.org" target="_blank">debian.org</a>.<br>
<br>
Pour s&#39;initier au dns, je conseille souvent les pages de Zytrax: <a hre f="http://www.zytrax.com/books/dns/" target="_blank">http://www.zytrax. com/books/<u></u>dns/</a><br>
Si quelqu&#39;un connaît un équivalent d&#39;aussi bonne facture en fra nçais, ça m&#39;intéresse.<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="m argin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
2. Que penser de l&#39;idée d&#39;utiliser un nom de domaine plutôt qu& #39;une<br>
adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le<br>
trafic vers un serveur VPN de secours) ?<br>
</blockquote>
<br>
C&#39;est ce que je fais pour les maintenances à distances de certaines<b r>
personnes que j&#39;ai poussées à migrer s/s Linux; c&#39;est non seule ment<br>
très confortable (ssh -p nnnn <a href="http://monpote45.is-a-geek.org" target="_blank">monpote45.is-a-geek.org</a>), et ça évite<br>
aussi d&#39;avoir à écrire un cron qui tape un svr STUN et te renvoie u n<br>
e-mail lors d&#39;un chgt d&#39;adresse IP.<br>
</blockquote>
<br></div>
+1<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="m argin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Le VPN est construit avec OpenVPN qui permet de fournir plusieurs<br>
adresses de serveur aux clients, ce qui laisse la possibilité d&#39;un<br >
secours mais j&#39;imagine qu&#39;il est plus difficile de contrôler cett e<br>
possibilité avec des adresses en dur plutôt que des noms de domaine.<br >
Votre avis ?<br>
</blockquote>
<br>
<a href="http://openvpn.net/index.php/open-source/documentation/miscellan eous/78-static-key-mini-howto.html" target="_blank">http://openvpn.net/in dex.php/<u></u>open-source/documentation/<u></u>miscellaneous/78-static-key -<u></u>mini-howto.html</a><br>

semble dire que c&#39;est possible; il fut un temps où il n&#39;acceptait <br>
que les adresses IP, mais je pense que depuis, suffisamment de gens<br>
ont gueulé pour que ça change.<br>
</blockquote>
<br></div>
Houla! Doit remonter à loin, ton souvenir, là, quand même ;-)<br>
Oui, on peut bien utiliser des fqdn plutôt que des ip dans la conf d&#39; openvpn.<br>
<br>
P.-A.<div class="im"><br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/<u></u>FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:" target ="_blank">debian-user-french-REQUEST@<u></u>lists.debian.org</a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org" target="_blank"></a><br></div>
Archive: <a href="http://lists.debian.org/" target="_blank">http://lists.debian.org/<u></u> org</a><br>
<br>
</blockquote></div><br><br>Merci beaucoup pour cette longue et très pré cieuse réponse !<br>Génial !<br>

--20cf303f6c6a2628d504b7d6b696--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAPeT9jhx_mGMLCR4jOtkeozj0cf2Um6+
Avatar
Yves Rutschle
On Tue, Jan 31, 2012 at 05:56:05PM +0100, Jean-Yves F. Barbier wrote:
C'est bête comme cailloux:
[...] A chaque chgt d'adresse IP la box renseigne DynDNS



J'avais compris que l'OP se demandait s'il pouvait faire du
VirtualHost: plusieurs noms de domaines hébergés sur la même
IP qui arrivent sur des serveurs différents.

Mais en fait la question d'origine n'est pas claire :)

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Tue, 31 Jan 2012 18:37:37 +0100
Yves Rutschle wrote:


J'avais compris que l'OP se demandait s'il pouvait faire du
VirtualHost: plusieurs noms de domaines hébergés sur la mê me
IP qui arrivent sur des serveurs différents.



Non, les sous-domaines chez DynDNS, c'est payant; remarque que
c'est une bonne question avec la fibre qui commence à se génà ©raliser
en ville - par contre, je n'ai aucune idée de ce qui pourrait se
passer avec une connexion SSL lors d'un changement d'adresse IP
(est-ce que le cookie suffirait à la maintenir, ou bien est-ce
qu'il-y-aurait un reset de la connexion?)

--
Do not pick the flowers.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2