Reprise du message précédent :

 
Salut,
 
Bon finalement j'ai laissé tombé pour le moment, je n'arrive pas à bloquer la pub de façon efficace, le but de cette installation était à terme de me passer d'adblockers et d'avoir la paix sur mes devices mobiles... Hors ce n'est pas le cas .
 
J'ai aussi rencontré des petits soucis de perfs avec mon serveur DNS, pas au niveau de la machine mais de ma connexion (j'ai un très mauvais uplad).
 
Bref, pour dire qu'actuellement je tourne avec les DNS d'OPENNIC, j'en suis très content et j'utilise une solution type Adblock sur mes navigateurs.
 
Après, je voulais essayer, ça marche, par contre, l'avantage d'avoir son serveur DNS chez soi par rapport à une solution type Opennic c'est quoi franchement ?

J'pense qu'à terme j'aimerais avoir une sorte de petit PC qui serve de console/rebond SSH/serial (ainsi que de routeur 3G de secours, iPXE, trucs du genre).
Vous avez des références à conseiller ?
A priori pour taper sur le serial les ports USB suffiront
 
XaT

 
objectif premier, résoudre ses hosts/vms/containers/devices de la maison
deuxiemement, avoir un cache dns pour gagner quelques millisecondes quand on a un adsl de merde
puis en bonus éviter 8.8.8.

 
Juste, c'est vrais que pour ça c'est top .
 
Pour ma part, je reste avec ceux d'opennic .

Bonjour,
 
J'ai une problématique qui a certainement été abordée plein de fois sur le topic et sur le web en général, mais impossible de trouver les bons mots pour arriver sur les tutos kivonbien.
 
Quand on fait du @home, par définition on a qu'une IP publique. Soit.  
 
Mais sur place j'ai plusieurs machines qui offrent différents services. Je souhaite donc mettre en place un "routing" interne qui, en fonction du (sous)domaine entrant, on redirige sur telle ou telle machine. Et ça peu importe le port/protocole.
 
 
Pour schématiser :
 
NDD > Extérieur > Intérieur
a.domaine.tld > IP BOX > 192.168.1.10
b.domaine.tld > IP BOX > 192.168.1.11
c.domaine.tld > IP BOX > 192.168.1.12
 
Le fait que cela ne doit pas dépendre du port/protocole est important car typiquement j'ai plusieurs machines pour faire du RDP sur le 3389. Si je fais un banal routing au niveau de la box, ça marche; mais pour une seule machine.
 
Je pensais passer par le "reverse proxy" de mon Synology, mais vu qu'il ne fonctionne qu'en HTTP/HTTPS, ça fail pour le RDP.
 
Comme la box Orange c'est daubé, j'imagine que je ne pourrai rien faire dessus et qu'idéalement il faut que je route tout sur une DMZ qui se chargera de router les requêtes sur les bonnes machines de mon réseau.
 
Comment faire ça ?
 
Merci

@wiripse : proxy inverse regarde du coté de Haproxy
 
il peux suivant le nom dans l'url , envoyé ta requete vers tel ou tel serveur.

Ca me paraît délicat pour un protocole autre que HTTP/HTTPS.
 
Dans la doc de HAproxy il est précisé HTTP/HTTPS pour reverse proxy:
http://cbonte.github.io/haproxy-dc [...] o.html#3.1
 
Il y a aussi ce paragraphe:
a content-based switch : it can consider any element from the request to
    decide what server to pass the request or connection to. Thus it is possible
    to handle multiple protocols over a same port (eg: http, https, ssh).

Merci pour les débuts de réponse    
 
J'ai du coup continué mes recherches et j'ai vu qu'il existait un "Remote Desktop Gateway" qui pourrait permettre de faire le job. Mais du coup la conf devrait se faire sur une (V)machine Windows, donc rediriger le 3389 à la bourrin dessus via la box, et derrière il se démerde.
 
Ça me paraît bizarre qu'il n'y ait rien de simple pour ça    
 
Je me souviens d'articles expliquant qu'historiquement, un sous-domaine existait pour désigner une machine spécifique d'un réseau. Et c'est pile ce que je cherche à faire...

haproxy gere aussi le mode TCP  

Bah oui, mais le NAT et le "une IP publique pour tout un réseau", c'est un truc récent, et une rustine dégueu au fait que les FAI ont la flemme de déployer correctement IPv6.
Pour ce que tu cherches à faire, déjà, il faut que le protocole visé soit compatible (si le paquet transporte pas le hostname destination, tu pourras rien faire), et il faut qu'une appli (un reverse proxy en fait) existe pour ce protocole précis...
Après, si tu fait un nom/un service ET une machine, c'facile, tu fait du NAT par port... Mais du coup, rien à voir avec les hostnames.
 
Sinon, t'a une solution, mais elle vas te coûter cher... Un serveur dédié, avec plusieurs IPs, et un nom/IP, et pis après tu fait un tunnel jusqu'à la maison

Reverse proxy => nginx
Et +1 l0g4n

Sinon aws+ips
J'ai pas trouvé le coût des trucs chez scaleway. A part les vms ofc.

XaT

et une solution de VPN vu que ça n'a l'air de n'être que pour du RDP, en plus ça sécurise un peu le schmilblik !

J'espère bien qu'il VPNise les trucs qui servent pas sur l'extérieur
 
XaT

ben du coup une fois dans son réseau c'est rdp vers l'ip lan de sa machine

En fait faut que ça soit accessible en "environnement restreint". Comprendre sur un ordinateur de COGIP sans droits d'admin et avec des limitations réseau.
 
Mais du coup si j'utilise un RDP comme porte d'entrée, et que depuis cette machine RDP je me connecte aux autres RDP du réseau local, ça passe...    
 
Dans tous les cas l'idée du VPN saybien mais ça répond pas au CDC  

Je comprend rien à ton réseau/cdc
 
XaT

Pour l'instant il n'existe pas
 
Mais dessus il y aura X (v)machines qui feront tourner différents services.  
Ce que je cherchais c'était rendre tous les services de toutes les machines accessibles depuis l'extérieur en se basant sur le NDD pour décider sur laquelle je tape. Visiblement ça va être compliqué pour ce qui est du RDP.
 
Actuellement j'ai une VM qui tourne sur le réseau et qui est accessible depuis l'extérieur grâce à une banale redirection de port. L'idée pour le futur étant d'avoir plusieurs VM RDP, le port forwarding n'était plus valable, je cherchais donc d'autres solutions.

Tu peux toujours foutre le RDP sur un autre port et l'indiquer au client, j'vois pas l'soucis.
 
XaT

et te faire une vm de managment et mettre les consoles dessus?
je fais ça, ma console vmware, veeam, wsus, ad,... se trouvent toutes sur mon managment server, au moins je ne pollue pas mes autres servers avec des profils utilisateurs !
 
Après rien n'empêche de faire du rdp depuis une session rdp, ou d'utiliser les consoles de ton esxi

 
Le soucis c'est que les ports sortants sont limités à la COGIP  

Wut ? Entrants tu veux dire ? Proxy 80/443 autorisé ? 21/22 au pire ? Autre ?
 
Fous toi un VPN
 
XaT

c'est quoi la cogip?!?

Entreprise

 
Quand j'envoie une requête sur une IP externe port 1337 et qu'elle n'arrive pas à destination, j'estime que c'est le port sortant qui est bloqué    
 
Sinon oui 80/443/22/21 sont ouverts, mais j'en ai besoin pour les autres services.
 
Et je me connecte comment à mon VPN sans aucun droit (et certainement un blocage la aussi) ?

Bah tu monte un UTM Sophos, et t'utilise le portail HTML5 qui fait client rdp/ssh/telnet/web, accessible avec un user/pass sur le port 443 (ou 80 mais... ), ou à travers un VPN (monté sur le sophos : ssl, ipsec, ... ).

J'y peut rien si ce machin fait le café
Il lui manque le full open-source pour être vraiment parfait en fait

On ne peut pas décemment faire de la pub pour sophos non
 
End of story
 
XaT

Tin' qui c'est la poukave ?
Pour l'instant on sait pas si c'est interdit. J'ai pris le parti de penser qu'il avait déjà vu ça avec son SI.
 
XaT

Mettre un RDP accessible sur le net c'est quand même bien crado je trouve
 
Une mini VM/container qui écoute en ssh sur un port exotique avec une auth par clé pour faire un tunnel et après tu fais passer ce que tu veux dedans.
 
Sinon même un teamviewer c'est plus élégant en fait, pas besoin de sortir par un port spécifique, pas besoin d'exposer directement tes machines perso sur le net, et ça marche bien

J'considère plus trop TV comme secure
 
XaT

 
   
 
Pourtant j'ai justement expliqué que je voulais passer par les ports ouverts, donc ne rien contourner, d'où mes contraintes...

Si ssh est ouvert, fais un tunnel SSH et t'es le roi du pétrole.

mais plus 1 !!!

Le portail html5 sera accessible sur le port 443 et derrière tu fais du rdp, de l'accès à tes servers web internes, du ssh...

pourquoi pas? en plus leur version home est gratuite !
Je viens de me l'installer sur mon réseau @home, c'est bien foutu !

 
J'utilise déjà un tunnel SSH, mais pour passer par lui je dois le spécifier dans le proxy du logiciel souhaité. Dans Chrome par exemple je dois lui dire de passer par le tunnel.
 
Pour le RDP je fais comment ? Ou alors y'a un truc qui m'échappe    
 

 
Ca parait intéressant votre truc, par contre je ne comprend absolument pas ce que c'est    

une appliance virtuel que tu installes en vm (ou sur une machine physique) et qui fait le routage sur tout ton réseau (dns, dhcp, ...) mais aussi vpn et une page web qui fait portail et derrière laquelle tu peux faire du rdp, du ssh,...
https://community.sophos.com/kb/hu-hu/117470

Je regarde ça, merci  

https://korben.info/guacamole-vnc-r [...] gerer.html
 
Guacamole en Https et tu fait du RDP ssh vnc en html5

Je dis oui    
 
Ça a l'air de répondre exactement au besoin    
 
Bon, plus qu'à ce que Colis Privé et RelaisColis se bougent le cul  

sympa comme produit!