Reprise du message précédent :
fais ce que je dis, ping ton nom de domaine et dis nous quelle ip est retournée stp

Je viens de faire le test, ça retourne mon Ip Wan.

Ben ce n'est pas ok dans ce cas ... En local le serveur DNS devrait te retourner l'ip de ton serveur comprenant le nom de domaine

voilà c'est la que je voulais en venir, ton DNS local dans pihole doit courcircuiter le faite que quand tu ping ton nom de domaine ça réponde avec l'ip wan.
c'est l'ip LAN qui doit être renvoyée, donc à voir si ton pc passe bien par le pihole et si oui si le pihole est bien configuré

Euh, bah non en fait, si sa requête arrive bien au reverse proxy parceque son routeur fait du NAT hairpin, on s'en fout ?

Oui, c'est le Nat reflection qui doit me retourner l'ip wan.
Je retesterai en supprimant les dns locaux dans pihole, voir si ils sont utiles.
Je referai aussi un ping avec les dns locaux et sans le Nat reflection pour voir.
J'essayerai de faire ça dans l'aprem quand j'aurai 5 min.

Euh, non, c'est pas le nat sur le routeur qui change ce que te renvois ton serveur DNS local par contre

En fait j'avais mis que les sous domaines dans pihole (ex emby.mondomaine.fr), pas le domaine (mondomaine.fr).
Donc c'était normal que le ping me retourne mon ip wan.
Si je mets mon domaine, j'ai bien l'ip lan du serveur directement.
 
J'ai fait les tests, effectivement si je vire le nat reflection, maintenant ça marche. Je pense que j'avais pas vidé le cache de windows, et que du coup ça devait faire bugger le pc.
 
Pour résumer, j'ai laissé les dns locaux dans pihole, j'ai viré le nat reflection dans opnsense et tout marche !
J'ai bien l'ip lan du serveur si je ping mon domaine en lan, et le wan fonctionne.
Je suis content d'avoir trouvé la solution (juste un problème de cache dns finalement ), merci à vous.

mouai, si tu ping tondomain.tld en local t'es censé avoir l'iP WAN qui répond, sauf que c'es ton routeur qui se démerde avec le loopback

Par défaut sans rien ça ne fonctionnait pas.
Mais c'était peut être le cache aussi comme le domaine pointait sur mon dédié avant.

non, pas si tes dns locaux renvoient vers l'ip lan

le nat c'est la honte

 
Oui justement t'es pas censé faire ça    

Perso, tant que les performances du routeur le permettent, je suis adepte du NAT hairpin/loopback/.... Le split DNS peut devenir vite merdique à gérer je trouve.

Pourquoi donc ?
C'est quand même plus propre

+1
 
Parfois tes services ne sont pas accessibles via le même port en local vs. depuis l'extérieur (Synology et son reverse proxy sur le port 5001, par exemple).

Pourquoi ?

bah pourquoi se faire chier à faire de la double saisie d'adresse si c'est censé marcher tout seul

Parceque tu peux avoir des besoins différents ?
Je vois rien qui justifie de ne pas avoir à faire ça. Que tu puisse ne pas en avoir besoin, pourquoi pas, que tu ne soit pas obligé aussi, mais y'a rien qui dise que t'es pas censé le faire

less is best / keep it simple

De mon côté je vais laisser les dns locaux, comme je les ai déjà rentrés, et que ça marche.

Alors comme ça on utilise des DNS menteurs

 
Euh donner une ip local ce n’est pas mentir.
L’avantage c’est que ça fonctionne hors ligne, pratique en cas de coupure

Et ça évite de devoir faire tout transiter par le routeur.

Et puis ça permet d'utiliser en interne des sous domaines que t'utilises pas en externes. Par exemple pour les services internes.

tout à fait, j'ai pas envie/besoin que tous mes services internes soient ouverts vers l'extérieur

Ouai mais du coup en interne c'est pas plus simple de taper genre http://PlexSrv qui sera resolu avec le suffix dns local, plutôt que http://PlexSrv.mondomaineexterne.tld ?

Je chipote, j'imagine qu'on a chacun d'autres usages

Bof relou sur un portable ou un laptop

Ah bah j'espère bien !

Perso j’ai des noms spécifiques pour le lan avec des petites bizarreries.lan pour le local

Mon soucis était surtout pour nextcloud et la synchro auto des photos depuis les téléphone, il fallait que ça marche en 4g et en WiFi, donc avec la même adresse.

Et il faut avoir un routeur compatible nat / hairpin ce qui n'est pas forcément le cas surtout à la maison et sur un topic des serveurs à la maison ...

 
Certains services ne fonctionnent pas comme ça et il faut un seul nom de domaine ou sous domaine donc si t'as pas de serveur DNS local, ça marche en externe mais pas en interne.  
Je penses à des services type cloud genre onlyoffice + nextcloud mais également d'autres contrôlés dans des app Django ou si tu mets l'IP à la place du ndd, tu n'as pas accès à la plateforme ou certains médias faisant partie de l'interface

Yep je vois bien j'ai un nextcloud en local, une pauvre Livebox comme routeur et ça marche tout seul sur le lan

Ah bah tu fais bien d'en parler, j'ai installé nextcloud hier, que ce soit en local ou en externe j'ai le même souci, pas moyen de m'authentifier autrement que sur le web. En gros les apps Android, iOS, et les applis tierces comme webdavx5 ou un truc comme ça, niet, et je trouve pas d'erreur dans le log, ça mouline sans fin après avoir rentré le mdp. Il est sur docker derrière traefik. Je ne sais pas où chercher... Vu que ça fonctionne depuis le pc.

Si la livebox supporte le nat hairpin oui mais c'est pas le cas de tous les routeurs fournis par les FAI ... loin de là  
 

 
Le but est d'éviter les attaques XSS et X-Frame, de plus en plus de plateformes ou app incluent ce genre de protection ... Et le genre de connexion type oauth2 ou autre ne changera pas la donne AMHA.
Ici je ne penses pas que ce soit le problème, nextcloud ne pose pas trop de soucis, ça vient plus de la conf nginx / apache2. As tu activé le debug pour traefik, les logs en debug également pour le container nginx,  pour tracker le problème ?  
 
J'avais ça dans une note :  
 
    https://my.domain.tld/  NOT works, calls my.domain.tld/owncloud
    https://my.domain.tld/nextcloud NOT works, calls a my.domain.tld/nextcloud/owncloud
    https://my.domain.tld/nextcloud/  WORKS
 
l'app android cherche status.php

J'ai traefik et sophos, mais ce dernier n'intervient pas en local. Quoi que, je vais peut-être revoir ma config DNS pour être sûr qu'en local je ne passe pas par l'extérieur.

Car c'est bien l'authentification initiale qui pose problème, si j'utilise l'authentification par QR code ça fonctionne, et ensuite je peux utiliser l'application.

Je suis en train de faire un peu de rangement tri dans mon homelab, et je me rend compte que même si j'ai déjà pas mal d'équipements actifs, j'ai aussi du stock Là ce sont que des trucs non utilisés :
 

 

 
Je crois qu'en terme de SFP+, j'ai de quoi voir venir (j'ai fait un gros changement de fibre+transceivers vers DACs, dans un lab c'est plus simple à gérer)

C'est pas du perso  

 
Bah si les SFPs me servent pour mon chez moi (une douzaine à l'heure actuelle ) Puisque mon chez moi est fibré (à l'arrach) entre mes PCs et mes serveurs (XCP-ng avec FreeNAS, PiHole etc)