Le blog de Genma
Vous êtes ici : Accueil » Yunohost » Yunohost - Usage depuis le réseau local

Yunohost - Usage depuis le réseau local

D 8 janvier 2018     H 09:00     A Genma     C 6 messages   Logo Tipee

TAGS : Planet Libre Yunohost

Configuration du réseau : mon PC portable et mon serveur Yunohost sont branchés tout deux derrière la Freebox, qui crée un réseau locale entre ces deux machines. La Freebox est configuré en routeur, son IP publique est associée au nom de domaine du serveur Yunohost et la configuration NAT fait que toute entrée depuis l’extérieur (via l’IP publique), sur le bon port, est redirigée vers le serveur Yunohost.

Dans son message sur le forum Yunohost, Koantig a une configuration similaire et s’inquiète de l’usage du nom de domaine quand on est en local

Le hic, c’est que tout ça passe par internet, alors que tout est local. J’aimerais faire en sorte que si je suis sur le réseau local, les requêtes ne passent pas par internet.

Et arrive à la conclusion qu’il faut associer l’IP locale de la machine au nom de domaine dans le fichier /etc/hosts.

Sa solution marche, mais dans le cas où on déplace la machine (cas d’un PC portable par exemple), il faut penser à enlever cette ligne.

Est-ce que ça sort vraiment sur Internet ?

Pour le vérifier, si je fais depuis mon réseau local un "traceroute mondomaine.fr", on voit qu’on s’arrête au premier routeur, qui a pour IP l’IP publique de la Freebox. On ne sort donc pas de la Freebox et d’Internet. Certe la Freebox va refaire du transfert NAT et changer les paquets pour les retransferer à la machine Yunohost, ce qui est une étape de plus contrairement à l’usage directement de l’IP locale (dans ce cas les fonctions de routeur et de NAT de la Freebox ne sont pas sollicités)

Sur le réseau local, derrière ma Freebox, ma Freebox sait que si une machine local demande l’IP publique correspondant à Yunohost, elle doit rediriger le trafic vers mon Yunohost. La Freebox fait une redirection NAT en interne, mais ça "ne sort" pas sur Internet.

Est-ce qu’on perd du temps ?
Si je fais
ping IP locale, j’ai :

64 bytes from IP Locale: icmp_seq=1 ttl=64 time=0.303 ms
64 bytes from IP Locale: icmp_seq=2 ttl=64 time=0.314 ms
64 bytes from IP Locale: icmp_seq=3 ttl=64 time=0.306 ms
64 bytes from IP Locale: icmp_seq=4 ttl=64 time=0.273 ms
64 bytes from IP Locale: icmp_seq=5 ttl=64 time=0.269 ms

Soit 289 ms de moyenne.

Si je fais ping IP publique, j’ai :

64 bytes from IP Publique: icmp_seq=1 ttl=64 time=0.253 ms
64 bytes from IP Publique: icmp_seq=2 ttl=64 time=0.488 ms
64 bytes from IP Publique: icmp_seq=3 ttl=64 time=0.488 ms
64 bytes from IP Publique: icmp_seq=4 ttl=64 time=0.253 ms

Soit 370 ms de moyenne.

C’est effectivement "un peu plus lent" (vu qu’on fait le routage et la redirection NAT avec l’IP publique), mais ce n’est pas suffisament sensible.

6 Messages

  • Hello, comme vu avec toi Genma, il est possible d’utiliser un serveur DNS local.
    Lorsque l’on est chez soi, on utilise son DNS en local dans lequel une entrée correspond à la machine mais est redirigée vers son ip privée, dans ce cas tu évites de passer par toute la pile réseau de ta Freebox. Cela permet ce léger gain de temps dans ce cas, mais surtout plus de praticité puisque par la suite on peut avoir une redirection local de nos propres noms de domaines (ce qui est avantageux pour de l’autohébergement).


  • Comme l’a souligné une personne avant moi, il est possible d’utiliser un résolveur DNS en local qui ment sur l’adresse IP correspondant à ton domaine. Alors bien sûr ça passe moins bien avec DNSSEC...

    Sinon ce n’est qu’une des nombreuses raisons de faire tourner un serveur DNS sur ton réseau local. Perso je fais tourner Pi-hole dans un conteneur LXC pour bloquer les pubs, en plus de rediriger les domaines des services vers leur adresse locale.

    Au-delà de ça, le simple fait de choisir ton résolveur DNS (au lieu d’utiliser par défaut celui de ton FAI) pour toutes les machines sur ton réseau permet de retrouver l’accès à The Pirate Bay par exemple, et j’imagine d’autres sites bloqués - au niveau du DNS - par les autorités.


  • Salut,
    J’utilise aussi un DNS local pour cette raison (ne pas avoir à modifier le /etc/hosts quand mon ordi portable sort ou revient sur le réseau local). L’inconvénient est que le modem-routeur de mon FAI limite la configiration du dhcp et ne permet pas d’y préciser un autre serveur DNS que lui-même. Pour mor ordi portable j’indique le dns dans network-manager, sur mon ordi de poche sous android je le fais avec ’Wifi Settings’ (depuis f-droid). Sinon il faudrait avoir son propre serveur DHCP local.


  • Petite coquille pour tes moyennes :
    "Soit 289 ms de moyenne" >> Soit 0.289 ms de moyenne.

    A propos du DNS "maison", pour ceux qui veulent passer une soirée d’hiver à tester, il y a Unbound qui permet de faire des requêtes directement aux serveurs racines, avec possibilité d’intégrer un fichier de config pour l’antipub... Tuto trouvé par ici en exemple :
    mh8.mooo.com/www/leminos/wiki/unbound-serveur-dns-a-la-maison-requetes-aux-dns-racines


  • @JL, oui tu as raison à propos du DHCP local qui pourrait être une solution pour donner ces infos aux clients du réseau local. J’utilise un petit routeur pas cher d’occaz (ou neuf, selon !) avec un firmware alternatif dedans, très configurable (ex : Tomato, OpenWRT, DD-WRT...).

    Mais il devrait être possible de faire ca avec une machine Yunohost j’imagine ? Il doit bien y avoir un serveur DHCP dispo pré-empaqueté très simple à configurer ?


  • A noter que l’application YunoHost Pi-Hole dispose non seulement d’un serveur DNS, mais aussi si besoin d’un serveur DHCP.
    C’est-à-dire que l’IP des machines de votre réseau peut être gérée par votre propre serveur YunoHost, que donc tout le monde pourra identifier le serveur yunohost localement, et qu’en plus vous aurez des pubs filtrées sur tous vos appareils :)
    Même si votre box FAI ne propose pas de choisir un DNS, vous pouvez donc tout transférer à votre yunohost.
    Par contre je ne sais pas ce que cette solution donne au niveau du triple play...