Utiliser un nom de domaine dynamique (DDNS) via No-IP sous pfSense 2.6 - Pare-feu - Tutoriels

Si vous souhaitez accéder à l'interface d'administration de pfSense, à des services hébergés chez vous ou dans votre entreprise depuis Internet, vous pouvez faire pointer un nom de domaine (ou un sous-domaine) vers l'adresse IP WAN (externe) de votre entreprise.
Néanmoins, dans le cas où votre FAI (fournisseur d'accès à Internet) vous fournit un accès Internet avec une adresse IP dynamique (ce qui est le cas par défaut), alors vous devrez utiliser un nom de domaine dynamique (DDNS).

Fonctionnement du DDNS (DNS dynamique)
Créer un compte sur No-IP
Configurer un client DDNS

1. Fonctionnement du DDNS (DNS dynamique)

Pour que le nom de domaine souhaité pointe toujours sur l'adresse IP WAN (externe) de votre entreprise, vous devrez utiliser un service de DDNS (DNS dynamique).
Grâce à ce type de service, vous créerez un nom de domaine qui pourra être mis à jour fréquemment (via un outil officiel du fournisseur ou via des scripts / plugins pré-installés) pour que celui-ci pointe toujours sur l'adresse IP WAN actuelle de votre société.

Si vous vous y connaissez en configuration DNS, vous savez qu'une valeur TTL (Time to Live) est définie sur chaque zone DNS, voire sur chaque enregistrement DNS.
Cette valeur indique tout simplement le temps maximum pendant lequel les serveurs DNS tiers peuvent conserver l'information.
Chez No-IP, ce TTL est de 60 secondes alors que les autres serveurs DNS fournissant des noms de domaines standard utilisent un TTL beaucoup plus élevé (d'après No-IP : 60 minutes).
Ce délai très court permet de récupérer dans 99% des cas la bonne adresse IP. Au pire, votre nom de domaine pointera sur une mauvaise IP pendant maximum 60 secondes.

Note : la plupart du temps, les sites web sont hébergés sur des serveurs avec des adresses IP fixes. Dans ce cas, utiliser un TTL beaucoup plus élevé permet de ne pas surcharger la bande passante du serveur DNS faisant autorité pour le domaine et d'accélérer les requêtes DNS pour les utilisateurs. Les utilisateurs pourront donc contacter le serveur DNS du FAI (qui est physiquement plus proche de chez eux) pour obtenir l'adresse IP correspondant à un domaine.

Pour connaitre votre adresse IP, allez par exemple sur le site "mon-ip.com".
Comme vous pouvez le voir, dans notre cas, le nom d'hôte associé (défini par notre FAI) indique clairement que nous possédons une adresse IP dynamique.

Note : si vous retournez voir cette page dans plusieurs jours, voire plusieurs semaines (en fonction du FAI), vous pourrez remarquer que votre adresse IP aura changé.
D'où l'intérêt des services DDNS pour les particuliers ou pour les entreprises qui possèderait une adresse IP dynamique.
Notez que l'utilisation d'une adresse IP statique est possible, mais payante chez votre FAI.

2. Créer un compte sur No-IP

Parmi les fournisseurs de noms de domaines DDNS, il existe "No-IP" qui existe depuis longtemps et qui fournit toujours des noms de domaines DDNS gratuitement.
Pour cela, inscrivez-vous simplement avec une adresse e-mail et un mot de passe.
Ensuite, indiquez le nom d'hôte que vous souhaitez créer.

Important : comme indiqué à droite du formulaire, pour créer un compte No-IP gratuit, vous devez sélectionner le nom de domaine "ddns.net" dans la liste.

Comme vous pouvez le voir, en membre gratuit, vous ne pouvez choisir qu'un domaine de No-IP (donc : ddns.net) et vous ne pouvez créer qu'un domaine DDNS.

En bas de la page, cliquez sur : Free Sign Up.

Une fois inscrit, vous trouverez votre domaine DDNS dans la section : Dynamic DNS -> No-IP Hostnames.
Notez que dans notre cas, nous sommes inscrits chez No-IP depuis très longtemps. D'où le fait que nous ayons un nom de domaine en ".no-ip.org" (même si vous ne pouvez plus le choisir à l'heure actuelle).

Avant de pouvoir configurer le client DDNS de pfSense, assurez-vous de configurer un nom d'utilisateur pour votre compte No-IP dans "Account -> Account info", car vous en aurez besoin un peu plus tard.

3. Configurer un client DDNS

Pour configurer un client DDNS sous pfSense, allez dans : Services -> Dynamic DNS.

Comme vous pouvez le voir, vous pouvez créer des clients DNS dynamiques, ainsi que des clients RFC 2136.

la section "Dynamic DNS Clients" concerne les fournisseurs de DDNS (tel que "No-IP", par exemple).
la section "RFC 2136 Clients" concerne la mise à jour d'un domaine dynamique que vous créeriez sur un serveur DNS "BIND" (sous Linux) ou un serveur DNS sous Windows Server.

Dans notre cas, allez dans la section "Dynamic DNS Clients" et cliquez sur "Add".

Sources :

Sur la page qui apparait avec une section "Dynamic DNS Client", vous pourrez configurer les paramètres suivants pour chaque client DNS dynamique :

Disable : permet de désactiver ce client DNS dynamique.
Par défaut, celui-ci est activé.
Service Type : permet de sélectionner un fournisseur de DDNS supporté (tels que : No-IP, Cloudflare, ...)
Interface to monitor : l'interface à surveiller pour obtenir votre adresse IP WAN (fournie dynamiquement par votre FAI).
Si une adresse IP privée (locale) est assignée à votre interface WAN, alors pfSense contactera un service distant pour obtenir votre adresse IP WAN réelle et il l'assignera à votre nom de domaine DDNS.
Hostname : le nom de domaine DDNS à mettre à jour régulièrement avec votre adresse IP WAN (fournie dynamiquement par votre FAI).
Ex : mon-domaine.fournisseur-ddns.com.
MX : facultatif, car utile uniquement pour les serveurs de messageries et ceci n'est probablement pas supporté pour les membres gratuits chez les fournisseurs DDNS.
Wildcards : permet de résoudre tous les sous-domaines du domaine spécifié avec la même adresse IP que le nom de domaine DDNS indiqué dans la case "Hostname". Pour cela, cochez la case "Enable Wildcard".
Ex : *.mon-domaine.fournisseur-ddns.com (a.mon-domaine.fournisseur-ddns.com, b.mon-domaine.fournisseur-ddns.com, ...) seront résolus vers la même adresse IP du domaine DDNS spécifié.
Verbose logging : cochez la case "Enable verbose logging" pour activer l'enregistrement d'informations détaillées pour ce client DDNS dans les journaux de pfSense.
Ce qui peut être utile en cas de problème avec votre client DDNS.
Username : le nom d'utilisateur de votre compte pour le service DDNS souhaité.
Password : son mot de passe.
Description : une description purement indicative qui apparaitra seulement sous pfSense.

Dans notre cas, nous avons créé un nom de domaine DDNS "informatiweb.no-ip.org" chez No-IP avec un compte gratuit (comme vous l'avez vu précédemment).
Dans ce cas, configurez les paramètres de votre client DDNS comme ceci :

Service Type : No-IP (free).
Interface to monitor : WAN.
Hostname : votre nom de domaine DDNS créé chez No-IP.
Dans notre cas : informatiweb.no-ip.org.
Username : votre nom d'utilisateur chez No-IP.
Dans notre cas : informatiweb.
Password : votre mot de passe.

Ensuite, cliquez sur Save et patientez un peu. Cela peut prendre jusqu'à 1 minute d'après notre test.

Une fois le client DDNS créé, vous le verrez apparaitre dans la liste "Dynamic DNS Clients" et votre adresse IP WAN apparaitra dans la colonne "Cached IP".

Pour vérifier que le nom de domaine DDNS a bien été mis à jour avec votre adresse IP WAN, utilisez la commande "nslookup" de Windows en spécifiant votre nom de domaine DDNS en paramètre :

Batch

nslookup informatiweb.no-ip.org

Dans votre compte No-IP, allez dans "Dynamic DNS -> No-IP Hostnames" et vous verrez votre adresse IP WAN apparaitre dans la colonne "IP / Target".

Notez que lorsqu'une adresse IP privée est assignée à l'interface WAN de pfSense, pfSense est obligé d'utiliser un service externe pour connaitre votre adresse IP WAN.
Pour savoir quel service externe est utilisé (et adapter la configuration de votre pare-feu si besoin), allez dans l'onglet "Check IP Services".
Comme vous pouvez le voir, par défaut, pfSense utilise le site "checkip.dyndns.org".

L'avantage étant que ce site n'affiche que votre adresse IP WAN. Ce qui facilite sa récupération via un script et ce qui évite de télécharger une page trop lourde à chaque vérification.