Aller au contenu principal
Sujet: Mise a jour fichier conf resolveur dns Unbound (Lu 5240 fois) sujet précédent - sujet suivant

Mise a jour fichier conf resolveur dns Unbound

Bonjour a tous

Depuis 1 an je mets a jour le tuto que j'ai fais sur le Wiki d'OpenSuse, concernrant le résolveur dns Unbound.

Pour ceux que ça interesse, j'ai mis a jour le fichier conf aujourd'hui.

La modification du fichier conf :

  • Optimisation requettes, dns, udp, tpc, ttl
  • Sécurité : ddos, dnssec, flood
  • Corrections configurations

Les liens :

👉 Wiki Unbound
  👉 Fichier conf Unbound
[1]
Après test, les requettes dns sont rapide et la  navigation internet et lecture sequence vidéo fluide.

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #1
merci yoman;p

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #2
Super @Yoman. Merci !

J'avais suivi il y a quelques temps le tuto en anglais.
Je profite que tu sois impliqué pour poser quelques questions  O:) :

  • C'est peut-être implicite dans la partie "Télécharger Unbound" mais il serait peut être bon de préciser que la version d'origine de Leap n'est pas compatible avec le fichier de configuration proposé (paramètre  aggressive-nsec pose problème). Du coup, j'ai installé la version du dépôt server:dns
  • Dans le paragraphe "Configuration réseau pour la prise en compte d'unbound", il est expliqué des modifications dans le gestionnaire réseau. Pour ma part, j'ai modifié les adresses des serveurs DNS directement au niveau de la box free. La machine avec unbound d'installé est un serveur toujours tension et avec une adresse locale fixe. J'ai donc mis cette adresse comme serveur DNS IPv4. J'ai aussi mis son adresse IPv6 mais je suis moins sûr de mon coup car j'ai l'impression que les adresses locales IPv6 pourraient ne pas être fixes (Free a des interfaces très différentes pour gérer les configurations IPv4 et IPv6). Bref, si je modifie les adresses DNS au niveau de la box, est-ce nécessaire de faire les modifications proposées au niveau du gestionnaire réseau ?
  • Désactivation Dnsmasq : pour mon installation Leap, le fichier /etc/NetworkManager/NetworkManager.conf  ne contient pas de ligne dns=dnsmasq. Y a-t-il autre chose à faire dans ce cas ?
  • Configuration Unbound : j'ai galéré aux niveaux de la spécification des interfaces, probablement parce que je spécifie les adresses DNS au niveau de la box ? Quoiqu'il en soit, pour passer les tests proposés plus loin j'ai dû mettre les lignes suivantes dans cette ordre :
    interface: 0.0.0.0
    interface: 127.0.0.1
    interface: ::0
    Qu'en penses-tu ?
  • Comme j'ai spécifié les adresses DNS au niveau de la box (tu commences à le savoir  :)) ), je ne veux pas prendre le risque que la famille soit privée d'internet si le serveur Unbound a un souci pendant mon absence. J'ai donc ajouté une deuxième adresse de serveur DNS (pour IPv4 et IPv6) au niveau de la Freebox en utilisant un serveur du projet OpenNIC qui utilise DoH. Est-ce que cela rend inutile l'installation du Unbound ?

Merci pour tes lumières et ton travail !

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #3
  • C'est peut-être implicite dans la partie "Télécharger Unbound" mais il serait peut être bon de préciser que la version d'origine de Leap n'est pas compatible avec le fichier de configuration proposé (paramètre  aggressive-nsec pose problème). Du coup, j'ai installé la version du dépôt server:dns
  • Dans le paragraphe "Configuration réseau pour la prise en compte d'unbound", il est expliqué des modifications dans le gestionnaire réseau. Pour ma part, j'ai modifié les adresses des serveurs DNS directement au niveau de la box free. La machine avec unbound d'installé est un serveur toujours tension et avec une adresse locale fixe. J'ai donc mis cette adresse comme serveur DNS IPv4. J'ai aussi mis son adresse IPv6 mais je suis moins sûr de mon coup car j'ai l'impression que les adresses locales IPv6 pourraient ne pas être fixes (Free a des interfaces très différentes pour gérer les configurations IPv4 et IPv6). Bref, si je modifie les adresses DNS au niveau de la box, est-ce nécessaire de faire les modifications proposées au niveau du gestionnaire réseau ?
  • Désactivation Dnsmasq : pour mon installation Leap, le fichier /etc/NetworkManager/NetworkManager.conf  ne contient pas de ligne dns=dnsmasq. Y a-t-il autre chose à faire dans ce cas ?
  • Configuration Unbound : j'ai galéré aux niveaux de la spécification des interfaces, probablement parce que je spécifie les adresses DNS au niveau de la box ? Quoiqu'il en soit, pour passer les tests proposés plus loin j'ai dû mettre les lignes suivantes dans cette ordre :
    interface: 0.0.0.0
    interface: 127.0.0.1
    interface: ::0
    Qu'en penses-tu ?
  • Comme j'ai spécifié les adresses DNS au niveau de la box (tu commences à le savoir  :)) ), je ne veux pas prendre le risque que la famille soit privée d'internet si le serveur Unbound a un souci pendant mon absence. J'ai donc ajouté une deuxième adresse de serveur DNS (pour IPv4 et IPv6) au niveau de la Freebox en utilisant un serveur du projet OpenNIC qui utilise DoH. Est-ce que cela rend inutile l'installation du Unbound ?

Merci pour tes lumières et ton travail !
 
 1er point :
exact, je vais préciser qu'il faut la dernière version d'unbound pour le fichier conf.  👍

2ème point :
Un résolveur dans sa box, n'est JAMAIS préconisé dans les système BSD, LINUX, WINDOWS, macOS, pour des raisons de SÉCURITÉ... (j'ai pendant +4ans testé ces différentes distributions avec unbound et aucune préconisation d'enregistrer son résolveur dans sa box.
IPV6 : il y a 2 fronts // paranoïaque et non paranoïaque
il y a un soucis de tracabilité de ton adresse MAC si tu ne met pas un parefeu pour l'imité l'identification..
interssant pour administrer plusieurs machine en réseau...sinon aucune utilité pour le moment..
Très peu de site sont IPV6 site en ipv6

3ème point
Je n'ai pas suivi ou en était ce service DNSMASQ..; mais il y en a un autre que personne ne parle, et qui fait office de resolveur dns, qu'il faut désactiver sinon il court-circuite la conf d'unbound

systemd-resolve status

4ème point:

interface : 0.0.0.0
Tu ouvres ton interface a l'extérieur , pas bon pour la sécurité.. il faut qu'il y ait seulement en local qu'il y ait une requète dns.
Unbound ne doit écouter que 127.0.0.
Tu peux mettre a la limite ton adresse ip fixe local..
Ce n'est pas interdit de le faire, mais pas préconisé dans les confs que j'ai vu

interface: ::0 c'est utile si tu as activé IPV6

5ème point :
Je test Doh en ce moment, mais résultat est une censure sur certains site... je le teste uniquement en local , mais jamais sur ma box... avec une configuration dans mon navigateur firefox, qui a commencer a expérimenter l'outils en 2019....
Je n'ai pas encore fait de tuto là-dessus car je suis toujours en mode test pour trouver la bonne configuration....

Voilà , j'espère avoir répondu a tes questions.. que tu peux vérifier sur le net bien entendu...

ps: j'ai proposé ce wiki a Fedora qui doive l'adapter normalement....
Il y aussi une version pour OS famille Debian... mais qui n'est pas mis a jour... il y que celle d'OpenSuse qui est a jour...

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #4
Merci @yoman pour cette réponse très complète.
Je vais prendre le temps de regarder tout cela et d’ajuster la configuration selon tes conseils avisés.

Une question déjà cependant : que préconises-tu pour le router internet s’il ne faut le faire pointer sur la machine avec l’installation unbound ? Faut-il installer unbound sur toutes les machines ? Mais, dans ce cas, que faire pour les téléphones qui se connectent en wifi ? Je pensais en fait utiliser mon PC comme serveur DNS pour eux en faisant pointer le DNS de la box dessus...

Encore une fois, grand merci pour tes réponses pédagogiques.

A+

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #5
bonjour

Désolé pour cette réponse tardive...
Exact il faut faire pointer sur le PC Unbound..
Mettre des ip fixes aux pc..

et mettre en "manuelle" la configuration d'unbound et ajouter ip fixe + masque sous réseaux et passerelle ..
faire de même pour l'option Routes ...

Ça devrait le faire normalement...

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #6
Bonjour @yoman

Pas de souci pour le délai de réponse ; on a tous d'autres occupations.

J'ai modifié mon unbound.conf sur mon serveur en fonction de tes remarques. J'ai modifié la configuration de sa connexion par networkmanager comme tu le conseilles et j'ai désactivé IPv6 dans la configuration networkmanager (Free force maintenant l'utilisation de IPv6 sur sa box par contre).
Le PC serveur est donc "autonome" et utilise pleinement unbound. La configuration DNS de la box/router ne pointe plus sur le PC serveur.

Pour les autres appareils connectés  en wifi sur ma box (android, ios, etc...), j'ai mis les adresses IPv4 et IPv6 de 2 serveurs du projet OpenNIC.
De cette façon, je passe le test DNSSEC que tu proposes (https://en.internet.nl/connection) ; je ne bénéficie pas de l'effet cache de Unbound mais je n'ai pas le temps (et pas certain que cela soit possible) de modifier les configurations de tous les appareils de la famille qui se connectent en wifi.

Voilà. Si tu as d'autres conseils, je suis preneur. En attendant, merci pour ton aide.

A+


Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #7
re @squid-f‍ 

Pour profiter du cache et de ta config avec les dns du projet OpenNIC,, je vais dans la semaine de proposer une autre configuration avec un : 
foward-zone : dns OpenNIC
private-domaine : pour isoler tes pc

Je l'avais fait quand j'étais sous OpenBSD, et ça fonctionnait , je pouvais même isoler mon imprimante réseau dans unbound...

Faut que je retrouve la config sur mon NAS, je ne l'ai plus en tête...enfin j'ai la config en tête , mais avec le temps les choses ont du évoluer...

ps: je suis aussi entrain de préparer un wiki sur opensuse concernant la config pour squid... au oû 


Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #8
Génial ! Grand merci @yoman

Je regarderai cela avec beaucoup d’intérêts.  8)

A+

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #9
Salut @squid-f‍ 

Bon effectivement les choses ont changé depuis l'époque ou j'avais déclaré mes PC dans unbound...

Par contre en relisant ton dernier post, tu parlais d'une config en wifi... j'étais focus sur une conf "LAN" ..

J'ai fais des tests quand même pour toi et ça me servira par la même occasion et pourra agrémenter mon wiki sur unbound, en remettant en cause mes configs perso, car les choses évoluent.

1°)  unbound 127.0.0.1 dans la config box
* position antérieure : c'est pas très sécure
* position après test : avec numéricable et activation parefeu box secure en  y déclarant tcp/udp 53, connexion bcp plus rapide.
* test supplémentaire : test parefeu depuis l'extérieur, et bonne nouvelle mon port 53 résolveur dns est Invisible sur ma box 
* problèmeappareils directement connectés a ma box pas d'internet, j'ai dû mettre un DNS tiers sur les appareils.

ns8.fr.dns.opennic.glue : 151.80.222.79 + DNSCrypt

C'est un peu normal car ma box est en mode routeur et non bridge.... 

Appareils en wifi : comme toi, pas de possibilité de bénéficier le cache d'unbound... il faut que les appareils se connectent directement sur le PC en mode wifi-direct.. solution possible avec DE gnome, mais pas encore testé sur KDE.... 
(peut--être en déclarant des domaines dans unbound, je dois creuser de ce côté

par contre la config secure :en Ethernet fonctionne bien, mais on peut trouver mieux ... 

exemple pour ma part : 
private-address: 192.168.0./16
private-domain: "home.lan"
access-control: 192.168.0.0/16 allow

local-zone: "home.lan." static

local-data: "wdmycloud.home.lan. IN A 192.168.0.20"
local-data-ptr: "192.168.0.20 wdmycloud.home.lan"
local-data: "pcchildren.home.lan. IN A 192.168.0.21"
local-data-ptr: "192.168.0.21 pcchildren.home.lan"

#requêtes DNS non effectuées en local mais faisant confiance a un dns tiers
forward-zone:
 name: "."
 forward-addr: 151.80.222.79  #serveur DNS : dns.opennic.glue

Ça ne t'a pas bcp plus avancé, ... mais je creuse toujours pour l'option wifi,  je m'étais focalisé sur l'option LAN..

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #10
Bonjour @yoman

Merci quand même. J'essaye d'apprendre en suivant ce que tu expliques et cela me fait avancer ; d'autant que je ne suis pas certain de tout comprendre...  :-[

Donc, désolé pour ma question de béotien mais, quand tu dis :
Citer
par contre la config secure :en Ethernet fonctionne bien, mais on peut trouver mieux ...
est-ce à dire que toutes les machines de ton réseau connectées en LAN utilisent forcément le DNS de la machine où Unbound est installé ?
Pour faire cela, que spécifies-tu comme adresse DNS dans le menu DCHP de ta box router ? Ou est-ce suffisant de faire pointer les autres machines (connectées en LAN) vers la machine où Unbound est installé ? (en fait, j'ai essayé de mettre l'adresse local de cette machine dans le champ DNS de Netwrok-manager des autres machines mais cela ne fonctionne pas...  ::) ).

Merci encore et A+

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #11
Bonjour @yoman

Merci quand même. J'essaye d'apprendre en suivant ce que tu expliques et cela me fait avancer ; d'autant que je ne suis pas certain de tout comprendre...  :-[

Donc, désolé pour ma question de béotien mais, quand tu dis :
Citer
par contre la config secure :en Ethernet fonctionne bien, mais on peut trouver mieux ...
        1°)  est-ce à dire que toutes les machines de ton réseau connectées en LAN utilisent forcément le DNS de la machine où Unbound est installé ?
2°) Pour faire cela, que spécifies-tu comme adresse DNS dans le menu DCHP de ta box router ? 3°) Ou est-ce suffisant de faire pointer les autres machines (connectées en LAN) vers la machine où Unbound est installé ? 4°) (en fait, j'ai essayé de mettre l'adresse local de cette machine dans le champ DNS de Netwrok-manager des autres machines mais cela ne fonctionne pas...  ::) ).

Merci encore et A+
 
 re

1°) oui les PC et connexions LAN bénéficient du cache d'unbound.
2°) dhcp box je n'y touch pas , car il faut passer en mode bridge sur ta box pour que ton pc ou ton switch fasse office de distributeur dhcp...
3°) oui c'est suffisant..
4°) faut mettre l’adresse locale de la machine ou est installé unbound.


en fait tu donnes une adresse ip fixe a tout tes pc en LAN et en dns tu mets l'IP fixe du PC ou est installé UNBOUND

PC PRINCIPAL UNBOUND : ip fixe  192.168.0.30+ masque sous réseau + passerelle + dns manuel 127.0.0.1
PC 2 : ip fixe + dns pc principal (192.168.0.30) qui est en faite ip fixe pc principal ou est installé unbound.

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #12
Merci @yoman

Du coup, sur la machine/serveur où est installé unbound, est-ce que j'ai besoin d'ouvrir un port dans le pare-feu pour qu'elle accepte les requêtes DNS vers unbound ? Si oui, lequel ?
J'ai l'impression que c'est peut-être cela le souci car j'ai fait pointer vers l'adresse locale du serveur DNS mais je n'ai plus d'accès internet...
(c'est pas urgent, les machines sans unbound fonctionnent avec les DNS du projet OpenNIC pour l'instant)

A+

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #13
@chalu

Je pense que tu utilises Firewalld..

su -
MDP

# firewall-cmd --permanent --add-service dns
# firewall-cmd --reload

Re : Mise a jour fichier conf resolveur dns Unbound

Répondre #14
Tu as fait une erreur de pseudo je crois ;)