Bonjour,
Je viens de virer fédora à cause de pb agaçant avec wayland et la partie son ... bref je l'ai remplacé par Opensuse tumbleween.
J'aimerais pouvoir installer une solution de DOT (dns over tsl) idéalement à l'identique de ce que j'avais fait sous fédora avoir la solution STUBBY (https://openwrt.org/docs/guide-user/services/dns/stubby)
A priori le paquet n'est pas dispo sous opensuse ??
Je me suis rabattu sur unbound et ce ce tuto https://fr.opensuse.org/Unbound ... que j'ai suivi à la lettre, mais malheureusement à l'arrivée dnssec ne fonctionne pas.
1- L'un de vous a-t-il connaissance d'un tuto Stubby sous Opensuse ?
2- A priori sous Opensuse systemd-resolved n'est pas activé par défaut ? Me trompè-je ?
3- Avez vous une solution alternative pour faire du Dot ?
merci
salut.
si ça peut t'aider:
https://software.opensuse.org/package/stubby?search_term=stubby
ou communautaire: dépôt home
le site software opensuse est souvent la solution quand tu ne trouves pas dans yast.
Bonjour,
Non, systemd-resolved n'est pas activé par défaut. Mais il est activable je pense.
thierry@toto-PC:~> systemctl status systemd-resolved
● systemd-resolved.service - Network Name Resolution
Loaded: loaded (/usr/lib/systemd/system/systemd-resolved.service; disabled; vendor preset: disabled)
…
Je te mets un lien qui pourrait t'intéresser https://shivering-isles.com/Configure-DoT-on-systemd-resolved
C'est sur Fedora, l'article date d'un an. Il y a peut-être possibilité d'adapter cela à Tumbleweed ?
systemd-resolved peut être activé également via yast=>gestionnaire de services
waouh ... c'est action réaction ici :o merci !
Parfait pas de systemd-resolved => un truc de moins à gérer.
Je viens d'installer le paquet depuis le site software opensuse, ça c'est ok
(Le truc un peu perturbant de software opensuse, c'est que ça ajoute des lignes de dépôts… perso je les supprime ensuite (à tort ?) )
Par ailleurs j'ai récupéré le fichier de config fonctionnel d'unbound sur mon win 10, je vais l'adapter et refaire un essai sur opensuse. Si ça foire je me rabattrais sur la solution Stubby.
Je viendrais vous rendre de compte de l'avancé du chantier… et si c'est ok je peux vous faire un tuto
PS : sur opensuse j'ai très vite compris l'intérêt de Snapper et du roll back :) ;)
PS1: pour ceux qui ce demande "pourquoi il veut s'emmerder avec dns over tls ? " un peu de lecture
https://www.ionos.fr/digitalguide/serveur/securite/dns-over-tls/
https://fr.wikipedia.org/wiki/DNS_over_TLS
oui,perso je désactive les dépôts home aprés l'installation.
Bonjour,
Juste en passant, souvent c'est mieux de choisir un dépôt expérimental qu'un dépôt home.
C'est je pense, car il y a plus de monde derrière et un meilleur suivi des évolutions de Tumbleweed, à confirmer par d'autres ;)
jamais eu de problème avec les dépôts home. Si tu les désactives après l'installation du paquet,qu'est ce que tu risques? et puis faut bien faire confiance aux gens qui se démènent pour la communauté...
Ben tu te prives d’une nouvelle version qui corrige un bug ? Ou d’une évolution nécessaire sur TW ?
Premier essai et premier échec avec Subby
dnsmasq n'arrive pas à écouter le port 53 ... à tous les coups ça vient du symlink sur resolv.conf
et zou un ptit rollback un :D
j'ai beau chercher je ne trouve pas de tuto dns over tls pour opensuse ! je serais quand même fort étonné que je fus le premier essayer de faire du dot sur Opensuse :o
Chaque jour suffit ça peine tentative 2 demain
Hello, intéressant comme sujet
Je poste rapidos un lien pour l'install sur divers OS :
https://dnsprivacy.org/dns_privacy_daemon_-_stubby/
BINGO
il suffit de supprimer le symlink de remettre un resolv.conf "propre" et en avant Simone ça marche !
Le plus dur est fait !
reste à voir :
si ce fourbe de NetworkManager ne vient pas modifier ma config au redémarrage !
faire un check rapide des dns plublic pour concilier vitesse et privacy
a plus
c
Succès mitigé :
si je lance les services une fois le bureau chargé
systemtcl start stubby dnsmasq
ça fonctionne TSL+DNSSEC.
Par contre, si j'active ces 2 services au démarrage code]systemtcl enable stubby dnsmasq[/code], le bureau KDE s'affiche pendant une seconde puis écran noir :
Welcome Opensuse ...
enps5s0 : 192.168.x.xx 2a01 ... une adresse IPV6
localhost login :
enps5s0 je suppose que c'est ma carte réseau et l'adersse 192.168.X.XX, c'est l'ip de mon opensuse distribué par la box.
Une idée ? vers NetworkManager.conf ?
Bonjour,
tu peux essayer de temporiser leur mise en service. Le principe est d'ajouter une commande (sleep) à un service, avant que ce service ne démarre. Ce n'est pas du tout garanti que cela fonctionne, mais ça vaut le coup d'essayer ! (c'est sans risque)
Par exemple pour 'stubby', en root dans un terminal:
** vérifie tout d'abord que ton service s'appelle bien stubby.service **
Ensuite dans un terminal en root (ou avec sudo):
# systemctl edit stubby.service
Un éditeur s'ouvre (nano ou vim), c'est vide. Tu tapes:
[Service]
ExecStartPre=/bin/sleep 60
60 → 60 secondes… (30, 120, …, ce que l'on veut)
Il faut sauvegarder !
Pour vérifier que tout va bien, normalement un dossier /etc/systemd/system/
stubby.service.d a été créé, il doit contenir un fichier
override.conf. Ce dernier contient le script qui a été saisi.
Il est maintenant nécessaire de recharger les fichiers de configuration de systemctl:
# systemctl daemon-reload
Maintenant il faut désactiver puis réactiver (disable - enable) le service stubby (ou restart).
# systemctl restart stubby.service
Éventuellement redémarre ta machine pour voir le comportement au démarrage.
Tu peux faire la même opération pour DNSSEC, c'est à toi de voir. Il faut essayer, peut-être augmenter le nombre de secondes… C'est empirique.
Pour revenir en arrière, tu enregistres un fichier vide avec 'systemclt edit stubby', puis tu suis le reste de la procédure.
Il est aussi possible de supprimer le dossier /etc/systemd/system/stubby.service.d (celui qui contient override.conf), puis suivre la même procédure…
:'( ...
gillles 0 opensuse 1
jet de l'éponge j'arrête de me battre avec la couche réseau d'opensuse
si quelqu'un veut s'y coller je vous mets un lien de la procédure (c'est pour linux mint mais la procédure est la même pour opensuse) (l'histoire du symlink avec ou sans, c'est pareil)
https://forums.linuxmint.com/viewtopic.php?t=345236
ça marche MAIS il ne faut pas rendre systemclt enable stubby et dnsmasq sinon opensuse se lance, mais en mode console
gilles 1/2 Unbound 1
Ça fonctionne, mais c'est hyper lent, là encore NetworkManager vient foutre ça m...
Donc jet de l'éponge aussi re :'(
c'est la première fois qu'un os ne se laisse pas faire !! :o :o
Manjaro => stubby succès (unbound pas essayer)
Fedora => stubby succès (unbound pas essayer)
Windows 10 => stubby ET Unbound succès
Bonjour Gilles,
il existe aussi la possibilité de passer par les réglages de firefox. Dans la partie réseau, on peut cocher DNS over https, on dispose ainsi de trois possibilités:
- Cloudflare
- NextDNS
- utilisateur
Effectivement, c'est la solution la plus simple à mettre en œuvre, ... mais ça ne concerne QUE ce qui passe par le navigateur.
Cela dit comme ça m'a un peu agacé j'ai repris ce tuto => https://fr.opensuse.org/Unbound
En faisant 2 modifs :
1- Dans le fichier de config j'ai modifié
verbosity = 0
=> pour en avoir le minimum dans le journal (/var/log/unbound.log)
j'ai décommenté :
interface: ::0
access-control: ::0/0 refuse
access-control: ::1 allow
2- dans NetworkManager
J'ai créé une nouvelle connexion
ipv4 ipv6
méthode automatique (adresse uniquement) automatique (adresse uniquement)
serveurs dns : 127.0.0.1 ::1
Et finalement Yeeeeeees
ça fonctionne nickel !![/b]
moi@monPC:~> dig +nodnssec +short TXT qnamemintest.internet.nl
a.b.qnamemin-test.internet.nl.
"HOORAY - QNAME minimisation is enabled on your resolver :)!"
moi@monPC:~> dig com. SOA +dnssec
; <<>> DiG 9.16.25 <<>> com. SOA +dnssec
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3466
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
;; QUESTION SECTION:
;com. IN SOA
;; ANSWER SECTION:
com. 3600 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1646935857 1800 900 604800 86400
com. 3600 IN RRSIG SOA 8 1 900 20220317171057 20220310170057 38535 com. M3oOO6ojTcoSY8za2OBoT8zumYpfO+h25DScbF0denr89zpeebmIAxAs BpgZPkMW1lx3CVpM2kfzNI+zFvra0CMpOtUQWTxMz3ayI9C3mwcd7/pr 3XHTwlm5NE548g4kKvIKm6QIM0HyHoOfcaNKmdn22IXxwBXZGIRgX4Yc rcUJHHXzyQisManSwRNQ2Se5ZjHYdXsuhVFZx9ByERAjLw==
;; Query time: 19 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Mar 10 19:11:08 CET 2022
;; MSG SIZE rcvd: 300
Correction : le fichier antipub est celui de peter lowe présent dans µblock origin top
Je me fais une petite auto réponse
Même pb lorsqu'on "enable" smb et nmb ... a priori le pb n'existe que si on est en session wayland
avec x11 ça fonctionne parfaitement
Donc sur ce poste 2 tutos en 1
1-Stubby
2-unbound
:D