Aller au contenu principal
Sujet: [résolu avec unbound] DNS over tls  (Lu 1369 fois) sujet précédent - sujet suivant

[résolu avec unbound] DNS over tls

Bonjour,

Je viens de virer fédora à cause de pb agaçant avec wayland et la partie son  ... bref je l'ai remplacé par Opensuse tumbleween.

J'aimerais pouvoir installer une solution de DOT  (dns over tsl)  idéalement à l'identique de ce que j'avais fait sous fédora avoir la solution STUBBY (https://openwrt.org/docs/guide-user/services/dns/stubby)

A priori le paquet n'est pas dispo sous opensuse ??
Je me suis rabattu sur unbound et ce ce tuto   https://fr.opensuse.org/Unbound ... que j'ai suivi à la lettre, mais malheureusement à l'arrivée dnssec ne fonctionne pas.

1- L'un de vous a-t-il connaissance d'un tuto Stubby sous Opensuse ?
2- A priori sous Opensuse systemd-resolved n'est pas activé par défaut ? Me trompè-je ?
3- Avez vous une solution alternative pour faire du Dot ?

merci 


Re : DNS over tls

Répondre #2
Bonjour,

2- A priori sous Opensuse systemd-resolved n'est pas activé par défaut ? Me trompè-je ?
Non, systemd-resolved n'est pas activé par défaut. Mais il est activable je pense.
thierry@toto-PC:~> systemctl status systemd-resolved
● systemd-resolved.service - Network Name Resolution
     Loaded: loaded (/usr/lib/systemd/system/systemd-resolved.service; disabled; vendor preset: disabled)
     …

Je te mets un lien qui pourrait t'intéresser https://shivering-isles.com/Configure-DoT-on-systemd-resolved
C'est sur Fedora, l'article date d'un an. Il y a peut-être possibilité d'adapter cela à Tumbleweed ?

Re : DNS over tls

Répondre #3
systemd-resolved peut être activé également via yast=>gestionnaire de services

Re : DNS over tls

Répondre #4
waouh ... c'est action réaction ici  :o  merci !

Parfait pas de systemd-resolved  => un truc de moins à gérer.

Je viens d'installer le paquet depuis le site software opensuse, ça c'est ok
(Le truc un peu perturbant de software opensuse, c'est que ça ajoute des lignes de dépôts… perso je les supprime ensuite (à tort ?) )

Par ailleurs j'ai récupéré le fichier de config fonctionnel d'unbound sur mon win 10, je vais l'adapter et refaire un essai sur opensuse. Si ça foire je me rabattrais sur la solution Stubby.

Je viendrais vous rendre de compte de l'avancé du chantier… et si c'est ok je peux vous faire un tuto

PS : sur opensuse j'ai très vite compris l'intérêt de Snapper et du roll back  :)  ;)
PS1: pour ceux qui ce demande "pourquoi il veut s'emmerder avec dns over tls  ? " un peu de lecture
https://www.ionos.fr/digitalguide/serveur/securite/dns-over-tls/
https://fr.wikipedia.org/wiki/DNS_over_TLS



Re : DNS over tls

Répondre #5
oui,perso je désactive les dépôts home aprés l'installation.

Re : DNS over tls

Répondre #6
Bonjour,
Juste en passant, souvent c'est mieux de choisir un dépôt expérimental qu'un dépôt home.
C'est je pense, car il y a plus de monde derrière et un meilleur suivi des évolutions de Tumbleweed, à confirmer par d'autres ;)

Re : DNS over tls

Répondre #7
Bonjour,
Juste en passant, souvent c'est mieux de choisir un dépôt expérimental qu'un dépôt home.
C'est je pense, car il y a plus de monde derrière et un meilleur suivi des évolutions de Tumbleweed, à confirmer par d'autres ;)
jamais eu de problème avec les dépôts home. Si tu les désactives après l'installation du paquet,qu'est ce que tu risques? et puis faut bien faire confiance aux gens qui se démènent pour la communauté...

Re : DNS over tls

Répondre #8
Ben tu te prives d’une nouvelle version qui corrige un bug ? Ou d’une évolution nécessaire sur TW ?

Re : DNS over tls

Répondre #9
Premier essai et premier échec avec Subby
dnsmasq n'arrive pas à écouter le port 53 ... à tous les coups ça vient du symlink sur resolv.conf

et zou un ptit rollback  un :D

j'ai beau chercher je ne trouve pas de tuto dns over tls pour opensuse ! je serais quand même fort étonné que je fus le premier essayer de faire du dot sur Opensuse  :o

Chaque jour suffit ça peine tentative 2 demain

 


Re : DNS over tls

Répondre #11
Premier essai et premier échec avec Subby
dnsmasq n'arrive pas à écouter le port 53 ... à tous les coups ça vient du symlink sur resolv.conf

et zou un ptit rollback  un :D

j'ai beau chercher je ne trouve pas de tuto dns over tls pour opensuse ! je serais quand même fort étonné que je fus le premier essayer de faire du dot sur Opensuse  :o

Chaque jour suffit ça peine tentative 2 demain

 
BINGO
il suffit de supprimer le symlink de remettre un resolv.conf "propre" et en avant Simone ça marche !
Le plus dur est fait  !

reste à voir  :
si ce fourbe de NetworkManager ne vient pas modifier ma config  au redémarrage !
faire un check rapide des dns plublic pour concilier vitesse et privacy


a plus 
c

Re : DNS over tls

Répondre #12
Succès mitigé :
si je lance les services une fois le bureau chargé
systemtcl start stubby dnsmasq
ça fonctionne TSL+DNSSEC.

Par contre, si j'active ces 2 services au démarrage code]systemtcl enable stubby dnsmasq[/code], le bureau KDE s'affiche pendant une seconde puis écran noir :
Welcome Opensuse ...
enps5s0 : 192.168.x.xx  2a01 ... une adresse IPV6
localhost login :

enps5s0 je suppose que c'est ma carte réseau et l'adersse 192.168.X.XX, c'est l'ip de mon opensuse distribué par la box.

Une idée ?  vers NetworkManager.conf ?

Re : DNS over tls

Répondre #13
Bonjour,

tu peux essayer de temporiser leur mise en service. Le principe est d'ajouter une commande (sleep) à un service, avant que ce service ne démarre. Ce n'est pas du tout garanti que cela fonctionne, mais ça vaut le coup d'essayer ! (c'est sans risque)

Par exemple pour 'stubby', en root dans un terminal:
** vérifie tout d'abord que ton service s'appelle bien stubby.service **
Ensuite dans un terminal en root (ou avec sudo):
# systemctl edit stubby.service
Un éditeur s'ouvre (nano ou vim), c'est vide. Tu tapes:
[Service]
ExecStartPre=/bin/sleep 60
60 → 60 secondes… (30, 120, …, ce que l'on veut)
Il faut sauvegarder !
Pour vérifier que tout va bien, normalement un dossier /etc/systemd/system/stubby.service.d a été créé, il doit contenir un fichier override.conf. Ce dernier contient le script qui a été saisi.

Il est maintenant nécessaire de recharger les fichiers de configuration de systemctl:
# systemctl daemon-reload

Maintenant il faut désactiver puis réactiver (disable - enable) le service stubby (ou restart).
# systemctl restart stubby.service

Éventuellement redémarre ta machine pour voir le comportement au démarrage. Tu peux faire la même opération pour DNSSEC, c'est à toi de voir. Il faut essayer, peut-être augmenter le nombre de secondes… C'est empirique.

Pour revenir en arrière, tu enregistres un fichier vide avec 'systemclt edit stubby', puis tu suis le reste de la procédure.
Il est aussi possible de supprimer le dossier /etc/systemd/system/stubby.service.d (celui qui contient override.conf), puis suivre la même procédure…

Re : DNS over tls

Répondre #14
 :'(   ...

gillles 0 opensuse 1

jet de l'éponge j'arrête de me battre avec la couche réseau d'opensuse 
si quelqu'un veut s'y coller je vous mets un lien de la procédure (c'est pour linux mint mais la procédure est la même pour opensuse) (l'histoire du symlink avec ou sans, c'est pareil)
https://forums.linuxmint.com/viewtopic.php?t=345236
ça marche MAIS il ne faut pas rendre  systemclt enable stubby et dnsmasq sinon opensuse se lance, mais en mode console

gilles 1/2 Unbound 1

Ça fonctionne, mais c'est hyper lent, là encore NetworkManager vient foutre ça m...
Donc jet de l'éponge aussi  re  :'(

c'est la première fois qu'un os ne se laisse pas faire !!  :o  :o
Manjaro => stubby succès (unbound pas essayer)
Fedora => stubby succès (unbound pas essayer)
Windows 10 => stubby ET Unbound succès