Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 27/04/2024, à 00:46

iznobe

[ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Bonjour , suite a plusieurs discussions sur les DNS , je desire en changer , rien de tres nouveau .
Quiite a en changer autant mettre quelquechose de bien au niveai libre j' entends cela va de soi et eviter au maximum les DNS des FAI bien sur : https://doc.ubuntu-fr.org/anonymat#dns

Du coup je me demandais plusieurs choses :
1°) la configuration des DNS de la BOX prend le dessus sur ceux de la connexion ou l ' inverse ?
2°) comment verifier ( avec tcpdump et wireshark je suppose ) quel est le cas a retenir ?
3°) j' ai un routeur 4G , a priori , il n ' autorise pas le changement de serveur DNS , mais j' ai reussi a trouver sur le net une manip qui soi disant le permettrait , j' aimerais donc verifier ce qu ' il en est reellement , mais je ne sais pas comment faire .
4°) comment fait on pour mettre des DNS Over TLS ou  Over Https sur linux et donc sur ubuntu ? En particulier via NM ?
car cette page ne me parait specialement claire : https://www.bortzmeyer.org/fdn-dot-doh.html vu que ca parle d' ordiphone au final ...

Dernière modification par iznobe (Le 02/05/2024, à 11:50)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#2 Le 27/04/2024, à 08:05

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Salut,

1) si tes paramètres de connexion sont en « automatique », c'est la box qui fournit les adresses des résolveurs via DHCP en IPv4 et NDP en IPv6
2) inutile de sortir des outils d'aussi bas niveau, les commandes dig et resolvectl suffisent.
3) cf. 2 Attention les réseaux de type 4G ne fournissent pas un accès direct à l'Internet, du moins en IPv4. C'est généralement du CGNAT, tu es donc sur un sous-réseau privé de l'opérateur et tu n'as généralement aucune possibilité de configuration.
4) je n'ai pas essayer mais si tu veux utiliser un résolveur DoT de FDN avec Ubuntu il faudra peut-être modifié la valeur de #DNSOverTLS=no du fichier /etc/systemd/resolved.conf (cf man resolved.conf)

#3 Le 27/04/2024, à 09:01

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Alors pour un tour rapide d' horizon , sur une 22.04 , j ' ai actuellement :

iznobe@iznobe-PC:~$ dig google.fr

; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> google.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20173
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.fr.			IN	A

;; ANSWER SECTION:
google.fr.		88	IN	A	172.217.21.3

;; Query time: 27 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sat Apr 27 09:53:26 CEST 2024
;; MSG SIZE  rcvd: 54

iznobe@iznobe-PC:~$ 
iznobe@iznobe-PC:~$ resolvectl
Global
       Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub

Link 2 (enp2s0)
    Current Scopes: DNS
         Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 9.9.9.9
       DNS Servers: 9.9.9.9 1.1.1.1 fe80::16de:39ff:fe6a:e324%21997
iznobe@iznobe-PC:~$ 

le soucis , c' est que je ne trouve pas ou modifier ( graphiquement par exemple ) de façon a inserer une DOT ou DOH . cela revient à dire que NM n ' est pas prevu pour ce genre de chose ? qui parait tout de meme etre un protection relativement essentielle pour naviguer sans se retrouver sur des sites de phising ou des usurpations d' identité de site par exemple .
que ca soit dans l ' onglet IPV4 ou IPV6 de ma connexion , il n ' y a nulle part " nom d '' hote du fournisseur de service DNS privé " ou quelquechose d' approchant .
en CLI , j ' ai pas trop cherché encore , mais ca va etre un peu tendu probablement roll

j ' ai noté pour la modif du fichier de conf resolved .

Dernière modification par iznobe (Le 27/04/2024, à 09:03)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#4 Le 27/04/2024, à 09:49

jplemoine

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

bruno a écrit :

1) si tes paramètres de connexion sont en « automatique », c'est la box qui fournit les adresses des résolveurs via DHCP en IPv4 et NDP en IPv6

Justement non..
En IPv4 (je ne connais pas en IPv6) : En automatique : C'est le serveur DHCP qui donne les paramètres de connexion (et donc le ou les serveurs DNS)
Il suffit donc de créer un serveur DHCP (en plus du DNS) et de désactiver celui de la box.
Attention : Il ne faut qu'un seul serveur DHCP par sous-réseau sinon, on ne sait pas lequel répond.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#5 Le 27/04/2024, à 09:54

Astrolivier

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

salut,

pour networkManager

le plus simple est d'aller dans la bonne connexion (celle(s) que tu veux changer) avec

nmtui

avec nmcli une copie du man

nmcli con modify ABC +ipv4.dns 8.8.8.8
           appends a Google public DNS server to DNS servers in ABC profile.

tu mets le bon nom à la place de ABC et le bon DNS à 8.8.8.8

https://www.fdn.fr/actions/dns/

Ils sont disponibles aux adresses IPv4 et IPv6 suivantes :

    ns0.fdn.fr : 80.67.169.12 ou 2001:910:800::12 (validation DNSSEC)
    ns1.fdn.fr : 80.67.169.40 ou 2001:910:800::40 (validation DNSSEC)

DoT et DoH sont désormais également disponibles :

    DoT : ns0.fdn.fr et ns1.fdn.fr sur le port TCP/853
    DoH : https://ns0.fdn.fr/dns-query et https://ns1.fdn.fr/dns-query


je connaissais pas les DoT et DoH je ne peux pas dire ce qu'il en est


S'il faut absolument faire des sacrifices pour assurer le progrès de l'humanité, ne serait-il pas indispensable de s'en tenir au principe selon lequel c'est à ceux dont on exige le sacrifice que la décision doit revenir en dernier ressort ? (howard zinn)

Hors ligne

#6 Le 27/04/2024, à 10:53

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Merci a tous .
je me doutais que les avis seraient un peu disparates big_smile

c' est pour cela que je voulais verifier par " A + B " avec tcpdump par ou passent vraiment les paquets .

D' apres ce que je viens de tester , il ressort que
+ par defaut c' est systemd.resolv qui est utilisé
+ systemd.resolved.service ne supporte pas le DOH , magnifique , c' est justement le plus securitaire et evidemment celui que je voulais installer :

iznobe@iznobe-PC:~$ sudo systemctl status systemd-resolved.service
● systemd-resolved.service - Network Name Resolution
     Loaded: loaded (/lib/systemd/system/systemd-resolved.service; enabled; vendor preset: enabled)
     Active: active (running) since Sat 2024-04-27 11:31:23 CEST; 3s ago
       Docs: man:systemd-resolved.service(8)
             man:org.freedesktop.resolve1(5)
             https://www.freedesktop.org/wiki/Software/systemd/writing-network-configuration-managers
             https://www.freedesktop.org/wiki/Software/systemd/writing-resolver-clients
   Main PID: 44841 (systemd-resolve)
     Status: "Processing requests..."
      Tasks: 1 (limit: 38012)
     Memory: 4.8M
        CPU: 232ms
     CGroup: /system.slice/systemd-resolved.service
             └─44841 /lib/systemd/systemd-resolved

avril 27 11:31:23 iznobe-PC systemd[1]: Starting Network Name Resolution...
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Positive Trust Anchors:
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: . IN DS 20326 8 2 e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Negative trust anchors: home.arpa 10.in-addr.arpa 16.172.in-addr.arpa 17.172.in-addr.arpa 18.172.in-addr.arpa 19.1>
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Failed to add DNS server address 'https://ns0.fdn.fr/dns-query', ignoring: Invalid argument
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Failed to add DNS server address 'https://ns1.fdn.fr/dns-query', ignoring: Invalid argument
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Using system hostname 'iznobe-PC'.
avril 27 11:31:23 iznobe-PC systemd[1]: Started Network Name Resolution.
...skipping...
● systemd-resolved.service - Network Name Resolution
     Loaded: loaded (/lib/systemd/system/systemd-resolved.service; enabled; vendor preset: enabled)
     Active: active (running) since Sat 2024-04-27 11:31:23 CEST; 3s ago
       Docs: man:systemd-resolved.service(8)
             man:org.freedesktop.resolve1(5)
             https://www.freedesktop.org/wiki/Software/systemd/writing-network-configuration-managers
             https://www.freedesktop.org/wiki/Software/systemd/writing-resolver-clients
   Main PID: 44841 (systemd-resolve)
     Status: "Processing requests..."
      Tasks: 1 (limit: 38012)
     Memory: 4.8M
        CPU: 232ms
     CGroup: /system.slice/systemd-resolved.service
             └─44841 /lib/systemd/systemd-resolved

avril 27 11:31:23 iznobe-PC systemd[1]: Starting Network Name Resolution...
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Positive Trust Anchors:
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: . IN DS 20326 8 2 e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Negative trust anchors: home.arpa 10.in-addr.arpa 16.172.in-addr.arpa 17.172.in-addr.arpa 18.172.in-addr.arpa 19.1>
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Failed to add DNS server address 'https://ns0.fdn.fr/dns-query', ignoring: Invalid argument
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Failed to add DNS server address 'https://ns1.fdn.fr/dns-query', ignoring: Invalid argument
avril 27 11:31:23 iznobe-PC systemd-resolved[44841]: Using system hostname 'iznobe-PC'.
avril 27 11:31:23 iznobe-PC systemd[1]: Started Network Name Resolution.
~
iznobe@iznobe-PC:~$

+ que j' obtiens tant que je veux  des :

iznobe@iznobe-PC:~$ dig google.fr
;; communications error to 127.0.0.53#53: timed out
;; communications error to 127.0.0.53#53: timed out
;; communications error to 127.0.0.53#53: timed out

; <<>> DiG 9.18.18-0ubuntu0.22.04.2-Ubuntu <<>> google.fr
;; global options: +cmd
;; no servers could be reached

iznobe@iznobe-PC:~$

je ferais probablement des tests plus avancés demain , si j' ai plus de temps .

la remarque de @jplemoine peut etre insterressante selon qui prend le dessus sur l' autre .
il faut que je commence donc par vérifier " qui est le plus fort " . la box les DNS dans la config de systemd.resolved.conf , ceux des parametres de la connexion , et pour le surf ... ceux du navigateur , genial .

Dernière modification par iznobe (Le 27/04/2024, à 10:58)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#7 Le 27/04/2024, à 11:33

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

#4 : inutile de compliquer les choses juste pour apporter une contradiction, les box font toutes serveur DHCP.

#5 : idem, l'interface graphique de network-manager permet de régler simplement les résolveurs DNS. Il suffit de passer en automatique seulement pour les adresses ou en manuel. Tout est décrit dans la doc et il est facile d'expérimenter.

D'ailleurs je vois que tu n'as pas compris la remarque (inutile) de jplemoine.
Il n'y a pas de plus fort.
Soit ta connexion est configurée en manuel et tu définis tout : adresses IP, adresses des résolveurs, passerelle, etc.,
soit tu es en mode mode automatique pour les adresses où tu définis uniquement les DNS,
soit elle est configurée en automatique et c'est la box qui t'attribue les addresses : IP, passerelle et DNS.

Dernière modification par bruno (Le 27/04/2024, à 11:38)

#8 Le 27/04/2024, à 11:39

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

iznobe a écrit :

1°) la configuration des DNS de la BOX prend le dessus sur ceux de la connexion ou l ' inverse ?

il faut voir le DNS comme un ruissellement d'information, ou comme un arbre inversé.
ton ordi va interroger un serveur DNS, qui va interroger un serveur DNS, qui va...
(et chacun garde l'info en cache un temps défini par le TTL du nom de domaine)
tu peux avoir une idée du truc avec

dig forum.ubuntu-fr.org +trace +nodnssec

quel est ce premier serveur DNS interrogé ? ça dépend de la config réseau de l'ordi.
sachant qu'on peut spécifier plusieurs serveurs, au cas où le premier ne fonctionne pas.


chez moi j'ai un pi-hole. la freebox est configurée pour amener les ordis clients DHCP à toquer à sa porte.
le pi-hole lui-même interroge les DNS de FDN.

la config (manuelle) DNS IPv4 de mon ordi : 192.168.1.11, 80.67.169.12, 80.67.169.40, 9.9.9.9, 1.1.1.1 (le premier est le pi-hole. ça n'ira évidemment jamais jusqu'au dernier, qui est celui de cloudflare).

Hors ligne

#9 Le 27/04/2024, à 11:46

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

jplemoine a écrit :
bruno a écrit :

1) si tes paramètres de connexion sont en « automatique », c'est la box qui fournit les adresses des résolveurs via DHCP en IPv4 et NDP en IPv6

Justement non..
En IPv4 (je ne connais pas en IPv6) : En automatique : C'est le serveur DHCP qui donne les paramètres de connexion (et donc le ou les serveurs DNS)
Il suffit donc de créer un serveur DHCP (en plus du DNS) et de désactiver celui de la box.

je ne pige pas trop ce que tu dis : par défaut sur une installation courante (chez un particulier) c'est bien la box qui fournit le service DHCP.
mettre en place un autre serveur DHCP pour changer de DNS c'est un peu sortir le tractopelle (j'aurais pas choisi le verbe suffire du coup)...

Hors ligne

#10 Le 27/04/2024, à 11:53

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

si jamais, je trouve que cet article explique très bien le service DNS : https://zestedesavoir.com/tutoriels/278 … rvice/dns/

Hors ligne

#11 Le 27/04/2024, à 12:07

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Bof, pas mal d'erreurs (du moins des imprécisions et des simplifications abusives) dans cette article. Le schéma représentant les échanges par exemple est complètement faux. Mieux vaut se fier à la page Wikipedia et aux conférences de Stéphane Bortzmeyer sur le sujet.

#12 Le 27/04/2024, à 13:23

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

@krodelabestiole : voici le retour de la commande :

iznobe@iznobe-PC:~$ dig forum.ubuntu-fr.org +trace +nodnssec

; <<>> DiG 9.18.18-0ubuntu0.22.04.2-Ubuntu <<>> forum.ubuntu-fr.org +trace +nodnssec
;; global options: +cmd
.			429	IN	NS	d.root-servers.net.
.			429	IN	NS	a.root-servers.net.
.			429	IN	NS	m.root-servers.net.
.			429	IN	NS	b.root-servers.net.
.			429	IN	NS	j.root-servers.net.
.			429	IN	NS	h.root-servers.net.
.			429	IN	NS	i.root-servers.net.
.			429	IN	NS	f.root-servers.net.
.			429	IN	NS	l.root-servers.net.
.			429	IN	NS	c.root-servers.net.
.			429	IN	NS	k.root-servers.net.
.			429	IN	NS	g.root-servers.net.
.			429	IN	NS	e.root-servers.net.
;; Received 239 bytes from 127.0.0.53#53(127.0.0.53) in 28 ms

org.			172800	IN	NS	a0.org.afilias-nst.info.
org.			172800	IN	NS	a2.org.afilias-nst.info.
org.			172800	IN	NS	b0.org.afilias-nst.org.
org.			172800	IN	NS	b2.org.afilias-nst.org.
org.			172800	IN	NS	c0.org.afilias-nst.info.
org.			172800	IN	NS	d0.org.afilias-nst.org.
;; Received 492 bytes from 2001:7fd::1#53(k.root-servers.net) in 44 ms

ubuntu-fr.org.		3600	IN	NS	ns-45-b.gandi.net.
ubuntu-fr.org.		3600	IN	NS	ns-253-c.gandi.net.
ubuntu-fr.org.		3600	IN	NS	ns-242-a.gandi.net.
;; Received 125 bytes from 199.19.54.1#53(b0.org.afilias-nst.org) in 32 ms

forum.ubuntu-fr.org.	300	IN	A	178.20.55.235
;; Received 64 bytes from 2001:4b98:aaaa::f3#53(ns-242-a.gandi.net) in 32 ms

iznobe@iznobe-PC:~$

sauf que je ne sais pas vraiment l' analyser correctement .
j ' ai pourtant lu le lien que tu as donné aussi , mais il explique sans preciser les parties qui lui font dire que telle chose correspond à .
Par exemple il parle de " . " , mais il le voit ou son point dans le retour ? y en a un peu partout ...

Ce que je ne comprends pas vraiment c ' est qu ' on peut " definir " des adresses ( de differents formats ) a differents endroits du coup lequel est reellement pris en compte ? ( si je suis l ' indication de l ' arbre a l ' envers , ca serait le 1er indiqué , donc celui de firefox )
si je definis un serveur DNS dans firefox , en surfant via firefox , ce sera celui que j' ai mis dans firefox ? celui que j' ai mis sur ma carte reseau ? celui que j' ai mis dans ma config resolv.conf ? ou encore celui de la box ?
Comme de toute façon , si il ne sais pas et que le TTL est passé il demande a son voisin , au final one sait pas qui donnera la reponse . on peut juste supposer que selon le choix de son DNS d ' origine , il ne soi pas menteur , et que l ' info arrive bien des serveurs racines en faisant aveuglement confiance a toute la chaine ... d' ou l' interet primordial de passer par un protocole securisé et ne pas se servir des DNS des FAI qui eux , vont faire en sorte de repondre ce qui les arranges aux requetes ...

Autre chose , comme je veux faire du DOH via FDN , si le serveur n'  a pas la reponse , il va demander a son referent pour obtenir une reponse etc ...
Soit mais dans ce cas , qui me dis qu ' au final je vais pas atterrir sur gogole par exemple ?

Maintenant , j ' aimerais faire en sorte dans l' ideal , ( j ' ai plusieurs resaux locaux a gerer ) , qu ' automatiquement tous ce qui est connecté transite par des DOH , je vais quand meme pas devoir me taper la config sur chaque peripherique reseau si ?
sinon pihole + serveur DNS ?

Dernière modification par iznobe (Le 27/04/2024, à 13:26)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#13 Le 27/04/2024, à 13:48

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

L'option +trace de dig c'est utile quand on a besoin de déboguer des problèmes de résolution de nom. Là c'est encore une complication inutile (pour l'instant) dans la discussion.

bruno a écrit :

Il n'y a pas de plus fort.
Soit ta connexion est configurée en manuel et tu définis tout : adresses IP, adresses des résolveurs, passerelle, etc.,
soit tu es en mode mode automatique pour les adresses où tu définis uniquement les DNS,
soit elle est configurée en automatique et c'est la box qui t'attribue les addresses : IP, passerelle et DNS.

Si tu définis une résolveur DoT ou DoH dans Firefox il sera utilisé pour les requêtes faites par Firefox et uniquement pour celles-là.

si le serveur n'  a pas la reponse , il va demander a son referent pour obtenir une reponse etc ...

Voilà le genre de chose fausse. Il n'y a pas de référent. Il ya des résolveurs cache récursif (ce que tu utilises) et des serveurs faisant autorité pour chaque domaine (gérés par les propriétaires des domaines).
Quand interroges ton résolveur (cache récursif) il vérifie s'il a une réponse dans son cache et te l'envoie le cas échéant, sinon il transmet de manière récursive la requête au serveur faisant autorité pour le domaine demandé. Voir le schéma sur la page Wikipédia.

#14 Le 27/04/2024, à 14:13

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

generalement , je suis le plus souvent en mode manuel et en ip fixe , mais pas toujours . de plus j' ai notamment un reseau local complexe avec plus de 60 peripheriques , je me vois mal reprendre surtout pour celui-ci toutes les configs a la main .

Quelle solutions seraient envisageable ?
acheter un routeur dans lequel je peut specifier les DNS OH de FDN et modifier les DNS de tous les périphériques réseau pour les passer en mode auto ? ou au contraire en mode manuel avec l' ip du routeur ?
utiliser un pi ( deja un dans chaque reseau local ) dans lequel j ' implemente un serveur DNS ? autre chose à partir du pi ?


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#15 Le 27/04/2024, à 14:29

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

iznobe a écrit :

Quelle solutions seraient envisageable ?

tu pourrais indiquer ton FAI et le modèle de ta box ?

Hors ligne

#16 Le 27/04/2024, à 14:32

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

2 chez orange avec livebox 5
chez moi avec un routeur 4G B818-263 et FAI ( carte SIM ) SFR .


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#17 Le 27/04/2024, à 14:48

jplemoine

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

krodelabestiole a écrit :

mettre en place un autre serveur DHCP pour changer de DNS c'est un peu sortir le tractopelle (j'aurais pas choisi le verbe suffire du coup)...

En fait, l'idée est d'avoir sur une machine un serveur DNS avec un domaine local (par exemple maison.lan) (puis un failover sur les DNS de ton FAI) et d'avoir un service DHCP qui pointe fait pointer le client sur le DNS local.
La finalité est de garder la connexion en auto (pour un PC portable, c'est plus simple). C'est effectivement se compliquer la vie pour pas grand chose pour un ordinateur de bureau.
- quand tu es chez toi, tu peux utiliser le nom des machines plutôt que leur IP (machine1 = machine1.maison.lan, machine2 = machine2.maison.lan)
- quand tu es à l'extérieur, tu prends la configuration "normale".

C'est ce que je pensais que l'on voulait faire. Au vu des réponses, j'ai surement pas tout compris.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#18 Le 27/04/2024, à 14:59

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

l ' objectif , c ' est de securiser les DNS des 3 reseaux distincts qui comporte un nombre important de peripheriques reseaux , le plus petit etant celui de chez moi .


Commencons par un test simple de chez moi .

Si j' ai bien compris l' explication de @bruno , je passe ma connexion avec la gestion des DNS en mode auto , en supposant que la modif de mon routeur a propos des dns est affective , puis j' ai juste a faire un dig sur nimporte quel serveur ?
si le resultat n ' es pas probant , je laisse en mode auto ma connexion et je configure dans le fichier /etc/resolv.conf les serveurs de FDN ? toutes les connexions initiées de mon ordi passeront donc pas les serveurs FDN .


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#19 Le 27/04/2024, à 15:07

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

jplemoine a écrit :

avoir un service DHCP qui pointe fait pointer le client sur le DNS local.

effectivement, je crois me souvenir que les livebox ne permettent pas de choisir le DNS.
donc oui, ce serait la seule solution pour choisir à un seul endroit le DNS pour les ordis en configuration réseau automatique.

pour le routeur 4G par contre ça devrait être faisable.

Hors ligne

#20 Le 27/04/2024, à 15:11

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

le plus simple serait donc un routeur, sinon un raspberry connecté au réseau (avec pi-hole - qui peut aussi faire serveur DHCP, ou autre openWRT).

Hors ligne

#21 Le 27/04/2024, à 15:13

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

ok , merci pour l' info .

krodelabestiole a écrit :

effectivement, je crois me souvenir que les livebox ne permettent pas de choisir le DNS.

Malheureusement oui .

Au sujet du test de base de mon ordi , j ' ai modifié via NM les DNS en auto .
puis j' ai fait :

iznobe@iznobe-PC:~$ sudo systemctl restart systemd-resolved.service
iznobe@iznobe-PC:~$ sudo systemctl status systemd-resolved.service
[sudo] Mot de passe de iznobe : 
● systemd-resolved.service - Network Name Resolution
     Loaded: loaded (/lib/systemd/system/systemd-resolved.service; enabled; ven>
     Active: active (running) since Sat 2024-04-27 11:43:19 CEST; 4h 27min ago
       Docs: man:systemd-resolved.service(8)
             man:org.freedesktop.resolve1(5)
             https://www.freedesktop.org/wiki/Software/systemd/writing-network->
             https://www.freedesktop.org/wiki/Software/systemd/writing-resolver>
   Main PID: 45879 (systemd-resolve)
     Status: "Processing requests..."
      Tasks: 1 (limit: 38012)
     Memory: 4.7M
        CPU: 315ms
     CGroup: /system.slice/systemd-resolved.service
             └─45879 /lib/systemd/systemd-resolved

avril 27 11:43:19 iznobe-PC systemd-resolved[45879]: Positive Trust Anchors:
avril 27 11:43:19 iznobe-PC systemd-resolved[45879]: . IN DS 20326 8 2 e06d44b8>
avril 27 11:43:19 iznobe-PC systemd-resolved[45879]: Negative trust anchors: ho>
avril 27 11:43:19 iznobe-PC systemd-resolved[45879]: Using system hostname 'izn>
avril 27 11:43:19 iznobe-PC systemd[1]: Started Network Name Resolution.
avril 27 16:09:49 iznobe-PC systemd-resolved[45879]: enp2s0: Bus client set def>
avril 27 16:09:49 iznobe-PC systemd-resolved[45879]: enp2s0: Bus client reset D>
avril 27 16:09:50 iznobe-PC systemd-resolved[45879]: enp2s0: Bus client set def>
avril 27 16:09:50 iznobe-PC systemd-resolved[45879]: enp2s0: Bus client set DNS>
avril 27 16:09:52 iznobe-PC systemd-resolved[45879]: enp2s0: Bus client set DNS>
iznobe@iznobe-PC:~$ resolvectl
Global
           Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
    resolv.conf mode: stub
         DNS Servers: 80.67.169.12
Fallback DNS Servers: 80.67.169.40

Link 2 (enp2s0)
Current Scopes: DNS
     Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
   DNS Servers: 80.67.169.12 80.67.169.40 fe80::16de:39ff:fe6a:e324%22063
iznobe@iznobe-PC:~$ dig google.fr

; <<>> DiG 9.18.18-0ubuntu0.22.04.2-Ubuntu <<>> google.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51276
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.fr.			IN	A

;; ANSWER SECTION:
google.fr.		95	IN	A	172.217.20.195

;; Query time: 40 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sat Apr 27 16:12:54 CEST 2024
;; MSG SIZE  rcvd: 54

iznobe@iznobe-PC:~$

du coup quel DNS sont effectifs FDN ou SFR ? parceque moi , je ne sais pas a quoi correspond 127.0.0.53 ...
EDIT : arf , oublié de supprimer les DNS FDN dans la conf ...

Dernière modification par iznobe (Le 27/04/2024, à 15:17)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#22 Le 27/04/2024, à 16:12

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

je ne sais pas a quoi correspond 127.0.0.53

Toute les adresses de la plage 127.0.0.0/8 correspondent à l'interface de bouclage (lo), c'est à dire à la machine locale.

C'est l'adresse utilisée par systemd-resolved  qui un cache local à ta machine (voir la doc à ce sujet)

l ' objectif , c ' est de securiser les DNS des 3 reseaux

Que veux-tu dire par sécuriser ?
Ne pas utiliser les résolveurs de son FAI peut répondre à plusieurs objectifs :
- ne pas être pisté par son FAI (il est douteux que les FAI s'amusent à enregistrer toutes les requêtes) ;
- espérer de meilleures performances en intercalant un résolveur cache pour le réseau local (solution du #20) ;
- avoir accès aux sites qui sont « bloqués » au niveau des FAI sur demande des autorités (DNS menteurs).

#23 Le 27/04/2024, à 17:48

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Toute les adresses de la plage 127.0.0.0/8 correspondent à l'interface de bouclage (lo), c'est à dire à la machine locale.

ca je le sais , ce que je voulais dire , c ' es que je ne connais pas l' adresse du resolveur DNS utilisé , puisque ca m ' affiche une adresse de la boucle locale ... alors que ce que je veux savoir , c' est justement quel serveur me donne la reponse a la requete DNS .


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#24 Le 27/04/2024, à 18:31

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

si tu utilises systemd-resolved (comme c'est le cas par défaut sur ubuntu mais pas debian), le résolveur utilisé est local.

les requêtes DNS étant récursives, ta question est de savoir quel serveur systemd-resolved interroge.

je ne sais pas, apparemment il n'y a pas de moyen de le savoir.
d'après cette réponse :

systemd-resolved follows internal rules to choose the "correct" DNS. This might be different for each query. It uses things like if a server worked or failed in the past, interface order and even what domains allocated to each interface.

en principe, si tout va bien, ça devrait être le premier de cette liste :

cat /run/systemd/resolve/resolv.conf

Hors ligne

#25 Le 27/04/2024, à 18:43

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

sinon avec tcpdump , en capturant une requete lancé via dig dans un autre terminal ?

la commande que tu donnes c ' est lorsqu ' on a fait des réglages quelquepart non ? là j ' ai tout remis par defaut et redemarrer le service DNS :

iznobe@iznobe-PC:~$ cat nano /etc/systemd/resolved.conf
cat: nano: Aucun fichier ou dossier de ce nom
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it under the
#  terms of the GNU Lesser General Public License as published by the Free
#  Software Foundation; either version 2.1 of the License, or (at your option)
#  any later version.
#
# Entries in this file show the compile time defaults. Local configuration
# should be created by either modifying this file, or by creating "drop-ins" in
# the resolved.conf.d/ subdirectory. The latter is generally recommended.
# Defaults can be restored by simply deleting this file and all drop-ins.
#
# Use 'systemd-analyze cat-config systemd/resolved.conf' to display the full config.
#
# See resolved.conf(5) for details.

[Resolve]
# Some examples of DNS servers which may be used for DNS= and FallbackDNS=:
# Cloudflare: 1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com 2606:4700:4700::1111#cloudflare-dns.com 2606:4700:4700::1001#cloudflare-dns.com
# Google:     8.8.8.8#dns.google 8.8.4.4#dns.google 2001:4860:4860::8888#dns.google 2001:4860:4860::8844#dns.google
# Quad9:      9.9.9.9#dns.quad9.net 149.112.112.112#dns.quad9.net 2620:fe::fe#dns.quad9.net 2620:fe::9#dns.quad9.net
#DNS=80.67.169.12
#FallbackDNS=80.67.169.40
#Domains=~.
#DNSSEC=yes
#DNSOverTLS=yes
#MulticastDNS=no
#LLMNR=no
#Cache=no-negative
#CacheFromLocalhost=no
#DNSStubListener=yes
#DNSStubListenerExtra=
#ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no
iznobe@iznobe-PC:~$

donc je ne peux pas savoir puisque la config est par defaut et c' est le routeur 4G qui gere donc le dns non ?
Pas aussi simple qu ' il y parait cette histoire ...

Dernière modification par iznobe (Le 27/04/2024, à 18:45)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne