Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 27/04/2024, à 22:01

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

oui, par défaut c'est le routeur qui détermine l'adresse du serveur DNS.

(avec pi-hole on peut monitorer les requêtes.)

dans tous les cas ça dépend de tes réglages - ou absence de réglage.

Hors ligne

#27 Le 27/04/2024, à 23:02

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

ok , alors voici ma capture de trame :

iznobe@iznobe-PC:~$ sudo tcpdump port 53 -w ~/capture.dump
tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
^C2 packets captured
2 packets received by filter
0 packets dropped by kernel
iznobe@iznobe-PC:~$ 

le dig sur l' autre terminal :

iznobe@iznobe-PC:~$ dig google.com

; <<>> DiG 9.18.18-0ubuntu0.22.04.2-Ubuntu <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3214
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.com.			IN	A

;; ANSWER SECTION:
google.com.		86	IN	A	142.250.201.174

;; Query time: 48 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sat Apr 27 23:36:01 CEST 2024
;; MSG SIZE  rcvd: 55

iznobe@iznobe-PC:~$

et le resultat obtenu lu par wireshark :

Frame 1: 101 bytes on wire (808 bits), 101 bytes captured (808 bits)
Ethernet II, Src: Micro-St_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: HuaweiDe_xx:xx:xx (xx:xx:xx:xx:xx:xx)
Internet Protocol Version 6, Src: fe80::xxxxxxxxxxx, Dst: fe80::16de:39ff:fe6a:e324
User Datagram Protocol, Src Port: 53688, Dst Port: 53
Domain Name System (query)

Du coup , comment je fais pour connaitre a quel serveur correspond l '  adresse IPV6 de destination ?
il contacte un serveur du nom de HuaweiDe_xx:xx:xx ?
les " xx " c ' est pour remplacer les adresses mac et adresses ipv6 .

Dernière modification par iznobe (Le 27/04/2024, à 23:38)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#28 Le 27/04/2024, à 23:31

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

meme procedure , en ayant pris soin de desactiver l' IPV6 dans la conf NM et je capture tous les ports pour tcpdump .
lecture par wireshark :

Frame 1: 380 bytes on wire (3040 bits), 380 bytes captured (3040 bits)
Ethernet II, Src: TTE_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: IPv4mcast_xx:xx:xx (xx:xx:xx:xx:xx:xx)
Internet Protocol Version 4, Src: 192.168.1.128, Dst: 239.255.255.250
User Datagram Protocol, Src Port: 55988, Dst Port: 1900
Simple Service Discovery Protocol

du coup il utilise pas de requete DNS .. et forcément on ne sait pas quel serveur le routeur 4G va contacter .

Un truc me chiffone quand meme , je vois adresse source 192.168.1.128 , pourtant ma carte reseau est configurée en IP fixe sur 192.168.1.2 .
ca ne me parait pas tres normal ...

iznobe@iznobe-PC:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether xx
    inet 192.168.1.2/24 brd 192.168.1.255 scope global noprefixroute enp2s0
...
iznobe@iznobe-PC:~$ 

Dernière modification par iznobe (Le 27/04/2024, à 23:33)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#29 Le 28/04/2024, à 07:02

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Les résolveurs sont interrogés dans l'ordre où ils ont été indiqués.
Dans la sortie de resolvectl en #25 pour l'interface Ethernet on a :

 80.67.169.12 80.67.169.40 fe80::16de:39ff:fe6a:e324%22063

Lors d'une requête 80.67.169.12 sera interrogé en premier, puis le second si le premier ne réponds pas, et ainsi de suite.

N.B. : La dernière adresse IPV6 est l'adresse de lien local de ta box (qui sert donc aussi de résolveur cache).

#30 Le 28/04/2024, à 07:26

FrancisFDZ

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Bonjour,
Une petite remarque en passant : il pourrait être intéressant pour ces recherches d'utiliser (en live par ex.) Kali linux, dérivé de ubuntu qui livre par défaut quantité de programmes liés à la maintenance de systèmes linux et qui du coup semble particulièrement bien adapté aux investigations en cours ici.

le wiki a écrit :

L'objectif de Kali Linux est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un système d'information, notamment le test d'intrusion

Mais pas que ...

Dernière modification par FrancisFDZ (Le 28/04/2024, à 07:29)


-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]

Hors ligne

#31 Le 28/04/2024, à 07:38

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

#27 : c'est une requête DNS dont les adresses sources et de destination sont des adresses IPV6 de lien local: ton ordinateur (src) et ta box (dst)

#28 : la trame que tu as récupéré ne correspond pas du tout à une requête DNS, c'est du SSDP

N.B. : il est inutile de masquer les adresses MAC et les adresses locals (fe80:*** par exemple). Et je ne comprends pas ce que tu essaies de voir avec tcpdump.

Dernière modification par bruno (Le 28/04/2024, à 07:48)

#32 Le 28/04/2024, à 09:52

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

j ' essaie de trouver quel serveur DNS utilise ma box ( mon routeur 4G en l'occurence ) .
Reflexion faite ( il me faut du temps parfois tongue ) , je me rends compte que comme la requete est envoyée de mon ordi , et que c' est elle que je capture , je ne pourrais jamais verifier quel serveur DNS mon routeur 4G utilise hmm
le seul moyen serait donc d ' avoir une connexion au routeur 4G en SSH , ou autre truc du genre , qui permette de faire des commandes , la GUI ne sert qu ' au parametres de base .
Là je pourrais capturer la trame que j' envoie de mon ordi , et voir où le routeur l ' envoie une fois qu ' il l ' a recue .

On en revient donc au point de depart , si je veux modifier les DNS de tout un reseau local , soit j ' utilise une box dont les DNS sont configurables , soit j ' utilise la methode qu ' a indiqué jplemoine , soit j' utilise une methode comme celle qu ' a indiquée krodelabestiole , ( je trouve que les 2 se ressemblent beaucoup d' ailleurs ) soit je me tape les configs a la main de plus de 60 machines ...


Cela mis à part , je ne vois toujours pas comment faire , si je veux installer un DOH sur ma machine .
il faut que j' utilise un " resolveur " DNS qui prend en charge le DOH , donc un autre que systemd.resolv , ca implique forcément des changements important dans la structure reseau .
Du coup je pense que soit j' abandonne cettte option , soit je me rabat sur le DOT , qui tout de meme lui est supporté par systemd.resolv .
C ' etait plus pour faire un test preliminaire de ce que je peux avoir besoin de faire à plus grande echelle et commencer " à mettre le nez " dedans .

Dernière modification par iznobe (Le 28/04/2024, à 10:00)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#33 Le 28/04/2024, à 10:19

jplemoine

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

iznobe a écrit :

soit je me tape les configs a la main de plus de 60 machines ...

A voir la possibilité de passer par Ansible / AWX, c'est un peu galère au début pour tout mettre en place mais après c'est un bonheur...
Je l'utilise en pro avec un lien vers un git pour y stocker les playbooks et en perso de manière plus basique.
Pour la VM Ubuntu 24.04 (à intégrer dans le système de compilation automatique) :
- installation basique du système
- lancement d'un 1er playbook qui utilise mon utilisateur pour créer l'utilisateur Ansible
- lancement de 2 ou 3 playbook construits par mes soins, avec l'utilisateur créé au point précédent, pour configurer la machine :
   - installation des paquets adéquats
   - compilation (au sens large) d'un logiciel libre auquel je contribue.
- modification de 2 ou 3 scripts sur le système hôte pour prendre en charge la nouvelle version

Mise en place totale : moins d'1h.

Dernière modification par jplemoine (Le 28/04/2024, à 10:25)


Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

Hors ligne

#34 Le 28/04/2024, à 11:45

bruno

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

iznobe a écrit :

soit je me tape les configs a la main de plus de 60 machines

C'est donc une utilisation professionnelle, non ?
Dans ce cas il vaut mieux utiliser si possible une connexion filaire si possible et un FAI pro. D'autant qu'avec autant de périphériques tu dois être à la limite des capacités théoriques de ta box 4G.

#35 Le 28/04/2024, à 14:20

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

iznobe a écrit :

je trouve que les 2 se ressemblent beaucoup d' ailleurs

oui, c'est la même.


c'est sûr que si tu as autant de machines ça vaut le coup "d'investir" un minimum.
c'est à dire au grand minimum dans un routeur digne de ce nom, idéalement compatible dd-wrt ou openwrt.
ou dans un raspberry, auquel on trouve toujours une utilité, à moins d'avoir une bonne freebox qui est un routeur digne de ce nom et qui peut faire tourner des VM.

Hors ligne

#36 Le 28/04/2024, à 18:48

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

bruno a écrit :
iznobe a écrit :

soit je me tape les configs a la main de plus de 60 machines

C'est donc une utilisation professionnelle, non ?
Dans ce cas il vaut mieux utiliser si possible une connexion filaire si possible et un FAI pro. D'autant qu'avec autant de périphériques tu dois être à la limite des capacités théoriques de ta box 4G.

tout a fait . dans ce reseau local de toute maniere le wifi n ' est pas utilisé .

Le routeur 4G est utilisé uniquement a mon domicile . pas trop le choix , et encore je capte pas grand chose a 10 KM et avec une antenne , je suis ravitaillé par les corbeaux tongue
Sur les 2 autres resaux je suis avec une livebox orange . c ' est là que j' ai beaucoup de machines a gerer .

Pour le wifi tu remarqueras que je n ' y ai absolument pas fait allusion d' ailleurs .
oui , c' est de l ' ordre du pro sur les 2 resaux avec livebox , mais c' est un peu special . ce sont pas des ordis a proprement parler .
C ' est d ' autant plus galere a configurer et que j' aimerais plutot investir dans un routeur ou un appareil qui me permette de gerer le tout correctement . les livebox sont a fond , elles n' arrivent meme plus a attribuer des noms pour les machines ...
Sans parler des deconnexions du au fait que le reseau niveau lignes est completement pourri , deco a gogo , parfois je reste sans internet pendant plus de 4 jours , alors que je ne peux pas me permettre ne serait ce que quelques heures .
Bref , je passe les details .

j' hesite encore mais je pense que je vais me tourner vers un routeur et un abo starlink en residentiel .
ca ne m' enchante pas des masses roll , mais ca a l' avantage d ' etre robuste et moins cher qu ' un abonnement pro , avec moins de risques de deco tout en offrant des debits corrects bien superieur a ce qu ' offre orange ( 6 Mb/s en down ce moment ... )
Malheuresuement je ne peux pas encore avoir la fibre sur aucun des 3 emplacements .
D' apres mes calculs rapides , si je prend un routeur agregation , un abo ADSL et un routeur 4G pour remplacer en cas de defaillance de l' ADSL , ca me coutera le meme prix mais avec des tas de galere a confiurer et a mettre en place le shmilblik .
Avec ca , je place l' antenne , je connecte et basta .
En plus on peu choisir les DNS dans la config du routeur .

ca fait moinss de chose qu ' une box avec FAI classique : pas de telephone etc , mais je n' en ai pas vraiment l' utilité .
j' ai surtout besoin d ' avoir un acces internet stable sans fioriture qui fonctionne H24 .

openwrt et similaire , je connais , mais pas envie d ' y passer des heures .
y aquelques années , j ' avis tester ce genre de chose , c' est super bien dans un environement domestique , a condition d' avoir du temps devant soi pour la config .
il faut choisir un materiel compatible , y installer le firmware qui va bien et tout le tralala , sauf que je ne maitrise pas suffisament les differents aspects reseaux et je n' ai pas tellement le temps de m' investir dans ce genre de chose .
sinon ca fait longtemps que j' aurais franchis le pas .

Dernière modification par iznobe (Le 28/04/2024, à 18:59)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#37 Le 28/04/2024, à 18:57

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

iznobe a écrit :

c' est un peu special . ce sont pas des ordis a proprement parler .

à ce sujet (peut-être ?) fais gaffe au fait que les androids commerciaux n'utilisent par défaut pas les DNS choisis par la box, même en wifi / DHCP, mais ceux de google. je suppose que ça doit être la même pour iOS avec les DNS d'apple.

Hors ligne

#38 Le 28/04/2024, à 19:07

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

pas de wifi, je dois faire fausse route...

starlink apparemment 60ms de ping ça va.
apparemment orange a aussi une offre d'internet par satellite mais le ping est de 700ms. ça devient gênant pour des communications audio par exemple.

Hors ligne

#39 Le 28/04/2024, à 19:11

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

ce n' est pas de l' android non plus .
ce sont des bornes de paiement , avec CB et passerelle + serveur web et routeur VPN entre mon reseau local pour la majorité . wifi interdit donc .
Mais l ' acces internet  doit etre dispo H24 , ce qui n' est pas le cas actuellement du a de nombreux soucis avec le FAI .
l ' autre parti des " machines " connectées au reseau , ce sont des ordis , alarmes , enregistreur vidéos , cameras etc ...
pas facile de gerer ce genre d' appareil a la main au niveau des configs reseau .
Idealement un vrai routeur me parait etre indispensable , avec le choix des DNS . Ca fait deja une paire d' années que je cherche autre chose que de l' ADSL ( moisi ) .


EDIT : starlink , ce sont les satellites d' elon musk ... evidemment c n' est pas ce qui se fait de meiux au niveau liberte et open source . Mais je n' ai pas tellement choix sur les sites géographiques des infrastructures .
c' est ca , ou de l' ADSL + 4G pour avoir un truc fiable .

Dernière modification par iznobe (Le 28/04/2024, à 19:14)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#40 Le 28/04/2024, à 19:32

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

iznobe a écrit :

ADSL + 4G

dans ce cas l'idéal serait de s'orienter vers un routeur multi wan pour faire du load balancing.
mais il faudra te pencher un peu sur la techno des routeurs dans ce cas...

il y en a des pas trop chers (simples https://www.ldlc.com/fiche/PB00465624.html ou plus versatiles https://www.ldlc.com/fiche/PB00199981.html)

Hors ligne

#41 Le 28/04/2024, à 19:39

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

c ' est axactement ce a quoi je pensais . Mais j ' aurais toujours de debits de m..des roll pour le meme prix que les satellites .
Sans compter que sur un des 2 sites ( pro  on va dire ) , la 4G est quasiment inexistante hmm a l' exterieur du batiment . Alors si je met mon routeur 4G a l ' interieur ... je ne peux pas passer un coup de fil à l' interieur sans avoir des coupures .

Dernière modification par iznobe (Le 28/04/2024, à 19:43)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#42 Le 28/04/2024, à 20:18

krodelabestiole

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

pour la 4g tu peux chercher la position d'un pylône à proximité et installer une antenne directionnelle sur le toit (ou à la fenêtre), adaptée aux bandes de fréquences (il faut que ton routeur ait des prises SMA).
c'est ce que j'avais fait dans une maison perdue en auvergne et je pouvais streamer du 4k à 6 km du pylône.

si ton budget est très serré c'est probablement la meilleure solution.

Hors ligne

#43 Le 28/04/2024, à 23:05

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

c' est ce que j' ai chez moi actuellement .
Mais faut quand meme avouez que ce n' est pas des plus fiables tant en securité de l' acces au net que par rapport au débit de la connexion .
un abo 4G + le routeur 4G + l' antenne , la pose + le routeur load balancing + la location de la box + l ' abonnement ADSL , je doute que ce soit plus avantageux niveau tarif que l' abonnement residentiel satellite et l' antenne.
Sans parler du debit en 150 Mb/s en down et 15 Mb/s en up pour le satellite , et le fait que je n' ai rien a configurer avec le sat ( hors mis les serveurs DNS )  , j ' aurais juste l' antenne a poser au point le plus haut et faire passer le cable .


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#44 Le 02/05/2024, à 11:44

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Bonjour , voici les nouvelles finalement ...

je suis reparti sur une install toute fraiche de raspios bullseye version desktop minimal sur mon raspberry pi3b .
j ' y ai appliqué les reglages de bases dont je me sers actuellement ( avec " sudo raspi-config " ) , il y a une nouvelle option sur les dernieres ISOs , on peut choisir ( toujours avec raspi-config ) son manager reseau .
j ' ai changé celui par defaut pour le remplacer par Network-Manager .
Sauvegarder le tout et redemarrage .

ensuite j' ai créé un pont ( ca va interresser probablement @krodelabestiole ) entre le wifi en Access Point et la carte reseau filaire en " 3 " commandes :

https://www.raspberrypi.com/documentation/computers/configuration.html#use-your-raspberry-pi-as-a-network-bridge a écrit :

The following steps describe how to set up a network bridge on your Raspberry Pi to enable communication between wireless clients and the parent network.

First, create a network bridge interface:

sudo nmcli connection add type bridge con-name 'Bridge' ifname bridge0

Next, add your device’s Ethernet connection to the parent network to the bridge:

sudo nmcli connection add type ethernet slave-type bridge \
    con-name 'Ethernet' ifname eth0 master bridge0

Finally, add your wireless hotspot connection to the bridge. You can either add an existing hotspot interface or create a new one:

    If you have already created a wireless hotspot connection using the instructions above, add the existing interface to the bridge with the following command:

   

sudo nmcli connection modify 'Hotspot' master bridge0

    If you have not yet created a wireless hotspot connection, create a new interface and add it to the bridge with a single command, replacing the <hotspot-password> placeholder with a password of your choice:

   

sudo nmcli connection add con-name 'Hotspot' \
        ifname wlan0 type wifi slave-type bridge master bridge0 \
        wifi.mode ap wifi.ssid Hotspot wifi-sec.key-mgmt wpa-psk \
        wifi-sec.proto rsn wifi-sec.pairwise ccmp \
        wifi-sec.psk <hotspot-password>

Now that you’ve configured your bridge, it’s time to activate it. Run the following command to activate the bridge:

sudo nmcli connection up Bridge

And run the following command to start hosting your wireless network:

sudo nmcli connection up Hotspot

You can use the nmcli device command to verify that the bridge, Ethernet interface, and wireless hotspot interface are all active.

il faut aussi attribuer une IP fixe au pont , facile a faire en graphique via le NMetwork-Manager .
Il faut imperativement redemarrer pour que ca fonctionne , et encore , dans mon cas, j' ai du redemarrer 2 fois .

Bref , une fois le pont créer , j ' ai installé pihole en selectionnant le PONT comme interface de gestion , le reste de la config etant quasiment tout selectionné par defaut .
on redemarre a nouveau le pi .

Derniere etape , installer et configurer les DOH de FDN , j ' ai suivi cette page qui explique bien : https://docs.pi-hole.net/guides/dns/cloudflared/
avec une modification bien entendu , il suffit de remplacer les adresses de cloudfare par celle de FDN uniquement , lors de la creation du fichier " /etc/default/cloudflared " .

une fois le tout configuré un redemarrage , et à priori c' est tout bon .

on peut pas dire que ce soit aisé d' utiliser actuellement des DOH roll , encore moins pour que ca fonctionne pour tout les peripheriques d' un reseau local .
le paquet cloudfared reste cependant dispo pour plein de ditributions , il est donc possible de l' installer sur quasi n' importe quel ordi .


Un dernier changement perso , je dois modifier l' adresse des serveurs DNS de tout les peripheriques du reseau local

je passe donc en résolu , c' etait ce que je cherchais a faire dans cette discussion .
Merci à tous big_smile

PS : Pour les 2 autres reseaux ( chez orange actuellement ) je reflechis encore et verrai quand j ' aurais changé de FAI .

Dernière modification par iznobe (Le 21/05/2024, à 19:07)


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#45 Le 21/05/2024, à 19:09

iznobe

Re : [ resolu ] configuration DNS Over HTTPS avancée sur un resau local

Bonjour , juste pour préciser que les routeurs " dernières génération " comme le TPLINK Archer C6 et version supérieure , sont bien plus performant qu ' un pi , et qu ' une box de FAI , bien que ceux-ci ont enfin compris ( pas tous ) que tenir leur matériel à jour est tout de même important , pour les utilisateur , pour les failles de sécurité et pour les performances bien sur !

Et il est possible d' activer les DOH de cloudflare en cliquant une simple case , et meme d' y installer un firmware openwrt ( bon ca fait peter la garantie evidemment et le support n' est pas pris en charge big_smile ) .


retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne