j'achoppe sur la config de dnsmasq pour m'en servir de cache DNS avec Stubby.
Installation et stubby + config de resolv.conf => pas de problème particulier 100% fonctionnel toutes mes requêtes DNS sont chiffrés (j'ai vérifié avec wireshark).
Stubby n'embarque pas de cache dns, donc chaque nouvelle requête va interroger le serveur ce qui peut créer des lenteurs !
Bref j'ai pas bien compris le wiki d'arch (en bas de page : https://wiki.archlinux.org/index.php/Stubby) qui a priori semble simple sauf que chez moi ça fait plus de connexion zero nada nitch kaput ...
1- Avez-vous une config fonctionnelle stubby+dnsmasq ?
2- Avez-vous un tuto plus clair que ces 2 là ou pouvez-vous mieux m'expliquer commenta faire
3- pas grave je reste sans cache dns
merci
PS en échange je peux vous tutoriser la partie dns over tsl .... sans cache dns
PC 1: GA-H97-HD3-Core i5 4690-RAM 12 Go-SSD Crucial BX100- 3 boots : Manjaro x64 KDE - W10 x64 pro pour tous les logiciels photos - Fedora 31 x64 KDE
PC2 : Dell Optiplex 755 intel core duo - SSD OCZ vertex2 Siduction lxde x64
Gillles a écrit : ↑il y a 4 ans
Bref j'ai pas bien compris le wiki d'arch (en bas de page : https://wiki.archlinux.org/index.php/Stubby) qui a priori semble simple sauf que chez moi ça fait plus de connexion zero nada nitch kaput ...
Tu as bien déclaré le port 53000 dans ton fichier /etc/stubby/stubby.yml ?
listen_addresses:
- 127.0.0.1@53000
- 0::1@53000
Tu peux contrôler l'état de tes services pour voir s'ils ne déclarent pas d'erreur :
systemctl status stubby.service
systemctl status dnsmasq.service
Et ne pas oublier qu'à chaque fois qu'on modifie un fichier de configuration, pour que les modifs soient pris en compte, utiliser reload :
systemctl reload stubby.service
pour Stubby par exemple, arrêter et redémarrer le service ne servira à rien dans ce cas.
Merci pour ton intervention ça m'a permis d'aller relire ce que j'avais tapé ... et je me suis emmêler les pinceaux dans le dnsmasq.conf, j'avais modifié le port d'écoute de dnsmasq également du coup conflit ... l'erreur est encore dans mon fichier de config (mais commentée)
# Listen on this specific port instead of the standard DNS port
# (53). Setting this to zero completely disables DNS function,
# leaving only DHCP and/or TFTP.
# [color=#FF0000]port=5300[/color]
Bon ben ça roule je suis assez content de moi
Ce n'est pas bien compliqué :
1- /etc/resolv.conf :
# Generated by NetworkManager
search home linux-1.home
nameserver 127.0.0.1
nameserver ::1
# NOTE: the libc resolver may not support more than 3 nameservers.
# The nameservers listed below may not be recognized.
Attention quand même au choix du serveur de DNS, plus il est loin (Inde, Japon, USA ...) plus votre requête doit voyager et donc ça prend plus de temps, et temps qu'a faire onen choisi un a but non lucratif et hors de Five Eyes, Nine Eyes, 14 Eyes
J'utilise Unbound qui fait la même chose que Stubby+Dnsmasq, à part que j'utilise Cloudflare. Je m'en sers aussi pour filtrer les domaines à malware, il est aussi possible de le faire avec dnsmasq, j'ai un script qui met à jour la liste de blocage une fois par semaine.
Normalement, tu as des commandes, que je n'ai pas sous la main, avec dig et kdig, pour vérifier le fonctionnement de DNSSEC et de DNS Over TLS sans avoir à passer par un analyseur de traffic.
Smurf a écrit :
Normalement, tu as des commandes, que je n'ai pas sous la main, avec dig et kdig, pour vérifier le fonctionnement de DNSSEC et de DNS Over TLS sans avoir à passer par un analyseur de traffic.
ben si tu retrouve les commandes je suis preneur car wireshark n'est pas des plus simple ...
... En fait comme stubby et dnsmasq sont lancés par systemd, soit ça fonctionne et l'accès internet est fonctionnel soit bug dans la config et pas d'internet.
PC 1: GA-H97-HD3-Core i5 4690-RAM 12 Go-SSD Crucial BX100- 3 boots : Manjaro x64 KDE - W10 x64 pro pour tous les logiciels photos - Fedora 31 x64 KDE
PC2 : Dell Optiplex 755 intel core duo - SSD OCZ vertex2 Siduction lxde x64
Gillles a écrit : ↑il y a 4 ans
ben si tu retrouve les commandes je suis preneur car wireshark n'est pas des plus simple ...
J'ai retrouvé celle pour DNSSEC :
dig dnssectest.sidn.nl
Si tu as "ad" dans les flags, c'est bon :
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
.
.. En fait comme stubby et dnsmasq sont lancés par systemd, soit ça fonctionne et l'accès internet est fonctionnel soit bug dans la config et pas d'internet.
Ce n'est pas trop la question de systemd, qui ne fait que lancer les applis au démarrage, mais de savoir où chercher quand ça bugue. En général, systemctl status et journalctl permettent de récupérer des infos. J'ai utilisé dnsmasq seul pendant pas mal d'années, j'avais aussi eu des problèmes de config au début (c'était avant systemd).
voila quels site et commande permettant de vérifier sa config :
https://dnssec.vs.uni-due.de/
1-il suffit de cliquer sur le bouton
2- plus bas dans la page 2 commandes à taper dans un terminal avec la réponse attendue
Si je décoche "DNS via HTTPS" dans les paramètres réseau de Firefox, j'ai droit à un point d'interrogation pour "Secure DNS", "Encrypted SNI" est en rouge, mais c'est normal, ça ne marche qu'avec DoH.
Merci d'avoir mentionné Cloudflare, j'ai retrouvé la ligne de commande sur cette page :