Questions sur l'installation et la configuration de Manjaro Linux.
Répondre

DNS over TSL + dnsmasq

#1Messageil y a 4 ans

Bonsoir,

j'achoppe sur la config de dnsmasq pour m'en servir de cache DNS avec Stubby.
Installation et stubby + config de resolv.conf => pas de problème particulier 100% fonctionnel toutes mes requêtes DNS sont chiffrés (j'ai vérifié avec wireshark).
Stubby n'embarque pas de cache dns, donc chaque nouvelle requête va interroger le serveur ce qui peut créer des lenteurs !

Bref j'ai pas bien compris le wiki d'arch (en bas de page : https://wiki.archlinux.org/index.php/Stubby) qui a priori semble simple sauf que chez moi ça fait plus de connexion zero nada nitch kaput ...

Je suis reparti à partir d'une autre page du wiki d'arch https://wiki.archlinux.org/index.php/Dnsmasq ... et là je suis un peu perdu !

1- Avez-vous une config fonctionnelle stubby+dnsmasq ?
2- Avez-vous un tuto plus clair que ces 2 là ou pouvez-vous mieux m'expliquer commenta faire
3- pas grave je reste sans cache dns

merci
PS en échange je peux vous tutoriser la partie dns over tsl .... sans cache dns :siffle

DNS over TSL + dnsmasq

#2Messageil y a 4 ans

Salut,
Gillles a écrit : il y a 4 ans
Bref j'ai pas bien compris le wiki d'arch (en bas de page : https://wiki.archlinux.org/index.php/Stubby) qui a priori semble simple sauf que chez moi ça fait plus de connexion zero nada nitch kaput ...
Tu as bien déclaré le port 53000 dans ton fichier /etc/stubby/stubby.yml ?

listen_addresses:
  - 127.0.0.1@53000
  -  0::1@53000
Tu peux contrôler l'état de tes services pour voir s'ils ne déclarent pas d'erreur :

systemctl status stubby.service

systemctl status dnsmasq.service
Et ne pas oublier qu'à chaque fois qu'on modifie un fichier de configuration, pour que les modifs soient pris en compte, utiliser reload :

systemctl reload stubby.service

pour Stubby par exemple, arrêter et redémarrer le service ne servira à rien dans ce cas.

DNS over TSL + dnsmasq

#3Messageil y a 4 ans

Merci pour ton intervention ça m'a permis d'aller relire ce que j'avais tapé ... et je me suis emmêler les pinceaux dans le dnsmasq.conf, j'avais modifié le port d'écoute de dnsmasq également du coup conflit ... l'erreur est encore dans mon fichier de config (mais commentée)

# Listen on this specific port instead of the standard DNS port
# (53). Setting this to zero completely disables DNS function,
# leaving only DHCP and/or TFTP.
# [color=#FF0000]port=5300[/color] 
Bon ben ça roule je suis assez content de moi :bien:siffle

Ce n'est pas bien compliqué :
1- /etc/resolv.conf :

# Generated by NetworkManager
search home linux-1.home
nameserver 127.0.0.1
nameserver ::1
# NOTE: the libc resolver may not support more than 3 nameservers.
# The nameservers listed below may not be recognized.
2-installer stubby et configuer stubby.yml (/etc/stubby)
je me suis aidé de
https://wiki.archlinux.org/index.php/Stubby
https://stafwag.github.io/blog/blog/201 ... -gnulinux/ <= vraiment clair
https://dnsprivacy.org/wiki/display/DP/ ... st+Servers (liste des serveurs DNS)
https://forums.torguard.net/index.php?/ ... c-caching/ un aute site que pour les serveurs

Attention quand même au choix du serveur de DNS, plus il est loin (Inde, Japon, USA ...) plus votre requête doit voyager et donc ça prend plus de temps, et temps qu'a faire onen choisi un a but non lucratif et hors de Five Eyes, Nine Eyes, 14 Eyes

3- on complète avec dnsmasq

et pour vérifier que vos dns sont bien chiffrées wireshark https://wiki.archlinux.org/index.php/Wireshark

inconvénient ne fonctionne pas dans l'état avec un vpn

DNS over TSL + dnsmasq

#4Messageil y a 4 ans

J'utilise Unbound qui fait la même chose que Stubby+Dnsmasq, à part que j'utilise Cloudflare. Je m'en sers aussi pour filtrer les domaines à malware, il est aussi possible de le faire avec dnsmasq, j'ai un script qui met à jour la liste de blocage une fois par semaine.
Gillles a écrit : il y a 4 ans
et pour vérifier que vos dns sont bien chiffrées wireshark https://wiki.archlinux.org/index.php/Wireshark
Normalement, tu as des commandes, que je n'ai pas sous la main, avec dig et kdig, pour vérifier le fonctionnement de DNSSEC et de DNS Over TLS sans avoir à passer par un analyseur de traffic.

DNS over TSL + dnsmasq

#5Messageil y a 4 ans

Smurf a écrit : Normalement, tu as des commandes, que je n'ai pas sous la main, avec dig et kdig, pour vérifier le fonctionnement de DNSSEC et de DNS Over TLS sans avoir à passer par un analyseur de traffic.
ben si tu retrouve les commandes je suis preneur car wireshark n'est pas des plus simple ...

... En fait comme stubby et dnsmasq sont lancés par systemd, soit ça fonctionne et l'accès internet est fonctionnel soit bug dans la config et pas d'internet.
:siffle

DNS over TSL + dnsmasq

#6Messageil y a 4 ans

Gillles a écrit : il y a 4 ans ben si tu retrouve les commandes je suis preneur car wireshark n'est pas des plus simple ...
J'ai retrouvé celle pour DNSSEC :

dig dnssectest.sidn.nl 
Si tu as "ad" dans les flags, c'est bon :

;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
.
.. En fait comme stubby et dnsmasq sont lancés par systemd, soit ça fonctionne et l'accès internet est fonctionnel soit bug dans la config et pas d'internet.
:siffle
Ce n'est pas trop la question de systemd, qui ne fait que lancer les applis au démarrage, mais de savoir où chercher quand ça bugue. En général, systemctl status et journalctl permettent de récupérer des infos. J'ai utilisé dnsmasq seul pendant pas mal d'années, j'avais aussi eu des problèmes de config au début (c'était avant systemd). :sourire:

DNS over TSL + dnsmasq

#7Messageil y a 4 ans

DNS over TSL + dnsmasq

#8Messageil y a 4 ans

Gillles a écrit : il y a 4 anshttps://www.cloudflare.com/ssl/encrypted-sni/
pas plus compliqué il suffit d'appuyer sur le bouton
Si je décoche "DNS via HTTPS" dans les paramètres réseau de Firefox, j'ai droit à un point d'interrogation pour "Secure DNS", "Encrypted SNI" est en rouge, mais c'est normal, ça ne marche qu'avec DoH.
Merci d'avoir mentionné Cloudflare, j'ai retrouvé la ligne de commande sur cette page :

https://developers.cloudflare.com/1.1.1.1/dns-over-tls/

qui permet de vérifier le fonctionnement DNS over TLS sans navigateur.

kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
C'est bon, je devrais être en vert surla page de test Clouflare et non avoir ce point d'interrogation.

(kdig est fourni par le paquet knot)

DNS over TSL + dnsmasq

#9Messageil y a 4 ans

j'ai droit à un point d'interrogation pour "Secure DNS", "Encrypted SNI" est en rouge, mais c'est normal, ça ne marche qu'avec DoH.
idem
merci pour la commande
avec kdig j'ai la même réponse ... mais pas le même temps de réponse 12.6 :shock::shock: je suis a 41 ... (on parle de millisecondes :lol: )
Répondre