mettre en place mon propre serveur DNS [Réglé]
J'ai suivi le tuto, mais je rencontre quelques difficultés
Système et matériels / Réseau Internet Wi-Fi
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Reprise du message précédent
Bon, on va passer en DoT.Le fichier /etc/unbound/unbound.conf devient :
Code BASH :
server:
pidfile: "/run/unbound/unbound.pid"
verbosity: 3
val-log-level: 4
root-hints: "/etc/unbound/root.hints"
auto-trust-anchor-file: "/etc/unbound/root.key"
do-daemonize: no
# Activate DNS Over TLS
tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"
## DnsSpoof
local-data: "mafreebox.freebox.fr. IN A 192.168.1.254"
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 2001:910:800::12@853#ns0.fdn.fr
forward-addr: 80.67.169.40@853#ns1.fdn.fr
forward-addr: 194.242.2.2@853#dns.mullvad.net
forward-addr: 116.202.176.26@853#dot.libredns.gr
forward-addr: 2a01:4f8:1c0c:8274::1@853#dot.libredns.gr
forward-addr: 2001:910:800::40@853#ns1.fdn.fr
forward-addr: 80.67.169.12@853#ns0.fdn.fr
il faut vérifier que le fichier /etc/ssl/certs/ca-certificates.crt existe bien sous Mageia9
Code BASH :
ls -l /etc/ssl/certs/ca-certificates.crt
Sinon, il faudra localiser son dossier ou le générer.
Redémarrer les services unbound puis NetworkManager (avec la configuration appropriée des DNS 127.0.0.1, et ::1 le cas échéant)
Tu n'as pas redémarré ta machine depuis le 8/12 je pense. Ce n'est pas une obligation mais cela peut permettre d'avoir un log moins gros.
Pour tester, stp :
Code BASH :
dig garudalinux.org SOA +dnssec
joel Membre non connecté
squid-f :il faut vérifier que le fichier /etc/ssl/certs/ca-certificates.crt existe bien sous Mageia9
Code BASH :ls -l /etc/ssl/certs/ca-certificates.crt
Sinon, il faudra localiser son dossier ou le générer.
J'ai 2 fichiers ca-certificates.crt dans /var/lib/flatpak/
Que doit-il contenir ?
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Visiblement le /etc/ssl/certs/ca-certificates.crt n' existe pas. Je suppose que son équivalent est ca-bundle.crt et/ou ca-bundle.trust.crt, un lien symbolique est peut être nécessaire ln -s /etc/ssl/certs/ca-bundle.crt /etc/ssl/certs/ca-certificates.crt ?
edit: je suppose qu' en principe cela sert à la validation du serveur dns, le fichier de certificats doit donc contenir le certificat de l' autorité ssl utilisé par ce dernier ( ici let's encrypt /ISRG Root X1 visiblement)
edit 2:
Citation :cat /etc/ssl/certs/ca-bundle.trust.crt | grep -i isrg
# ISRG Root X1
# ISRG Root X2
cat /etc/ssl/certs/ca-bundle.crt | grep -i isrg
# ISRG Root X1
# ISRG Root X2
Édité par nic80 Le 14/12/2025 à 09h44
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Donc, @joel, change juste le nom du fichier de certificats dans /etc/unbound/unbound.conf
tls-cert-bundle: "/etc/ssl/certs/ca-bundle.crt"
joel Membre non connecté
squid-f :Bon, on va passer en DoT.
Le fichier /etc/unbound/unbound.conf devient :
OK
squid-f :Donc, @joel, change juste le nom du fichier de certificats dans /etc/unbound/unbound.conf
tls-cert-bundle: "/etc/ssl/certs/ca-bundle.crt"
OK
squid-f :Redémarrer les services unbound puis NetworkManager (avec la configuration appropriée des DNS 127.0.0.1, et ::1 le cas échéant)
OK
squid-f :Tu n'as pas redémarré ta machine depuis le 8/12 je pense. Ce n'est pas une obligation mais cela peut permettre d'avoir un log moins gros.
OK, si j'ai à nouveau un problème, je redémarrerai au préalable...
squid-f :Pour tester, stp :
Code BASH :dig garudalinux.org SOA +dnssec
Code TEXT :
; <<>> DiG 9.18.39 <<>> garudalinux.org SOA +dnssec ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29313 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 1232 ;; QUESTION SECTION: ;garudalinux.org. IN SOA ;; ANSWER SECTION: garudalinux.org. 1800 IN SOA kirk.ns.cloudflare.com. dns.cloudflare.com. 2391102668 10000 2400 604800 1800 garudalinux.org. 1800 IN RRSIG SOA 13 2 1800 20251215105418 20251213085418 34505 garudalinux.org. hNYmp/Bql1K9bhsTM9Sjhq235r/59P2Ywb+Jnq3+ekTgUaacPeNBT4bz 07nhl6oAXFMphwmIS0uc6bbXROECBA== ;; Query time: 192 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) ;; WHEN: Sun Dec 14 10:54:18 CET 2025 ;; MSG SIZE rcvd: 217
Et c'est bon, la connexion fonctionne
Par contre, https://www.dnsleaktest.com/ me dit :
Code TEXT :
IP Hostname ISP Country 116.202.176.26 libredns.gr. Hetzner Online Nuremberg, Germany 213.36.12.2 None Free SAS Saint-Ouen, France 213.36.12.9 None Free SAS Saint-Ouen, France 80.67.169.16 resolver0.fdn.fr. Association Gitoyen Paris, France
et je ne comprends pas pourquoi j'ai toujours des DNS appartenant à Free...
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Si la résolution DNS passe par les root server, la machine vue sera celle où unbound est installée et son adresse IP sera visible comme DNS avec son FAI.
Par contre, là, il y a 2 IP free différentes. Si tu n'as pas une IP fixe publique, c'est peut être possible mais je n'ai jamais eu l'occasion de voir cela (jusqu'à présent ?).
La résultat de la commande dig indique :
joel :;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
Donc, la résolution a bien été réalisée par Unbound.
Poste le journal ici pour voir si on plus d'informations.
Il faudrait repasser à 1, verbosity et var-log-level pour éviter de faire grossir rapidement le journal.
A ce stade, sans que je sois catégorique, redémarrer la machine pourrait refaire partir d'une base nettoyée de ses caches éventuels.
Edit: : tu peux aussi lancer DNS leak test depuis 2 navigateurs différents pour voir s'il y a une différence. La.configuration d'accès internet de ton navigateur n'a pas été changée et ne contient pas les DNS de Free ?
Édité par squid-f Le 14/12/2025 à 15h07
joel Membre non connecté
IP Hostname ISP Country
80.67.169.16 resolver0.fdn.fr. Association Gitoyen Paris, France
80.67.169.17 resolver1.fdn.fr. Association Gitoyen Paris, France
et ceci, aussi bien dans Firefox que dans Ungoogeled Chromium
Tout est donc en ordre.
Merci beaucoup pour ta patience et ta compétence, squid-f
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
As-tu repassé verbosity et var-log-level à 1 pour ménager la taille du journal ?
joel Membre non connecté
squid-f :
As-tu repassé verbosity et var-log-level à 1 pour ménager la taille du journal ?
Je ne l'avais pas fait, je viens donc de le faire, puis :
# systemctl restart unbound
# systemctl restart networkmanager
Et voici le journal journal-unbound3.txt
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie