mettre en place mon propre serveur DNS [Réglé]
J'ai suivi le tuto, mais je rencontre quelques difficultés
Système et matériels / Réseau Internet Wi-Fi
joel Membre non connecté
J'ai tenté de mettre en pratique ce tuto : https://wiki.mageia.org/en/Cache_et_r%C3%A9solveur_DNS_local_Unbound-fr
"Cette page vous permettra de mettre en place votre propre serveur DNS, sécurisé par DNSSEC, avec un cache local pour accélérer la résolution des noms de domaine et avec des DNS tiers respectueux de votre privée."
J'ai donc modifié /etc/unbound/unbound.conf ainsi :
Caché :
server:
pidfile: "/run/unbound/unbound.pid"
verbosity: 1
do-ip6: no
root-hints: root.hints
qname-minimisation: yes
# Do not query the following addresses. No DNS queries are sent there.
# List one address per entry. List classless netblocks with /size,
# do-not-query-address: 127.0.0.1/8
# do-not-query-address: ::1
# if yes, the above default do-not-query-address entries are present.
# if no, localhost can be queried (for testing and debugging).
do-not-query-localhost: no
auto-trust-anchor-file: root.key
# pour accéder à l'interface bbox https://mabbox.bytel.fr/index.html
local-data: "mabbox.bytel.fr. IN A 192.168.1.254"
# Remote control config section.
remote-control:
# Enable remote control with unbound-control(8) here.
# set up the keys and certificates with unbound-control-setup.
control-enable: no
# Forward zones
# Create entries like below, to make all queries for 'example.com' and
# 'example.org' go to the given list of servers. These servers have to handle
# recursion to other nameservers. List zero or more nameservers by hostname
# or by ipaddress. Use an entry with name "." to forward all queries.
# If you enable forward-first, it attempts without the forward if it fails.
# forward-zone:
# name: "example.com"
# forward-addr: 192.0.2.68
# forward-addr: 192.0.2.73@5355 # forward to port 5355.
# forward-first: no
# forward-zone:
# name: "example.org"
# forward-host: fwd.example.com
forward-zone:
name: "."
#forward-addr: 127.0.0.1@40
#forward-addr: 127.0.0.1@41
## DNS de fdn.fr
forward-addr: 80.67.169.12
forward-addr: 80.67.169.40
## DNS de dns.watch
forward-addr: 84.200.69.80
forward-addr: 84.200.70.40
forward-first: no
pidfile: "/run/unbound/unbound.pid"
verbosity: 1
do-ip6: no
root-hints: root.hints
qname-minimisation: yes
# Do not query the following addresses. No DNS queries are sent there.
# List one address per entry. List classless netblocks with /size,
# do-not-query-address: 127.0.0.1/8
# do-not-query-address: ::1
# if yes, the above default do-not-query-address entries are present.
# if no, localhost can be queried (for testing and debugging).
do-not-query-localhost: no
auto-trust-anchor-file: root.key
# pour accéder à l'interface bbox https://mabbox.bytel.fr/index.html
local-data: "mabbox.bytel.fr. IN A 192.168.1.254"
# Remote control config section.
remote-control:
# Enable remote control with unbound-control(8) here.
# set up the keys and certificates with unbound-control-setup.
control-enable: no
# Forward zones
# Create entries like below, to make all queries for 'example.com' and
# 'example.org' go to the given list of servers. These servers have to handle
# recursion to other nameservers. List zero or more nameservers by hostname
# or by ipaddress. Use an entry with name "." to forward all queries.
# If you enable forward-first, it attempts without the forward if it fails.
# forward-zone:
# name: "example.com"
# forward-addr: 192.0.2.68
# forward-addr: 192.0.2.73@5355 # forward to port 5355.
# forward-first: no
# forward-zone:
# name: "example.org"
# forward-host: fwd.example.com
forward-zone:
name: "."
#forward-addr: 127.0.0.1@40
#forward-addr: 127.0.0.1@41
## DNS de fdn.fr
forward-addr: 80.67.169.12
forward-addr: 80.67.169.40
## DNS de dns.watch
forward-addr: 84.200.69.80
forward-addr: 84.200.70.40
forward-first: no
Arrivé à
[root@localhost ~ 12-07-2021 13:56] # systemctl restart network
Job for network.service failed because the control process exited with error code.
See "systemctl status network.service" and "journalctl -xe" for details.
=>
$ systemctl status network.service
Caché :
● network.service - LSB: Bring up/down networking
Loaded: loaded (/etc/rc.d/init.d/network; generated)
Active: failed (Result: exit-code) since Mon 2021-07-12 14:13:58 CEST; 3min 38s ago
Docs: man:systemd-sysv-generator(8)
Process: 1404944 ExecStart=/etc/rc.d/init.d/network start (code=exited, status=1/FAILURE)
CPU: 4.140s
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/all/accept_source_rou>
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/default/accept_source>
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/all/promote_secondari>
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/default/promote_secon>
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Control process exited, code=exited, status>
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Failed with result 'exit-code'.
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Unit process 2232 (ifplugd) remains running>
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Unit process 2295 (dhclient) remains runnin>
juil. 12 14:13:58 localhost.localdomain systemd[1]: Failed to start LSB: Bring up/down networking.
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Consumed 4.140s CPU time.
Loaded: loaded (/etc/rc.d/init.d/network; generated)
Active: failed (Result: exit-code) since Mon 2021-07-12 14:13:58 CEST; 3min 38s ago
Docs: man:systemd-sysv-generator(8)
Process: 1404944 ExecStart=/etc/rc.d/init.d/network start (code=exited, status=1/FAILURE)
CPU: 4.140s
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/all/accept_source_rou>
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/default/accept_source>
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/all/promote_secondari>
juil. 12 14:13:58 localhost.localdomain systemd-sysctl[1405426]: Not setting net/ipv4/conf/default/promote_secon>
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Control process exited, code=exited, status>
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Failed with result 'exit-code'.
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Unit process 2232 (ifplugd) remains running>
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Unit process 2295 (dhclient) remains runnin>
juil. 12 14:13:58 localhost.localdomain systemd[1]: Failed to start LSB: Bring up/down networking.
juil. 12 14:13:58 localhost.localdomain systemd[1]: network.service: Consumed 4.140s CPU time.
$ journalctl -xe
Caché :
░░ L'unité (unit) packagekit.service a terminé son démarrage, avec le résultat done.
juil. 12 14:15:56 localhost.localdomain audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 msg='>
juil. 12 14:15:56 localhost.localdomain kernel: audit: type=1130 audit(1626092156.806:436): pid=1 uid=0 auid=429>
juil. 12 14:15:57 localhost.localdomain PackageKit[1406606]: search-file transaction /422_bebaaedd from uid 1000>
lines 1278-1316/1316 (END)
juil. 12 14:15:56 localhost.localdomain audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 msg='>
juil. 12 14:15:56 localhost.localdomain kernel: audit: type=1130 audit(1626092156.806:436): pid=1 uid=0 auid=429>
juil. 12 14:15:57 localhost.localdomain PackageKit[1406606]: search-file transaction /422_bebaaedd from uid 1000>
lines 1278-1316/1316 (END)
Ensuite, je fais les tests proposés :
https://www.dnsleaktest.com/results.html me dit que le changement de dns a été pris en compte
Par contre, https://en.internet.nl/connection/02c5580763d742f189ae55aaddae2eba/results me répond :
" Too bad! Domain signatures (DNSSEC) are not validated for you. Therefore you are not protected against manipulated translation from signed domains into rogue IP addresses. Please ask your internet provider for DNSSEC validation and/or enable it on your own systems. "
Par ailleurs, je ne peux plus accéder à l'interface de ma box :
"Impossible de se connecter au serveur à l’adresse mabbox.bytel.fr."
J'ai vérifié le tuto à plusieurs reprises, mais je ne vois pas ce qui cloche.
Qui peut m'aider ?
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
joel Membre non connecté
zatox :
Bonjour, quand tu passes la souris sur l'icône du wifi est-ce qu'il te donne bien DNS: 127.0.0.1 ?
Bonjour zatox,
Je ne suis pas en wifi, je suis en ethernet.
Mais, non, j'ai DNS : 192.168.1.254
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Je suppose que comme unbound est dns local, on devrait voir 127.0.0.1 (ou ::1 pour l' ipv6). Pour la carte filaire, elle est en dhcp ou en ip fixe ?
joel Membre non connecté
nic80 :
Pour la carte filaire, elle est en dhcp ou en ip fixe ?
Je dirai ip fixe, mais comment le vérifier ?
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Je ne suis pas devant un pc, donc impossible de vérifier pour le moment, mais il me semble qu' en double cliquant sur net-applet, on peut configurer le réseau (donc la connexion). C' est peut être à ce niveau là ?
Sinon peut être qu' un
cat /etc/sysconfig/network-scripts/ifcfg-nomdelinterface doit retourner quelque chose comme "static".
Ici le 192.168.1.254 doit être l' adresse de la box, on peut donc supposer que ce dns est récupéré parce que fourni par le serveur dhcp.
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
En fait, c'est indépendant que l'IP soit fixe ou DCHP.
C'est le fait de ne pas utiliser les serveurs DNS de ton FAI, mais unbound sur 127.0.0.1 (comme le disent nic80 et zatox) qui fait la différence.
Je pense que tu as sauté l'étape de paramétrage de Drakconnect:
https://wiki.mageia.org/en/Cache_et_r%C3%A9solveur_DNS_local_Unbound-fr#Changement_de_DNS_dans_Drakconnect
Il faut bien que tu décoches "Récupérer les serveurs DNS du serveur DCHP" et que tu entres 127.0.0.1 dans le champs du serveur DNS.
L'alerte DNSSEC vient du fait que tu utilises encore le DNS de Bouygues.
Bravo, de ce que j'en vois, tu as bien configurer unbound.conf pour aller chercher directement ta box.
Je pense que tout tes soucis vont se résoudre avec la modification de Drakconnect plus haut.
Si soucis, n'hésite pas les poster.
A+
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Petit hors sujet ...
Je viens de survoler le wiki.
Sur cette phrase "Cette liste change peu souvent et il est quand même avisé de la rafraichir tous les mois.", le "et" ne devrait pas être remplacé par un "mais" ?
edit: oui je sais que je pourrais le faire moi même si je faisais la démarche de demander les droits
Édité par nic80 Le 12/07/2021 à 20h53
joel Membre non connecté
squid-f :
Il faut bien que tu décoches "Récupérer les serveurs DNS du serveur DCHP" et que tu entres 127.0.0.1 dans le champs du serveur DNS.
Il faut bien que tu décoches "Récupérer les serveurs DNS du serveur DCHP" et que tu entres 127.0.0.1 dans le champs du serveur DNS.
Non, non, c'est bien ce que j'ai fait, dans net-applet.
Par contre, j'ai laissé coché "Attribution automatique de l'adresse IP"
Est-ce que cela a une incidence ?
squid-f :
L'alerte DNSSEC vient du fait que tu utilises encore le DNS de Bouygues.
Pourtant, https://www.dnsleaktest.com/results.html me donne bien les DNS de FDN...
Il doit y avoir autre chose...
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
nic80 :
Sur cette phrase "Cette liste change peu souvent et il est quand même avisé de la rafraichir tous les mois.", le "et" ne devrait pas être remplacé par un "mais" ?
Sur cette phrase "Cette liste change peu souvent et il est quand même avisé de la rafraichir tous les mois.", le "et" ne devrait pas être remplacé par un "mais" ?
Salut nic80
J'achète. Je fais la modif
N'hésite pas à me faire passer toute idée d'amélioration.
A+
PS: je vais regarder la version anglaise aussi
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
joel :
Par contre, j'ai laissé coché "Attribution automatique de l'adresse IP"
Est-ce que cela a une incidence ?
Est-ce que cela a une incidence ?
Euh ... oui moi aussi j'ai laissé ça en l'état, j'ai simplement décoché "Récupérer les serveurs DNS depuis le serveur DHCP" et en face de serveur DNS 1 j'ai saisi: 127.0.0.1
Bon si c'est comme ça chez toi, alors je ne sais pas ...
Euh ... juste un petit truc qui peut paraître idiot, mais il me semble que tu as dit que tu étais connecté en Ethernet, donc en cliquant sur l'icône net-applet tu as la possibilité de paramétrer soit la liaison filaire soit la liaison wifi. Tu paramètres bien la bonne liaison ?! désolé de poser cette question mais des fois les trucs les plus simples sont ceux que l'on peut oublier.
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Le résultat de DNSSEC indique pourtant que c’est le dns de Bouygues qui est utilisé.
Tu dis aussi que net_applet indique DNS : 192.168.1.254
Ces 2 informations font penser que c’est toujours le DNS de Bouygues qui est actif.
Est-ce que 127.0.0.1 est bien retourné par :
Code BASH :
cat /etc/resolv.conf
Que retourne :
Code BASH :
systemctl status unbound
La question de zatox est intéressante aussi.
Tu peux laisser cocher "Attribution automatique de l'adresse IP"
A+
Édit: tu as mis dans ton unbound.conf :
do-not-query-localhost: no
J’indique plutôt
do-not-query-localhost: yes
dans le tuto.
As-tu fait ce changement pour une raison particulière ?
Édité par squid-f Le 12/07/2021 à 23h56
joel Membre non connecté
zatox :
Euh ... juste un petit truc qui peut paraître idiot, mais il me semble que tu as dit que tu étais connecté en Ethernet, donc en cliquant sur l'icône net-applet tu as la possibilité de paramétrer soit la liaison filaire soit la liaison wifi. Tu paramètres bien la bonne liaison ?!
Euh ... juste un petit truc qui peut paraître idiot, mais il me semble que tu as dit que tu étais connecté en Ethernet, donc en cliquant sur l'icône net-applet tu as la possibilité de paramétrer soit la liaison filaire soit la liaison wifi. Tu paramètres bien la bonne liaison ?!
Je n'ai pas de wifi. Ethernet est la seule liaison proposée par net-applet...
zatox :
désolé de poser cette question mais des fois les trucs les plus simples sont ceux que l'on peut oublier.
Non, tu as raison de poser la question. C'est bien le genre d'erreur que j'aurai pu faire...
joel Membre non connecté
Bonjour squid,
squid-f :
Est-ce que 127.0.0.1 est bien retourné par :
Code BASH :
cat /etc/resolv.conf
Je viens de le modifier ainsi :
Code BASH :
#nameserver 80.67.169.12 #nameserver 80.67.169.40 #nameserver 192.168.1.254 nameserver 127.0.0.1 search lan
(j'ai laissé search lan : est-ce que cela a une importance ?)
Puis j'ai redémarré l'interface réseau :
Code BASH :
[root@localhost ~ 13-07-2021 07:04] # systemctl restart network Job for network.service failed because the control process exited with error code. See "systemctl status network.service" and "journalctl -xe" for details.
Code BASH :
[root@localhost ~ 13-07-2021 07:05] # lsof -i :53 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME unbound 1391992 unbound 3u IPv4 6648901 0t0 UDP localhost:domain unbound 1391992 unbound 4u IPv4 6648902 0t0 TCP localhost:domain (LISTEN) [root@localhost ~ 13-07-2021 07:12] #
Mais ça ne change rien : ni pour DNSSEC, ni pour l'accès à https://mabbox.bytel.fr/
squid-f :
Que retourne :
Code BASH :
systemctl status unbound
Code BASH :
$ systemctl status unbound
● unbound.service - Unbound DNS Resolver
Loaded: loaded (/usr/lib/systemd/system/unbound.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2021-07-12 13:53:29 CEST; 17h ago
Main PID: 1391992 (unbound)
Tasks: 1 (limit: 28643)
Memory: 6.5M
CPU: 45ms
CGroup: /system.slice/unbound.service
└─1391992 /usr/sbin/unbound -c /etc/unbound/unbound.conf
juil. 12 13:53:29 localhost.localdomain systemd[1]: Started Unbound DNS Resolver.
juil. 12 13:53:29 localhost.localdomain unbound[1391992]: [1391992:0] notice: init module 0: validator
juil. 12 13:53:29 localhost.localdomain unbound[1391992]: [1391992:0] notice: init module 1: iterator
juil. 12 13:53:29 localhost.localdomain unbound[1391992]: [1391992:0] info: start of service (unbound 1.13.0).
juil. 13 07:05:07 localhost.localdomain unbound[1391992]: [1391992:0] info: generate keytag query _ta-4f66. NULL>
lines 1-15/15 (END)squid-f :
La question de zatox est intéressante aussi.
Tu peux laisser cocher "Attribution automatique de l'adresse IP"
Tu peux laisser cocher "Attribution automatique de l'adresse IP"
OK
squid-f :
Édit: tu as mis dans ton unbound.conf :
do-not-query-localhost: no
J’indique plutôt
do-not-query-localhost: yes
dans le tuto.
As-tu fait ce changement pour une raison particulière ?
do-not-query-localhost: no
J’indique plutôt
do-not-query-localhost: yes
dans le tuto.
As-tu fait ce changement pour une raison particulière ?
Et bien, dans /etc/unbound/unbound.conf, je lis :
" # if yes, the above default do-not-query-address entries are present.
# if no, localhost can be queried (for testing and debugging)."
Traduction deepl (parce que je n'ai jamais appris l'anglais):
" # si oui, les entrées par défaut do-not-query-address ci-dessus sont présentes.
# si non, localhost peut être interrogé (pour les tests et le débogage)."
J'ai néanmoins mis :
"do-not-query-localhost: yes"
et redémarré l'interface réseau, mais ça ne change toujours rien...
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Après modification de unbound.conf, il faut redémarrer le service unbound en root par
Code BASH :
systemctl restart unbound
Ton fichier /etc/resolv.conf est étrange. Il ne devrait pas y avoir tous ces dns alternatifs et 127.0.0.1 aurait dû être ajouté automatiquement suite à la modification par drakconnect / net_applet.
do-not-query-localhost:no est une fonction de déboggage. Je ne l’ai pas essayée mais cela doit être à yes en production.
Avais-tu modifié manuellement /etc/resolv.conf avant l’installation de unbound ?
Le fait que network soit en erreur est aussi étrange. Bien que cela fonctionne sans pour zatox et je suspecte que, pour lui, c’est antérieur à l’installation de unbound.
Est-ce que tu as essayé d’installer NetworkManager à un moment ?
Pour essayer de comprendre, est-ce possible que tu postes une copie d’écran de la configuration ethernet de net_applet ?
Désolé pour toutes ces questions mais ta configuration est étrange et j’essaye de comprendre. De multiples installations de unbound sous Mageia ont été faites et sont fonctionnelles. Donc, il y a quelque chose de spécifique chez toi.
A+
Edit: test additionnel que je vais ajouter au tuto pour connaitre le DNS utilisé dans les requêtes.
Si tu exécutes :
Code BASH :
dig mageia.orgest-ce que vers la fin du résultat tu vois
;; SERVER: 127.0.0.1#53(127.0.0.1)
ce qui est normal avec unbound
ou est-ce que tu vois
;; SERVER: 192.168.1.254#53(192.168.1.254)
qui indique que c'est le DNS de ton FAI via la box qui est utilisé.
Édité par squid-f Le 13/07/2021 à 09h23
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie