1. N'hésitez pas à vous enregistrer & participer à cette future communauté d'informaticiens, Geeks ou encore Sysadmin.
    Amateur ou confirmé, voir même professionnel, vous avez votre place ici et c'est avec la plus grande joie que vous nous accueillerons !

    Je m'enregistre ici
  2. Vous êtes blogueur et vos articles sont en relation avec l'administration des systèmes?
    Offrez leur une vue supplémentaire via le forum de ZoneAdmin !
    Comment faire? Simple,suivez l'article ici !

Tutoriel DNSCRYPT avec Unbound comme cache.

Discussion dans 'Anonymous / VPN' créé par gnuson, 11 Janvier 2016.

  1. gnuson

    gnuson Visiteur Dantooine Jeune padawan

    DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un resolveur DNS pour empecher l'usurpation DNS. Il utilise des signatures cryptographiques pour verifier que les réponses proviennent du resolveur DNS choisi et n'a pas ete altere.


    Le cote client de DNSCrypt est un proxy pour lequel les clients reguliers de DNS peuvent se connecter. Au lieu d'utiliser les parametres DNS de votre FAI, le proxy client traduit les requetes regulieres DNS dans les requetes DNS authentifies, les transmet e un serveur executant le serveur DNSCrypt proxy, verifie les reponses, et les transmet au client si elles semblent etre authentique.

    Installation pour Debian/Ubuntu :
    J'utilise principalement le script de Simon Clausen pour facilite la tache :

    Dans un terminal :
    Code:
    wget --no-check-certificate https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh
    chmod +x dnscrypt-autoinstall.sh
    ./dnscrypt-autoinstall.sh
    Il est preferable de ne pas choisir Cisco ou OpenDNS.

    Pour le cache dns, je vais utilise Unbound a la place de bind9 (plus leger). Unbound va effectuer les requetes DNS et mettre les reponses en memoire cache pour les requetes a venir.
    Cette methode permet de faire moins de requetes DNS, et surtout gagner en temps de latence DNS.


    Code:
    apt-get install unbound
    Puis on configure en mode cache :

    Code:
    nano /etc/unbound/unbound.conf
    Code:
    server:
      val-permissive-mode: yes
    interface: 127.0.0.4 ##(vous pouvez mettre une autre ip)
      hide-identity: yes
      hide-version: yes
      cache-min-ttl: 900
      prefetch: yes
      num-threads: 2
      do-not-query-localhost: no
    
    forward-zone:
      name: "."
      forward-addr: 127.0.0.1
      forward-addr: 127.0.0.2
    
    Pour un serveur cache pour les autres machines intranet :
    Code:
    server:
    
    verbosity: 1
    
    num-threads: 4 # (nombre de core sur votre machine)
    
    port: 533 # (Si 53 pose un probleme changer le port)
    
    interface: 0.0.0.0
    
    do-ip4: yes
    
    do-udp: yes
    
    do-tcp: yes
    
    access-control: 192.168.1.0/24 allow
    
    do-not-query-localhost: no
    
    chroot: ""
    
    logfile: "/var/log/unbound.log"
    
    use-syslog: no
    
    hide-identity: yes
    
    hide-version: yes
    
    harden-glue: yes
    
    harden-dnssec-stripped: yes
    
    use-caps-for-id: yes
    
    private-domain: "localhost"
    
    local-zone: "localhost." static
    
    local-data: "livebox.localhost. IN A 192.168.1.1"
    
    local-data-ptr: "192.168.1.1 livebox.localhost"
    
    python:
    
    remote-control:
    
    forward-zone:
    
    name: "."
    
    forward-addr: 127.0.0.1
    forward-addr: 127.0.0.2
    
    Nous allons faire un restart de Unbound :
    Code:
    sudo /etc/init.d/unbound restart
    
    Puis dans votre NetworkManager,Wicd ... il faut ajouter simplement l'ip 127.0.0.1. (Pour la configuration intranet, il faut ajouter l'ip du serveur Unbound).

    Pour voire le fonctionnement :
    DNS leak test
     
  2. Kero

    Kero Dark Vador Membre du personnel Jeune padawan

    Je confirme ! Cisco bah tout le monde est au courant hein.... #nsa #jefouilledanstesaffaires
    Et pour OpenDNS, il y a que le nom qui est open, le reste est d'un foireux pas possible :Rage: (est sous la loi USA/Patriot Act)

    Le wiki du Patriot Act au cas où hein :ange:
    USA PATRIOT Act — Wikipédia
     
  3. gnuson

    gnuson Visiteur Dantooine Jeune padawan

    Malheureusement pour OpenDNS, car la gestion du proxy est pas mal.
     
  4. Pepper

    Pepper Visiteur Dantooine

    Salut à tous et toutes !
    Désoler, de déterrer cette discussion intéressent.

    Mais, j'aimerais installer un produit différent OpenDNS (witchout patriot act), merci.
    J'espère que DNScrypt est épargner, j'imagine que Unbunutu lui aussi fait partie (made in usa)?
     
  5. Gazou

    Gazou Visiteur Dantooine Jeune padawan

    Bonsoir,

    Merci de ce tuto. Tout fonctionne bien.
    En revanche quand je fais un DNS Leak test je me retrouve avec ça:

    176.56.237.171 resolver1.dnscrypt.eu RouteLabel V.O.F. Netherlands

    Pas moyen de passer uniquement par unbound et ainsi ne voir que 127.0.0.1?

    Merci par avance de votre aide.

    Gazou
     

Partager cette page