Attention ! Ne cliquez pas sur ce lien, c'est un piège à enfoirés du net !

Chez oim, forum libreChez oim, forum libre

 


Pages: 1 ... 3 4 5 [6] 7 8 9 ... 43   En bas

Auteur Sujet: Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure  (Lu 141322 fois)

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #74 le: mardi 08 août 2017, 15:19 »
le: mardi 08 août 2017, 15:19

Salut,
oui j'ai bien vérifié.
J'ai retélécharger le fichier "named.cache" , relance du service , ça fonctionne , je pense qu'une erreur dans ce premier fichier téléchargé. donc sercice démarre, ok.

j'ai ajouté "access-control: 10.207.137.0/24 allow" car monréseau intra, je voudrai que les autres machines puisse venir sur ce serveur quiest sur la machine  en 10.207.137.70 - ou faut il que je mette 10.207.137.0 /24 allow (réseau).

J'ai laissé une forward-addr car si je supprime je suis bien sur 127.0.01 mais on ne trouve aucune réponse dns..!!

apparemment mon dns ne contacte pas les DNS de base.
ci après mon fichier :# Unbound configuration file on windows.

server:

   
Code
verbosity: 1

    logfile: "C:\Program Files\unbound\unbound.log"
    log-queries: no

    # on Windows, this setting makes reports go into the Application log
    # found in ControlPanels - System tasks - Logs 
    #use-syslog: yes

#server: auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"

    interface: 127.0.0.1
    interface: 10.207.137.70

    port: 53

    # access-control: 0.0.0.0/0 refuse
    access-control: 127.0.0.0/24 allow
    access-control: 10.207.137.0/24 allow		# 192.168.0.0/16 allow

    do-ip4: yes
    do-ip6: no
    do-udp: yes
    do-tcp: yes

    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    use-caps-for-id: yes
    cache-min-ttl: 300
    cache-max-ttl: 86400
    do-not-query-localhost: yes

    prefetch: yes
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    rrset-cache-size: 64m
    msg-cache-size: 32m
    so-rcvbuf: 1m

   root-hints: "C:\Program Files\Unbound\named.cache"

    #local-zone: "exemple.net." redirect
    #local-data: "exemple.net. 60 IN NS localhost."
    #local-data: "exemple.net. 60 IN A 127.0.0.1"

forward-zone:
    name: "."
    forward-addr: 216.146.35.35
#    forward-addr: 8.8.8.8
#    forward-addr: 8.8.4.4
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #75 le: mardi 08 août 2017, 16:02 »
le: mardi 08 août 2017, 16:02

Tout d'abord, je vois ça qui ne va pas :
Code
forward-zone:
    name: "."
    forward-addr: 216.146.35.35
#    forward-addr: 8.8.8.8
#    forward-addr: 8.8.4.4

Si tu supprimes le forwarding, il faut tout commenter et pas seulement les DNS.
Ce qui nous donne :
Code
#forward-zone:
#    name: "."
#    forward-addr: 216.146.35.35
#    forward-addr: 8.8.8.8
#    forward-addr: 8.8.4.4

De toute façon, cette zone de forward n'est pas utile. Elle est là pour palier à un problème de Unbound en interrogeant d'autres DNS externes.
Perso, je n'ai aucune zone de forward dans ma config et ça fonctionne très bien.

Essaye déjà de placer la zone de forward en commentaires et dis moi si cela change quelque chose.


Ensuite, quand je vois des IPs en 10.x.y.z, ça me fait tiquer.
Qu'elle est cette IP ? Elle t'appartient ?
En général, ces IPs en 10.x.y.z appartiennent aux FAI/ISP. C'est les adresses internes des box. Les FAI/ISP possèdent un réseau Ethernet (une espèce de local) avec ces IPs en 10.x.y.z du côté du WAN. Ces IPs se limitent à l'AS du point de peering, il n'y a aucun routage vers le réseau internet.
Ca permet aux FAI/ISP d'accéder directement à une box pour en modifier la config, en faisant une mise à jour par exemple.
C'est cette adresse directe à la box de chaque abonné qui permet de faire un reset d'une box à distance même contre son gré et qui met un terme à un appel au SAV (reset téléphonique aussi oblige...)
Heureusement, ces adresses sont sur le réseau des FAI/ISP, les abonnés n'y ont pas accès.

Si tu travailles avec ce type d'adresse IP "exotique", il va te falloir aller dans ta box et rediriger le port 53 vers la machine en question.
Est-ce que la box acceptera ce type d'IP ? Mystère ! Ton retour d'expérience m'intéresse ! ;)


Enfin, fais déjà les choses dans l'ordre.
1) Tu supprimes entièrement la zone de forward et tu vois.
2) ensuite, seulement, tu te penches sur ton IP exotique.

N'oublie pas de redémarrer le service Unbound à chaque modif ! :jr:
Signaler au modérateur   IP archivée

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #76 le: mardi 08 août 2017, 16:19 »
le: mardi 08 août 2017, 16:19

Lorsque je supprime la zone de forward  et redemarrage, le dns ne trouve plus rien ....(nslookup google.fr par exemple)

Effectivement mon IP est personnelle, je suis derriere MON routeur, celui ci gère tout mon réseau est est connecté en entré sur une box.

Mon routeur redirige bien le port 53 vers la machine "10.207.137.70" et la box redirige le 53 vers le routeur
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #77 le: mardi 08 août 2017, 16:30 »
le: mardi 08 août 2017, 16:30

Je ne sais pas comment est monté ton matos, mais je pense que c'est une histoire de port 53 qui est bloqué.
Tu n'aurais pas un firewall sur ton routeur, par hasard ?

Tu as regardé l'observateur d'événements et le fichier de log C:\Program Files\unbound\unbound.log ?

Encore un truc, tu devrais placer le # 192.168.0.0/16 allow sur une nouvelle ligne et pas à la fin d'une autre.
Certains softs n'apprécient pas beaucoup cette syntaxe. C'est le cas de Apache qui pète les plombs selon le commentaire de fin de ligne...

Fais gaffe ! Si tu rediriges le port 53, n'oublie pas que tu bloques les accès locaux simples du style 192.168.x.y
Je laisserais cet accès libre.
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #78 le: mercredi 09 août 2017, 07:02 »
le: mercredi 09 août 2017, 07:02

Ca remarche ici ? :-\
Signaler au modérateur   IP archivée

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #79 le: mercredi 09 août 2017, 19:51 »
le: mercredi 09 août 2017, 19:51

Salut,

en fait les problèmes viennent du firewall.....
j'ai modifié des paramètres puis petit à petit cela fonctionne, un peu lent mais je vais voir si cela accélère...
j'ai essayé une installation sur une autre machine qui est elle en 32bits (x32) sur le réseau :
- d'abord inexée sur l'autre machine ... marche bien
- une installation autonome en 32b ça fonctionne , mais difficultés pour redémarrer le service....?  alors que ça fonctionne ! j'ai alors supprmé les lignes
Code
#    prefetch: yes
#    msg-cache-slabs: 8
#    rrset-cache-slabs: 8
#    infra-cache-slabs: 8
#    key-cache-slabs: 8
#    rrset-cache-size: 64m
#    msg-cache-size: 32m
#    so-rcvbuf: 1m
c'est mieux mais erdem lent... mais fonction dns OK   :jh:

merci pour ....., j'attends un peu et je donnerai des nouvelles dans qqes temps

Cordialement

Jacky :)
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #80 le: mercredi 09 août 2017, 20:17 »
le: mercredi 09 août 2017, 20:17

Salut Jacky.

Je me doutais un peu que c'était une histoire de firewall.
Quand on commence à jongler avec la box et des routeurs, il y a toujours un pare feu qui fini par faire chier...

Unbound n'est pas le plus rapide au départ, il suffit juste de lui laisser le temps de faire du cache et ça s'améliore plus que notablement.
Par contre, tout ce que tu as mis en commentaire concerne justement la mise en cache.
Du coup, ton DNS ne fait plus de cache et va chercher les résultats sur le net à chaque fois...

Je ne suis pas certain que ce soit la meilleure solution que de supprimer le cache... ::)

En tout cas, merci pour le feed back ! :)
Signaler au modérateur   IP archivée

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #81 le: mercredi 09 août 2017, 20:42 »
le: mercredi 09 août 2017, 20:42

Saut Alex,

j'ai tenu compte de ton observation et j'ai remis le cache en fonction.

Tout fonctionne , mais difficultés de redemarrage sur la 32b.... je ne sais pas pourquoi...

Cordialement
Jacky
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #82 le: mercredi 09 août 2017, 20:49 »
le: mercredi 09 août 2017, 20:49

Oui, c'est beaucoup mieux.
Avec le cache, tu seras gagnant en vitesse de résolution des domaines.
Parce qu'on dirait pas comme ça. Mais la majeure partie des pages web font appel à des scripts venus de partout ! (Réseaux sociaux, régies pubs, statistiques, et j'en passe...)
Il est préférable de faire du cache.

Le redémarrage 32bits, c'est le système entier ou c'est juste Unbound qui pétouille ?
C'est bien la version 32 ? Le fichier de config 32 bits également ? Tu n'as pas oublié named.cache ?
Quelle adresse à le DNS ? Localhost ou 192.168.x.y en statique ?

Signaler au modérateur   IP archivée

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #83 le: mercredi 09 août 2017, 21:04 »
le: mercredi 09 août 2017, 21:04

Non c'est juste le redemarrage de unbound, qui même, met un message disant qu'il n'a pas pu démarrer , alors qu'il a redémmaré et fonctionne.
Le rédem jusqu'au message prend environ 2-3 mn.

Je suis en localhost mais aussi l'ip de ma machine 32b sur le réseau, mais j'ai aussi gardé la ligne 192.168.x.y qui correspond à la box de mon FAI placé avant le routeur, box qui me donne le net.
interface 127.0.0.1
interface 10.207.137.72 (c'est la machine, ce qui la rend accecible par le réseau),
puis
   
Code
access-control: 0.0.0.0/0 refuse          ---> je ne comprends pas cette ligne ?
    access-control: 127.0.0.0/24 allow
    access-control: 10.207.137.0/24 allow   ---> mon réseau intra
    access-control: 192.168.1.0/16 allow     ----> la box de mon FAI que est r, .....1.0 et pas en .....0.0

si j'ai mal compris indique moi   svp

Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #84 le: mercredi 09 août 2017, 21:24 »
le: mercredi 09 août 2017, 21:24

Ah oui ! Ca fait long !
A tous les coups, ton routeur est en 10.x.y.z mais le PC en 192.168.x.y et c'est ça qui merde au démarrage.
Unbound doit certainement se perdre dans les adresses ou il perd du temps à attendre une réponse.


La ligne suivante est là pour l'exemple
Code
access-control: 0.0.0.0/0 refuse
Elle permet de connaitre la syntaxe permettant de bloquer des plages d'IP.


La ligne
Code
access-control: 192.168.1.0/16 allow
Doit rester en (sans le 1)
Code
access-control: 192.168.0.0/16 allow
Cette ligne signifie toutes les adresses débutant par 192.168 (ne mets que des zéros derrière).
Ca veut dire 192.168 + 16 bits (soit 2 octets) Ca couvre donc la plage 192.168.0.0 - 192.168.255.255


Attention !
Les exemples ci dessus ne bloquent pas les IP mais ne les autorisent pas pour autant !
Si tu veux que ton DNS traite des requêtes sur une IP précise, il te faudra une ligne du type
Code
interface: 192.168.1.24
Par exemple. Sous la ligne autorisant localhost (127.0.0.1)


Théoriquement, ton PC à deux adresses.
Localhost
et une autre débutant par 192.168.
Je crois que tes adresse en 10.x.y.z ne là que pour le routage.
Signaler au modérateur   IP archivée

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #85 le: jeudi 10 août 2017, 11:15 »
le: jeudi 10 août 2017, 11:15

puis-je mettre en interface, par exemple 192.168.0.0/16....?
Pour moi ce serait10.207.0.0/16

est-il utile de dimensionner le cache dns , peux  tu commenter les lignes de paramétrage du cache svp.  :iq:

comennt vérifier / mettre à jour named.cache ?

je t'explique ma config en fait internet arrive via une box de mon FAI qui envoie vers mon routeur perso par une adrese statique ou en dmz, bien sur j'ai ouvert tous les ports nécessaire et utiles.
mon routeur reçoit donc le net en entrée, puis derrière j'ai paramétré MON réseau local , d'où 10.x.y.z. Unbound se trouve donc sur une machine en 10.x.y.z  :if:
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #86 le: jeudi 10 août 2017, 19:01 »
le: jeudi 10 août 2017, 19:01

Si ton réseau local est en 10.x.y.z, pourquoi pas ?
Que dis la carte réseau quand tu vas dans ses paramètres ? Elle adopte une IP en 10.x.y.z ou 192.168.x.y ?
Windows est étudié pour les réseaux de classe C (192.168.x.y)

Sinon, t'expliquer le cache, ok, mais que te dire ?
La ligne prefetch renouvelle le cache avant qu'il n'arrive à péremption.
Toutes les autres concernent les requêtes et la place qui leur est accordée.
msg-cache-size représente la taille véritable de ton cache.

Pour comprendre les autre paramètres, il est utile de connaitre Dig et ses paramètres.
Dig sort tout droit de Bind, qui est un autre DNS un peu plus compliqué que Unbound, c'est celui que j'utilise.
Je n'utilise pas Bind pour jouer les "grands garçons geeks", mais pour sa souplesse d'utilisation. Compliqué, certes, mais très pratique !
Par contre, sous Windows, Bind est hyper capricieux ! Si le réseau local est chargé, les paquets UDP de Bind ont la fâcheuse tendance de se perdre...
Pour un usage classique qui est celui de simple résolveur DNS, sous Windows, il est préférable d'utiliser Unbound qui, en plus d'être simple d'utilisation, est beaucoup plus fiable.
Bind n'est pas du tout conçu pour Windows. Il chie dans la colle dès qu'il y a du trafic sur le réseau local...
Signaler au modérateur   IP archivée

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #87 le: jeudi 10 août 2017, 21:25 »
le: jeudi 10 août 2017, 21:25

j'avoue que pour l'instant , utilisé sur 2 machines ,une en 32b et une en 64b, je ne suis pas convaincu... :o

non seulement c'est beaucoup plus lent, mais aussi beaucoup d’impossibilité à se connecter.... ça marche pas bien..!



Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.067
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #88 le: jeudi 10 août 2017, 22:03 »
le: jeudi 10 août 2017, 22:03

Par contre, j'ai oublié une chose. :je:

Oui, c'est bon pour 10.207.0.0/16
Signaler au modérateur   IP archivée

Jacky

  • Observateur
  • Orateur persévérant
  • *
  • Hors ligne Hors ligne
  • Messages: 29
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #89 le: jeudi 10 août 2017, 23:53 »
le: jeudi 10 août 2017, 23:53

J'ai désinstallé unbound version 64b, puis je viens de réinstaller en version 32b, puis modifications des chemins d'installation....
Je verrai si ça fonctionne mieux. :iq:
Signaler au modérateur   IP archivée
Pages: 1 ... 3 4 5 [6] 7 8 9 ... 43   En haut
 

Page générée en 0.178 secondes avec 19 requêtes.