Attention ! Ne cliquez pas sur ce lien, c'est un piège à enfoirés du net !

Chez oim, forum libreChez oim, forum libre

 
Pages: [1] 2 3 4 ... 43   En bas

Auteur Sujet: Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure  (Lu 204188 fois)

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« le: mercredi 02 mars 2016, 13:44 »
le: mercredi 02 mars 2016, 13:44

 






Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure



Mise à jour du 21 août 2021 :

Mise à jour du fichier PDF.
Signatures numériques également mises à jour (signature interne au PDF avec le certificat et signature PGP).

Télécharger le PDF (Fichier de signature PGP)



Mise à jour du 20 août 2021 :

Ce tuto a été mis à jour afin de rendre Unbound compatible IPv6.
Aujourd'hui, Unbound ne pose plus aucun problème avec l'IPv6. Il serait donc absurde de s'en passer.

Le PDF sera mis à jour prochainement.





Introduction (petit blabla pour vous convaincre)
Un peu de théorie
Passons à la pratique
Vérifier l'état des services
Configurer la carte réseau
Procéder à un premier test
Explications sur le fichier de configuration
J'ai Windows 10 et Unbound ne fonctionne pas
Exemple avec un site bloqué, pourquoi utiliser un serveur DNS personnel comme Unbound ?
Activer DNSSEC sur son serveur Unbound



(Haut de page)
Introduction

Comme vous l'avez remarqué, ces dernier temps, la France (et tous les autres pays "démocratiques") ne se gêne plus pour bloquer les sites qui dérangent. Et T411 dans le passé, ou Ygg aujourd'hui, ne sont pas les seuls dans ces mesures de censure/blocage.

Nombre de personnes recommandent de changer les serveurs DNS de sa configuration mais là encore, ce n'est pas la panacée.
Ceux qui vont opter pour les DNS de Google opteront pour un pistage dans les règles. D'autres DNS vous donneront l'adresse de pages de pub lorsque vous entrerez une adresse inexistante, officiellement pour se financer (ce sont donc des DNS menteurs). etc, etc.
En France, on ne parlera même pas des serveurs DNS de votre FAI qui tombent sous le coup de la loi renseignement et passent donc leur temps à archiver tous les sites que vous visitez.

Bref ! Vous l'aurez compris, les DNS sont une véritable jungle et trouver celui qui fera l'affaire relève du parcours du combattant.

Qu'à cela ne tienne... Puisque c'est comme ça, puisqu'on ne peut faire confiance en personne, nous allons installer notre propre serveur DNS et celui là, à part vous, personne ne pourra le faire mentir.

Pour ce faire, nous allons utiliser Unbound. Unbound est un serveur DNS pouvant tourner sous Windows. C'est l'équivalent de BIND qui fait la même chose mais en beaucoup plus simple.


(Haut de page)
Un peu de théorie avant de commencer :kd:

Tout d'abord, vous savez ce qu'est un serveur DNS, n'est-ce pas ? Pour faire simple, c'est une espèce d'annuaire. Ce serveur DNS(Domains Names System) reçoit des noms de domaine et il vous retourne des adresses IP.
C'est comme l'annuaire téléphonique qui reçoit un nom & prénom et qui vous retourne le numéro de téléphone. Le DNS, lui, reçoit un nom de domaine et il vous retourne son adresse IP (il peut faire bien plus, mais on n'est pas là pour entrer dans les détails).


Ouais mais attends. Si j'ai un serveur DNS sur mon PC, où il va aller chercher les réponses ? Mon PC ne connait personne !

C'est vrai ! Votre PC ne connait personne, absolument personne. Il contient peut-être quelques adresses IP dans son fichier hosts mais c'est pas avec ça qu'on va faire le tour de la planète !

Votre serveur DNS va tout simplement faire comme tous les autres DNS de la planète (sauf certains qui bloquent quelques domaines...)
Il va tout d'abord s'adresser à la racine. Sur terre, il existe 13 serveurs DNS racine chargés de vous orienter vers les bons serveurs DNS.
En réalité, il existe beaucoup plus de serveurs répartis sur la planète pour que le système reste rapide. C'est les serveurs de la racine qui délèguent une partie de leur travail à d'autre serveurs. Donc, la racine est bien constituée de 13 serveurs.
Cette liste des 13 serveurs racine est simple : (ne faites pas attention au dernier point ".", ce n'est pas une erreur)
Code
A.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.

N'entrez jamais ces serveurs DNS dans votre configuration réseau, ça ne marcherait pas ! Ces serveurs racine sont spéciaux. Ils ne servent qu'à "déchiffrer" le TLD d'un nom de domaine (.com, .org, .fr, etc.). Ils ne connaissent pas les noms de domaine !

Faisant l'essai avec irc.t411.in qui est actuellement bloqué en France

Notre serveur DNS perso va interroger la racine qui va lui répondre que le .in est géré par les serveurs DNS suivants :
Code
c0.in.afilias-nst.info.
b2.in.afilias-nst.org.
b1.in.afilias-nst.in.
b0.in.afilias-nst.org.
a2.in.afilias-nst.info.
a1.in.afilias-nst.in.
a0.in.afilias-nst.info.

Notre serveur DNS va donc maintenant demander au premier serveur de la liste si il connait irc.t411.in et il obtiendra cette réponse :
Code
hope.ns.cloudflare.com.
bayan.ns.cloudflare.com.

Ouf ! On y a arrive. Notre domaine irc.t411.in semble connu et notre DNS a la liste des serveurs qui connaissent sont adresse IP.
Notre serveur DNS va donc demander une dernière fois la réponse en utilisant cette dernière liste et il obtiendra :
Code
irc.t411.in.            3600     IN      A       88.198.168.163

Et voilà ! En 3 requêtes, notre serveur DNS saura que l'adresse irc.t411.in a pour IP 88.198.168.163 et il n'aura questionné aucun DNS qui n'est pas nécessaire.
Comme vous l'aurez remarqué, notre DNS n'a questionné ni votre FAI, ni Google, ni personne d'autre pouvant être jugé comme "peu fiable".

Votre serveur DNS interrogera toujours les serveurs DNS faisant autorité. Cela signifie qu'il n'interrogera que les serveurs connaissant la vérité.
Un serveur DNS qui représente l'autorité ne vous mentira pas, sauf cas exceptionnel, mais c'est très, très rare.
Les serveurs DNS de votre FAI/ISP ne sont en aucune façon une autorité ! Même les serveurs DNS de Google ne font pas autorité, ce ne sont que de simples relais de l'information.


(Haut de page)
Passons à la pratique !

Pour l'instant, posez tous vos téléchargements sur le bureau. On s'en occupera après. D'abord on télécharge tout ce qu'il faut et ensuite on réparti là où il faut.
Tout d'abord, vous allez avoir besoin de Unbound, bien entendu.
Téléchargez le à l'adresse suivante : https://unbound.net/download.html Sélectionnez bien la version pour windows ! (Attention, le premier lien concerne les versions 64 bits de Windows. Le 32 bits est à droite)

Ensuite, nous allons avoir besoin de la liste des 13 serveurs DNS de la racine.
Faites un clic droit sur le lien ci dessous et sélectionnez Enregistrer la cible sous... (ou Enregistrer le contenu lié sous...)
Vous pouvez également cliquer directement sur le lien, puis copier/coller la page qui s'affiche dans un fichier texte que vous appellerez named.cache
https://www.internic.net/domain/named.cache

Et enfin, nous allons charger un fichier de configuration tout prêt préparé par votre serviteur. Cliquez sur le lien ci dessous et téléchargez le fichier, toujours sur votre bureau.
Fichier de configuration service.conf pour windows 32 bits
Fichier de configuration service.conf pour windows 64 bits - Pour une toute nouvelle installation, c'est ce fichier qu'il vous faut, que ce soit Windows 32bit ou 64bit.
(Pour les personnes ayant déjà Unbound installé) Fichier de configuration service.conf pour windows 64 bits et Unbound installé dans /program files (x86)/ (Update (mise à jour) pour Unbound < v1.6.2 vers v1.6.2 ou plus)


Nous reparlerons de ce fichier de config plus loin.

Si vous avez peur que j'ai trafiqué ce fichier, copiez/collez la config ci dessous dans un fichier texte que nous appellerons service.conf (pour Windows 32 bits)
Code
# Unbound configuration file on windows.

server:

    verbosity: 1

    logfile: "C:\Program Files\unbound\unbound.log"
    log-queries: no

    # on Windows, this setting makes reports go into the Application log
    # found in ControlPanels - System tasks - Logs 
    #use-syslog: yes

    #auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"

    interface: ::1
    interface: 127.0.0.1

    port: 53

#     access-control: 0.0.0.0/0 refuse
    access-control: 127.0.0.0/24 allow
    access-control: 192.168.0.0/16 allow
    access-control: ::1 allow

    do-ip4: yes
    do-ip6: yes
    do-udp: yes
    do-tcp: yes

    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    use-caps-for-id: yes
    cache-min-ttl: 300
    cache-max-ttl: 86400
    do-not-query-localhost: yes

    prefetch: yes
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    rrset-cache-size: 64m
    msg-cache-size: 32m
    so-rcvbuf: 1m

    root-hints: "C:\Program Files\Unbound\named.cache"

    #local-zone: "exemple.net." redirect
    #local-data: "exemple.net. 60 IN NS localhost."
    #local-data: "exemple.net. 60 IN A 127.0.0.1"

Si vous avez peur que j'ai trafiqué ce fichier et que vous avez un Windows 64 bits, copiez/collez la config ci dessous dans un fichier texte que vous appellerez service.conf (pour Windows 64 bits avec installation dans /program files (x86)/)
Code
# Unbound configuration file on windows.

server:

    verbosity: 1

    logfile: "C:\Program Files (x86)\Unbound\unbound.log"
    log-queries: no

    # on Windows, this setting makes reports go into the Application log
    # found in ControlPanels - System tasks - Logs 
    #use-syslog: yes

    #auto-trust-anchor-file: "C:\Program Files (x86)\Unbound\root.key"

    interface: ::1
    interface: 127.0.0.1

    port: 53

#     access-control: 0.0.0.0/0 refuse
    access-control: 127.0.0.0/24 allow
    access-control: 192.168.0.0/16 allow
    access-control: ::1 allow

    do-ip4: yes
    do-ip6: yes
    do-udp: yes
    do-tcp: yes

    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    use-caps-for-id: yes
    cache-min-ttl: 300
    cache-max-ttl: 86400
    do-not-query-localhost: yes

    prefetch: yes
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    rrset-cache-size: 64m
    msg-cache-size: 32m
    so-rcvbuf: 1m

    root-hints: "C:\Program Files (x86)\Unbound\named.cache"

    #local-zone: "exemple.net." redirect
    #local-data: "exemple.net. 60 IN NS localhost."
    #local-data: "exemple.net. 60 IN A 127.0.0.1"


Installation de Unbound

Vous allez voir, c'est très simple et rapide. Double cliquez sur l'installer Unbound et installez tout sans rien toucher.
Attention ! Si vous modifiez le chemin d'installation, le fichier de configuration ne conviendra plus !










Maintenant, pour Windows 32 ou 64 bits, ouvrez le dossier "c:\program files\unbound\" et copiez-y les fichiers named.cache et service.conf

Pour Windows 64 bits, dans le cadre d'une mise à jour ou d'une réparation d'une vieille version de Unbound (Version < 1.6.2), ouvrez le dossier "c:\program files (x86)\unbound\" et copiez-y les fichiers named.cache et service.conf

Si les fichiers existent déjà, renommez les ou supprimez les.


(Haut de page)
Rendez vous maintenant dans les services. Appuyer sur Win + R ou cliquez sur Démarrer puis Exécuter et entrez ce qui suit :
Code
services.msc

Recherchez le service Unbound DNS validator dans la liste.

Vérifiez que ce service est bien sur "Automatique" (1). Si il n'est pas en "Démarré" (2), cliquez sur "Démarrer" (3) sinon, cliquez sur "Redémarrer" (3) afin que le fichier de configuration soit chargé.

Si le service n'est pas en "automatique", double cliquez sur le nom Unbound DNS validator et sélectionnez le mode de démarrage "Automatique" puis cliquez sur "Appliquer".





(Haut de page)
C'est bientôt fini, paramétrons notre carte réseau !


Assurez vous que le service unbound est bien démarré ! Si ce n'est pas le cas, démarrez le comme expliqué ci dessus.
Si le service refuse de démarrer, vous avez un problème, n'allez pas plus loin et contrôlez votre fichier de configuration, service.conf,  ainsi que la présence et le contenu de named.cache.
N'hésitez pas à poser des questions en cas de problème. Les invités peuvent poster.


On touche à la fin. Allons dans les connexions réseau afin de pouvoir utiliser notre DNS.
Appuyer sur Win + R ou cliquez sur Démarrer puis Exécuter et entrez ce qui suit :
Code
ncpa.cpl

Double cliquez sur votre carte réseau (Le plus souvent, elle s'appelle "Connexion au réseau local") et cliquez sur "propriétés".





Sur l'onglet "Gestion de réseau" sélectionnez "Protocole internet version 4 (TCP/IPv4)" et cliquez sur "Propriétés" (Pas IPv6 !).



Pour finir, dans la partie DNS (2) entrez l'adresse 127.0.0.1 comme serveur DNS préféré. Vous pouvez laisser le deuxième champ vide où y mettre le DNS de votre choix, il y a peu de chances qu'il soit utilisé.



Rendez-vous également sur la ligne "Protocole internet version 6 (TCP/IPv6)" et cliquez sur "Propriétés".
Entrez l'adresse de serveur DNS ::1 comme indiqué ci-dessous, sur la capture.
Si des adresses de serveurs DNS sont déjà présentes, notez les (au cas où) et supprimez les. Il s'agit des DNS de votre FAI dont nous ne voulons plus.




N'hésitez pas à répéter ces opérations sur votre carte WIFI si votre PC en est équipé (optionnel, c'est vous qui voyez).


*** OPTIONNEL ***

La partie 1 ne sera à modifier que si vous souhaitez que votre DNS soit accessible à partir de votre réseau local, depuis d'autres ordinateurs ou smartphones.
Dans ce cas, il vous faudra choisir une adresse IP fixe. Cette adresse et celle de la passerelle dépendront de votre réseau local et de l'adresse de votre box.
Ouvrez le fichier service.conf de Unbound et ajoutez une ligne interface: votre adresse locale sous la ligne interface: 127.0.0.1 et redémarrez le service Unbound pour que la modification soit prise en compte.


(Haut de page)
Vous pouvez maintenant valider et procéder à votre premier essai.
Appuyer sur Win + R ou cliquez sur Démarrer puis Exécuter et entrez ce qui suit :
Code
cmd

Une fenêtre MS-DOS s'ouvre. Entrez ce qui suit pour vider votre cache DNS:
Code
ipconfig /flushdns

Puis entrez ceci pour faire un essai:
Code
nslookup google.fr



Il est possible que le serveur affiché ne soit pas localhost mais Unknown. Ce n'est pas grave si votre DNS n'a pas de nom, cela vient du contenu du fichier hosts de votre machine. Le principal est l'adresse du serveur.
Le serveur DNS utilisé pour le test est bien le 127.0.0.1 ou le ::1 ? Alors c'est tout bon, votre serveur DNS perso fonctionne à merveille !
Dorénavant, vous n'aurez plus à vous soucier des différents blocages DNS des FAI de France et d'ailleurs de même que les DNS menteurs seront bientôt un vieux souvenir. :)


Si vous êtes parano, vous imaginerez que votre serveur DNS est moins rapide que les autres. Votre serveur va faire de la mise en cache, c'est à dire qu'il va mémoriser les résultats qu'il a déjà obtenu et il va devenir bien plus rapide que tous les autres, puisqu'il aura les résultats directement sous le nez, et non chez votre FAI ou ailleurs.

La preuve que votre DNS est très rapide, en image : (le serveur ayant l'adresse 192.168.0.2 est le même que 127.0.0.1 mais il est accessible sur mon réseau local par tous les appareils connectés (en wifi, par exemple).







(Haut de page)
Éclaircissements sur le fichier de configuration donné dans ce tuto


Revenons sur le fichier de configuration que vous avez installé.

Code
# Unbound configuration file on windows.

server:

    verbosity: 1

    logfile: "C:\Program Files\unbound\unbound.log"
    log-queries: no

    # on Windows, this setting makes reports go into the Application log
    # found in ControlPanels - System tasks - Logs 
    #use-syslog: yes

Cette partie demande au serveur de ne pas enregistrer les requêtes DNS dans le fichier unbound.log. Seuls les arrêts/démarrages, erreurs et quelques chiffres seront enregistrés dans ce fichier.


   
Code
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"

    interface: ::1
    interface: 127.0.0.1

    port: 53

#     access-control: 0.0.0.0/0 refuse
    access-control: 127.0.0.0/24 allow
    access-control: 192.168.0.0/16 allow
    access-control: ::1 allow

    do-ip4: yes
    do-ip6: yes
    do-udp: yes
    do-tcp: yes

Le serveur sera accessible sur les adresses IP 127.0.0.1 et ::1 via le port 53 (les requêtes DNS s'effectuent sur le port 53, ne le modifiez pas).
Le serveur sera également accessible depuis votre réseau local si vous ajoutez une ligne interface: adresse locale
Il utilisera les protocoles UDP et TCP et l'IPv4 ainsi que l'IPv6.


   
Code
    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    use-caps-for-id: yes
    cache-min-ttl: 300
    cache-max-ttl: 86400
    do-not-query-localhost: yes

Cette partie est avant tout dédiée à la sécurité de votre serveur. Il n'est pas conseillé d'y toucher à moins de savoir ce que l'on fait.


   
Code
    prefetch: yes
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    rrset-cache-size: 64m
    msg-cache-size: 32m
    so-rcvbuf: 1m

Cette partie concerne la mise en cache et influe directement sur la vitesse de votre serveur. Comme pour la sécurité, ne la modifiez que si vous savez ce que vous faites.


   
Code
root-hints: "C:\Program Files\Unbound\named.cache"

Cette ligne désigne l'emplacement du fichier contenant la liste des serveurs DNS racine.
Cette liste change très, très rarement. Si votre serveur venait à retourner des erreurs en relation avec cette liste dans le futur, il vous suffira de charger la nouvelle (l'adresse du serveur où obtenir cette liste se trouve dans le fichier lui même).
Si votre serveur semble mal fonctionner (il retourne des erreurs ou devient beaucoup plus lent), c'est qu'il y a un problème avec la racine. Chargez la nouvelle liste des serveurs racine dans le fichier named.cache et redémarrez le service unbounb.

Je vous le répète. L'adresse des serveurs racine change très, très rarement. Il est plus profitable d'avoir cette liste dans un fichier pour avoir un serveur DNS rapide.



   
Code
    #local-zone: "exemple.net." redirect
    #local-data: "exemple.net. 60 IN NS localhost."
    #local-data: "exemple.net. 60 IN A 127.0.0.1"

En commentaires, vous trouverez un exemple de "DNS menteur". Ici, le domaine exemple.net retournera l'IP 127.0.0.1
Bien entendu, installer un serveur DNS pour en faire un DNS menteur est totalement ridicule, vous en conviendrez...
J'ai placé cet exemple afin que vous sachiez comment procèdent les FAI quand ils bloquent un domaine et décident que leurs DNS vont devenir des menteurs.
Posséder son propre serveur DNS, c'est aussi avoir la liberté de lui faire répondre des mensonges...

Par contre, en matière de DNS menteur, la très grosse utilité de posséder son propre serveur DNS est de pouvoir le faire mentir pour les domaines connus affichant de la pub, comme doubleclick, par exemple.
Vous pouvez également bloquer les sites de cul préférés de votre ado si celui ci est un peu trop jeune. ;)


ATTENTION !
Après chaque modification de la configuration, le service Unbound doit être redémarré afin qu'il charge le fichier modifié.



(Haut de page)
J'ai Windows 10 et Unbound ne fonctionne pas


Sous Windows 10, des problèmes ont été rapportés mais ne concernent pas tout le monde. Sous ce système d'exploitation, ça peut marcher comme ça peut ne pas marcher.
Ne me demandez pas pourquoi, je suis bien incapable de vous répondre. En plus, je ne possède pas Windows 10.

Ceci dit, vous pouvez toujours essayer ce qui suit avec votre Windows 10 si tout est correctement installé mais que Unbound refuse de fonctionner :

Ouvrez le gestionnaire des tâches (CTRL + ALT + SUPPR) et allez dans les processus.
Faites un clic droit sur Unbound suivi de propriétés.
Allez sur l'onglet compatibilité et lancez la résolution des problèmes de compatibilité en acceptant tout ce qui est proposé.

Théoriquement, cela devrait marcher. Sinon, n'hésitez pas à poser vos questions.



Pourquoi utiliser un serveur DNS personnel comme Unbound ?


Au mois de juillet 2017, la justice française a ordonné le blocage de 4 sites de streaming ou de téléchargement (en France). Les fournisseurs d'accès sont chargés de ce blocage.
Bien entendu, les FAI/ISP ont fait au plus simple en effectuant un blocage DNS.

Comme vous l'aurez remarqué, cette censure est passée totalement inaperçue et a été mise en oeuvre dans la plus grande des discrétions. Aucun média n'a parlé de ces blocages qui deviennent de plus en plus nombreux.

Prenons l'exemple du site allomovies.com dont j'ai appris l'existence en lisant la décision de justice (Ne rigolez pas, c'est vrai).


Regardons en images :




En utilisant les serveurs DNS de NUMERICABLE (1), le serveur retourne la réponse NXDOMAIN (2), ce qui signifie Non-Existent Domain ou domaine inexistant en français.
Il n'y a pas de réponse pour l'adresse demandée, elle n'existe pas. Le navigateur des internautes va afficher une erreur disant que le site n'existe pas et l'internaute passera son chemin sans se poser de questions.


Par contre, pour ceux utilisant leur propre serveur DNS, la chanson est différente...
En utilisant Unbound (3), on s'aperçoit que le site existe bel et bien et que ses serveurs DNS répondent correctement (4), ce qui permettra de se rendre sur le site !


Ce type de censure est sournoise. Comme je l'ai dit, l'internaute qui utilise les DNS de son FAI/ISP aura un message d'erreur l'informant que le site n'existe pas. Dans le meilleur des cas, il fera une recherche Google, apprendra que le site est bloqué et il se résignera.
Dans le pire des cas, l'internaute ne cherchera pas à comprendre ou ne trouvera pas de réponse à ses questions et il se résignera également.

Avec un DNS personnel, la question ne se posera même pas, le site existe et l'internaute peut le visiter.



(Haut de page)
Activer DNSSEC sur son serveur Unbound


DNSSEC est un système de protection contre l'empoisenement du cache DNS. Je vous explique.
Le DNS, dans l'état où il existe, est vulnérable. Ce n'est pas spécifique à Unbound, mais à tous les serveurs DNS de la planète.
Cela consiste à bombarder un serveur DNS de requêtes pour que le serveur qui pose une question ne puisse plus faire la différence entre le serveur officiel qui répond et le faux serveur qui répond n'importe quoi.
Vous vous retrouvez sur un site qui a exactement l'adresse demandée mais qui n'est pas du tout ce site !
DNSSEC permet d'ajouter des signatures aux réponses obtenues afin de vérifier que la réponse est belle et bien officielle. Pour info, chez oim utilise DNSSEC.

Passons à l'activation de DNSSEC sur notre serveur !
Vous allez voir, c'est simple.
- Ouvrez le dossier dans lequel Unbound.exe est installé.
Il s'agit soit de C:\Program Files\Unbound\ ou de C:\Program Files (x86)\Unbound\

Notez bien ce dossier ! Vous en aurez besoin plus tard !
Dans ce dossier, repérez le programme unbound-anchor.exe et exécutez le en double cliquant dessus. Vous verrez apparaitre un fichier root.key dans le dossier.

Ensuite, ouvrez le fichier service.conf.
La ligne pour DNSSEC est déjà présente si vous utilisez le fichier donné ici dans ce tuto.
Il s'agit de cette ligne :
Code
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
OU
Code
#auto-trust-anchor-file: "C:\Program Files (x86)\Unbound\root.key"
Retirez simplement la dièse, (#), en début de ligne et enregistrez.
Vous n'avez plus qu'à redémarrer le service Unbound et à tester que tout fonctionne correctement.

Maintenant, il faut vérifier que DNSSEC est bien pris en charge par votre serveurs DNS, rendez-vous à cette adresse : (si vous testez les DNS de votre FAI/ISP, il y a peut de chances que ça fonctionne...)

https://www.rootcanary.org/test.html
Sur la page qui s'affiche, un peu de patience va vous être demandée. Votre DNS Unbound est en train d'être testé, soyez patient !
Passé un délai de quelques minutes, vous devriez obtenir quelque chose de similaire à ceci :





Un test plus simple est possible à cette adresse :
https://dnssec.vs.uni-due.de/

Un gentil troll va se charger de vérifier votre installation DNS. Laissez-le faire, c'est un gentil troll que je vous ai dit :)

Cliquez sur le bouton Start Test et patientez.

Si vous obtenez cette image, malheureusement, DNSSEC n'est pas pris en charge, vous avez fait une erreur... N'hésitez pas à poser une question.
Vous n'êtes pas protégé et vous êtes donc une victime potentielle.



Par contre, si vous obtenez cette image, bravo ! DNSSEC est pris en charge par votre DNS Unbound.
Vous êtes protégé. Les enfoirés du net ne vous atteindrons pas.




Vous pouvez également effectuer un test plus complet à cette adresse : http://en.conn.internet.nl/connection/
En bas de page, vous devriez obtenir un résultat comme le suivant :





Haut de page



Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #1 le: samedi 07 mai 2016, 15:54 »
le: samedi 07 mai 2016, 15:54

Les explications et le fichier de configuration pour les versions 64 bits de Windows ont été ajoutés à ce tuto afin de vous simplifier la vie. ;)

Dorénavant, pour Windows 32 ou 64 bits, ça marche ! Ca marche à partir de Windows XP SP3. :)


Windows XP SP3 :
Attention, les dernières versions de Unbound ne fonctionneront pas sous Win XP. La dernière version que j'ai testé et qui fonctionnait sous XP SP3 est la 1.5.7

Le site Unbound ne proposant plus de lien vers la version 1.5.7 pour windows, vous pouvez la retrouver ici : (cette version existe encore sur leur site, mais ils ne proposent plus de lien)
https://unbound.net/downloads/unbound_setup_1.5.7.exe

N'ayez pas peur d'installer une vieille version !
Votre serveur DNS fonctionnera sur le réseau local, il n'y a donc aucun risque que quelqu'un de l'extérieur exploite une vulnérabilité de votre serveur.
Soyez rassuré et installez la version de Unbound qui correspond à votre PC sans inquiétude.

Si vous avez des questions, je suis là. ;)
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #2 le: samedi 27 août 2016, 23:59 »
le: samedi 27 août 2016, 23:59

Mise à jour : le 28 août 2016
Ajout de liens pour naviguer dans le tuto sans avoir à tout "dérouler"
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.515
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #3 le: samedi 08 octobre 2016, 18:23 »
le: samedi 08 octobre 2016, 18:23

Bonsoir,

Tu devrais le sortir en PDF cela faciliterait la vie de pas mal de personnes  :iz: ^-^ :jr:
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #4 le: samedi 08 octobre 2016, 18:27 »
le: samedi 08 octobre 2016, 18:27

C'est vrai ? Ca veut dire que mon tuto est lu et qu'il fait plaisir à ses lecteurs ? :ic:
Je vais me pencher sur la question, très rapidement. :)

Tu aurais un lien à me donner qui converti le HTML en PDF avec les images et les ancres ? :if:
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.515
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #5 le: samedi 08 octobre 2016, 18:51 »
le: samedi 08 octobre 2016, 18:51

Non là moi j'utilise Acrobat Pro au boulot ou alors ici Word en sortie PDF mais un coup de Google tu vas trouver ton bonheur :)
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #6 le: samedi 08 octobre 2016, 19:03 »
le: samedi 08 octobre 2016, 19:03

Bon ben je vais chercher, alors. :iz:
Signaler au modérateur   IP archivée

Jim

  • Invité
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #7 le: samedi 15 octobre 2016, 23:55 »
le: samedi 15 octobre 2016, 23:55

Bonsoir, pourquoi on retrouve les DNS Google dans ton fichier de config?
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #8 le: dimanche 16 octobre 2016, 06:48 »
le: dimanche 16 octobre 2016, 06:48

Salut,

Je l'ai expliqué dans le tuto. Bon, c'est à la fin, on ne t'en voudra pas d'avoir survolé un peu. Faut avouer que c'est long. ;)
Mais c'est aussi pour ça que certains me disent "les sites bloqués le sont encore", c'est parce qu'ils n'ont pas lu jusqu'au bout et notamment la configuration de la carte réseau.


Nous parlons donc de ceci :
Code
forward-zone:
    name: "."
    forward-addr: 8.8.8.8
    forward-addr: 8.8.4.4

C'est une partie que je juge inutile (perso, dans mon fichier de config, cette partie n'existe pas et je n'ai pas de souci).

C'est une "zone secours". Elle sera utilisée si ton serveur a des problèmes. Cette zone n'est pas obligatoire et elle peut être supprimée sans souci.
D'ailleurs, si ton DNS a des soucis, ça m'étonnerait qu'il puisse atteindre cette zone. :??

Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #9 le: mercredi 16 novembre 2016, 14:20 »
le: mercredi 16 novembre 2016, 14:20

Face à la foule d'une personne ayant demandé à ce que ce tuto existe en pdf, vous pouvez désormais le retrouver au format .PDF  (Signature d'intégrité PGP/GnuPG [.sig]) comme demandé. ;)

Attention, vous pouvez l'imprimer mais quelque chose me dit que, sur papier, les liens risquent de moins bien fonctionner.

Bien qu'il soit gratuit, vous pouvez aussi acheter ce tuto PDF si le coeur vous en dit. O:-)
Signaler au modérateur   IP archivée

Songe

  • Observateur
  • Pipelette intarissable
  • ********
  • Hors ligne Hors ligne
  • Messages: 6.078
  • Chérie officielle chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #10 le: mercredi 16 novembre 2016, 14:42 »
le: mercredi 16 novembre 2016, 14:42

Ben tu ne perds pas le Nord !
Signaler au modérateur   IP archivée
Levez la tête, je suis là tout en haut.. Je vous salue depuis le phare.

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #11 le: mercredi 16 novembre 2016, 14:47 »
le: mercredi 16 novembre 2016, 14:47

Ben quoi ?
Il suffit de me donner un N° de carte et hop ! L'achat est fait. :cadeau: :ic:


Je rigole, hein ? C'est pas à vendre. Tu l'avais compris, n'est-ce pas ? :??
Ceci dit, il est pas à vendre mais on peut l'acheter ! ^-^
Signaler au modérateur   IP archivée

yam25

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 11
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #12 le: dimanche 18 décembre 2016, 13:03 »
le: dimanche 18 décembre 2016, 13:03

Conversation démarrée en MP et copiée/collée ici


Yam25 :

Code
nslookup google.fr
Bonjour Alex,

Suite à votre Tuto : Installer son propre serveur DNS sous Windows avec Unbound/

Tout d'abord un grand merci !
excellente tuto, très clair.
le IPV4  marche très bien !

j'ai tenté de changer l'IPv6 ;
service.conf -j'ai changé LE ipv6 en yes
dns ipv6 0:0:0:0:0:0:0:1

C:\WINDOWS\system32>nslookup google.fr
Serveur :   localhost
Address:  ::1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Le délai de la requête sur localhost est dépassé.

il me semble que c'est ok ...quel est votre avis ?

Bonne journée?


Alex :

Salut,

J'aurais préféré que tu poses ta question en public. En privé, ça ne profite à personne.

Ton truc ne marche pas. Ton serveur DNS ne répond plus (DNS request timed out)
J'avais prévenu, Unbound pose souvent souci avec l'IPv6.

Essaye en lui donnant l'adresse ::1 et pas 0:0:0:0:0:0:0:1 (c'est pas juste).


Yam25 :

Salut,

Tu as raison pour la question en public...sorry.

IPV6 ne marche pas...dans ce cas comment se fait le choix de  serveur  DNS?
Est-ce nécessaire de désactiver IPv6 pour profiter de mon serveur DNS ?

Merci,
yam
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.091
  • Proprio officiel chez oim !
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #13 le: dimanche 18 décembre 2016, 13:15 »
le: dimanche 18 décembre 2016, 13:15

Dans ton fichier de config, il y a cette partie avec les DNS de Google :
Code
forward-zone:
    name: "."
    forward-addr: 8.8.8.8
    forward-addr: 8.8.4.4

Ca indique que si ton DNS a un problème, c'est ceux de Google qui sont interrogés. Ton DNS "forwarde" les requêtes.


Tu devrais repasser en IPv4.
- Unbound n'est vraiment pas le champion de l'IPv6.
- Et l'IPv6 n'est pas encore la norme.
Signaler au modérateur   IP archivée

yam25

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 11
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
« Réponse #14 le: dimanche 18 décembre 2016, 13:55 »
le: dimanche 18 décembre 2016, 13:55

ok compris.

merci pour les réponses et  la rapidité de ton retour.
Signaler au modérateur   IP archivée
Pages: [1] 2 3 4 ... 43   En haut
 

Page générée en 0.309 secondes avec 23 requêtes.