Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Rétrospective de l'adoption du nouveau logo de Fedora

#1 14/07/2020 14:10:31

Edouard_le_homard
Rédacteur Wiki
Rédacteur Wiki
Lieu : Sous un rocher noir
Inscription : 24/03/2012
Messages : 3 611

[Résolu] DNS et DNSoverTLS

Hello,

Suite à cet article je me pose la question de passer mes requêtes DNS en DNs over TLS.

Déjà, n'y connaissant pas grand chose je souhaiterais avoir votre avis.

Ensuite, j'ai tenté, et sans succès, de configurer la chose. Je détaille :

Je suis derrière une livebox. j'ai bien accès à Internet, et les requêtes DNS passent sans souci :

[edouard@pc-32 ~]$ resolvectl status
Global
       LLMNR setting: yes                 
MulticastDNS setting: yes                 
  DNSOverTLS setting: yes                 
      DNSSEC setting: allow-downgrade     
    DNSSEC supported: yes                 
Fallback DNS Servers: 1.1.1.1             
                      8.8.8.8             
                      1.0.0.1             
                      8.8.4.4             
                      2606:4700:4700::1111
                      2001:4860:4860::8888
                      2606:4700:4700::1001
                      2001:4860:4860::8844
          DNS Domain: home                
                      pc-32.home          
          DNSSEC NTA: 10.in-addr.arpa     
                      16.172.in-addr.arpa 
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa 
                      18.172.in-addr.arpa 
                      19.172.in-addr.arpa 
                      20.172.in-addr.arpa 
                      21.172.in-addr.arpa 
                      22.172.in-addr.arpa 
                      23.172.in-addr.arpa 
                      24.172.in-addr.arpa 
                      25.172.in-addr.arpa 
                      26.172.in-addr.arpa 
                      27.172.in-addr.arpa 
                      28.172.in-addr.arpa 
                      29.172.in-addr.arpa 
                      30.172.in-addr.arpa 
                      31.172.in-addr.arpa 
                      corp                
                      d.f.ip6.arpa        
                      home                
                      internal            
                      intranet            
                      lan                 
                      local               
                      private             
                      test                

Link 2 (wlp2s0)
      Current Scopes: DNS LLMNR/IPv4 LLMNR/IPv6              
DefaultRoute setting: yes                                    
       LLMNR setting: yes                                    
MulticastDNS setting: no                                     
  DNSOverTLS setting: yes                                    
      DNSSEC setting: allow-downgrade                        
    DNSSEC supported: yes                                    
  Current DNS Server: 192.168.1.1                            
         DNS Servers: 192.168.1.1  
http://www.whatsmydnsserver.com/ a écrit :

Your DNS Server    80.10.201.106
Owner of this server    Orange S.A.
Status of this server    Everything is fine
Your DNS Server    80.10.201.105
Owner of this server    PFS-ORANGE-INTERNET
Status of this server    Everything is fine
Your DNS Server    80.10.200.126
Owner of this server    Orange
Status of this server    Everything is fine

Je comprends que le DNS utilisé est celui de la livebox.

Je configure comme suit le /etc/systemd/resolved.conf

[Resolve]
DNS=1.1.1.1  1.0.0.1
DNSOverTLS=yes
DSSEC=yes

je crée le fichier /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf  comme suit :

[main]
dns=none

je redémarre les services, et là patatra les requêtes DNS se passent plus :

[edouard@pc-32 ~]$ resolvectl query fedoraproject.org
fedoraproject.org: resolve call failed: Lookup failed due to system error: Connection timed out

Aucun changement quand je mets dns=systemd-resolved à la place de dns=none dans le /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf

Est ce que la livebox ne supporte pas le DNSoverTLS ? ou y a-t-il quelque chose qui m'a échappé dans la configuration ?

Enfin que recommanderiez vous pour le DNS ? Cloudflare ? ou un DNS basé en France comme celui de la Bourse de Paris, cf cette liste ?

Merci,
Édouard


Asus VivoBook S 15 Fedora 34 x86_64 KDE

Hors ligne

#2 14/07/2020 15:29:10

Refuznik
Membre
Inscription : 31/01/2007
Messages : 7 887

Re : [Résolu] DNS et DNSoverTLS

Tu as oublié le lien sur ton article. Sinon le port 443 est il ouvert deja ?
Perso. je préfère et préconise plutôt l'utilisation de DNS over HTTPS.

Hors ligne

#3 14/07/2020 16:09:44

Lyes Saadi
Un p'tit nouveau qui s'améliore :-P
Rédacteur Wiki
Lieu : 127.0.0.1
Inscription : 03/02/2018
Messages : 494
Site Web

Re : [Résolu] DNS et DNSoverTLS

Voici l'article en question : https://fedoramagazine.org/use-dns-over-tls/ !

Je l'ai aussi suivi, et j'ai fini par donner manuellement les même serveurs DNS à NetworkManager (À partir de l'application "Paramètre") et ça a l'air de marcher ?

EDIT : voici ce que j'ai :

➜ resolvectl query fedoraproject.org
fedoraproject.org: 8.43.85.67                  -- link: wlp2s0
                   8.43.85.73                  -- link: wlp2s0
                   38.145.60.20                -- link: wlp2s0
                   38.145.60.21                -- link: wlp2s0
                   67.219.144.68               -- link: wlp2s0
                   140.211.169.196             -- link: wlp2s0
                   140.211.169.206             -- link: wlp2s0
                   152.19.134.142              -- link: wlp2s0
                   152.19.134.198              -- link: wlp2s0
                   209.132.190.2               -- link: wlp2s0
                   2604:1580:fe00:0:dead:beef:cafe:fed1 -- link: wlp2s0
                   2605:bc80:3010:600:dead:beef:cafe:fed9 -- link: wlp2s0
                   2605:bc80:3010:600:dead:beef:cafe:feda -- link: wlp2s0
                   2610:28:3090:3001:dead:beef:cafe:fed3 -- link: wlp2s0
                   2620:52:3:1:dead:beef:cafe:fed6 -- link: wlp2s0
                   2620:52:3:1:dead:beef:cafe:fed7 -- link: wlp2s0

-- Information acquired via protocol DNS in 329.6ms.
-- Data is authenticated: yes

Dernière modification par Lyes Saadi (14/07/2020 16:11:51)


Ceci n'est pas une signature.
Les développeurs C++ sont des terroristes.
Et Linux est meilleur que Windows. Ce sont des faits.

Hors ligne

#4 14/07/2020 16:13:02

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 6 459
Site Web

Re : [Résolu] DNS et DNSoverTLS

Tu parles de cet article https://fedoramagazine.org/use-dns-over-tls/ ? Les commentaires sont un peu houleux...

Dans ton fichier /etc/systemd/resolved.conf tu ne pointes pas sur le résolveur local 127.0.0.53. Après faudrait s'assurer de toutes les étapes aussi.


F34_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F33_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F33_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#5 15/07/2020 11:21:56

Edouard_le_homard
Rédacteur Wiki
Rédacteur Wiki
Lieu : Sous un rocher noir
Inscription : 24/03/2012
Messages : 3 611

Re : [Résolu] DNS et DNSoverTLS

> Tu as oublié le lien sur ton article
Au temps pour moi, c'est bien https://fedoramagazine.org/use-dns-over-tls/ comme certains l'ont mentionné

> Sinon le port 443 est il ouvert deja ?
heu non. Quel protocole dois-je spécifier ?

> Tu parles de cet article https://fedoramagazine.org/use-dns-over-tls/ ? Les commentaires sont un peu houleux...
effectivement je viens d'aller voir et c'est pas jojo !

> Je l'ai aussi suivi, et j'ai fini par donner manuellement les même serveurs DNS à NetworkManager (À partir de l'application "Paramètre") et ça a l'air de marcher ?
Certes, mais ce faisant 1) tu dois le faire réseau par réseau et 2) tu ne forces pas l'utilisation de TLS

> Dans ton fichier /etc/systemd/resolved.conf tu ne pointes pas sur le résolveur local 127.0.0.53. Après faudrait s'assurer de toutes les étapes aussi.
mm ok, que recommandes-tu exactement ?


Asus VivoBook S 15 Fedora 34 x86_64 KDE

Hors ligne

#6 17/07/2020 08:50:02

Edouard_le_homard
Rédacteur Wiki
Rédacteur Wiki
Lieu : Sous un rocher noir
Inscription : 24/03/2012
Messages : 3 611

Re : [Résolu] DNS et DNSoverTLS

En ouvrant le port 443 tcp et udp, j'ai bien le comportement attendu, merci Refuznik.

Concernant le choix du DNS, des recommandations ? Cloudflare ? le DNS de la Bourse de Paris ? Orange ? autre ?

Pour ceux qui voudraient tester sur leur ISP prend en charge DNSoverTLS, voici la procédure :
dnf install nmap
nmap -p 853 1.1.1.1

If your ISP is allowing DNS over TLS, you should see the following output

Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-14 17:34 PDT
Nmap scan report for one.one.one.one (1.1.1.1)
Host is up (0.036s latency).

PORT STATE SERVICE
853/tcp open domain-s

The key output line is
853/tcp open domain-s



Et si ça n'est pas le cas et que vous utilisez Firefox :
If your ISP is blocking DNS over TLS, the simplest solution is to enable Firefox DNS over HTTPS which can be set at Preferences->Network Settings->DNS over HTTPS. In fact, if you are going to follow the tutorial which uses Cloudflare’s and Google’s DNS servers, Firefox’s DNS over HTTPS it the simplest solution for web browsing, gives you at least as much security as DNS over TLS and affords you more privacy than DNS over TLS.


Asus VivoBook S 15 Fedora 34 x86_64 KDE

Hors ligne

#7 17/07/2020 10:43:44

Refuznik
Membre
Inscription : 31/01/2007
Messages : 7 887

Re : [Résolu] DNS et DNSoverTLS

Je recommande d'utiliser FDN la Fédération des Fournisseurs d'Accès Internet Associatifs https://www.ffdn.org/fr/services

Hors ligne

#8 17/07/2020 12:50:39

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 6 459
Site Web

Re : [Résolu] DNS et DNSoverTLS

Refuznik a écrit :

Je recommande d'utiliser FDN la Fédération des Fournisseurs d'Accès Internet Associatifs https://www.ffdn.org/fr/services

Exactement ce que j'utilise pour mon résolveur.


F34_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F33_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F33_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#9 17/07/2020 14:47:35

Edouard_le_homard
Rédacteur Wiki
Rédacteur Wiki
Lieu : Sous un rocher noir
Inscription : 24/03/2012
Messages : 3 611

Re : [Résolu] DNS et DNSoverTLS

merci ! je clos


Asus VivoBook S 15 Fedora 34 x86_64 KDE

Hors ligne

Pied de page des forums