« Unbound - Pihole » : différence entre les versions

(20 versions intermédiaires par le même utilisateur non affichées)

Ligne 4 :

== Unbound ==

si erreur : <code>warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max</code>

- Ouvrez le fichier de configuration des paramètres sysctl :

sudo nano /etc/sysctl.conf

</syntaxhighlight>

- Ajoutez ou modifiez la ligne suivante :

net.core.rmem_max=1048576

</syntaxhighlight>

- Appliquez les modifications :

bash sudo sysctl -p

</syntaxhighlight>

sudo systemctl restart unbound

</syntaxhighlight>

- Vérifiez la valeur actuelle de net.core.rmem_max :

sysctl net.core.rmem_max

</syntaxhighlight>

=== Services ===

Ligne 51 :

Ligne 74 :

* https://docs.pi-hole.net/guides/unbound/

=== DNS over TLS ===

=== DNS over TLS (DoT) ===

DNS over TLS (DoT)<br />

Pas besoin d'activer DNS over TLS (DoT) directement dans Pi-hole si Unbound est déjà configuré pour utiliser un résolveur DNS en amont qui gère lui-même DoT.

==== Explication du flux DNS : ====

==== 1. Explication du flux DNS : ====

: 1. Pi-hole reçoit les requêtes DNS des clients du réseau.

: 2. Unbound agit comme un résolveur DNS récursif local et transmet les requêtes DNS à un résolveur DNS en amont.

: 3. Si le résolveur DNS en amont d'Unbound prend en charge DNS ~~over TLS (~~DoT), alors les requêtes DNS entre Unbound et le résolveur en amont seront chiffrées.

: 3. Si le résolveur DNS en amont d'Unbound prend en charge DNS DoT, alors les requêtes DNS entre Unbound et le résolveur en amont seront chiffrées.

Dans ce cas, Pi-hole n'a pas besoin de gérer DoT directement, car c'est Unbound qui s'en charge.

==== Pourquoi ne pas activer DoT dans Pi-hole ? ====

==== 2. Pourquoi ne pas activer DoT dans Pi-hole ? ====

:- Redondance : Si Unbound est déjà configuré pour utiliser DoT, activer DoT dans Pi-hole serait redondant et pourrait compliquer la configuration.

:- Simplicité : Laisser Unbound gérer DoT simplifie la configuration de Pi-hole et évite les conflits potentiels.

:- Performance : Unbound est optimisé pour gérer les requêtes DNS récursives et peut mieux gérer le chiffrement TLS que Pi-hole.

==== Configuration recommandée ====

==== 3. Configuration recommandée ====

: 1. Pi-hole :

::- Configurez Pi-hole pour utiliser Unbound comme résolveur DNS en amont.

Ligne 74 :

Ligne 98 :

::- Configurez Unbound pour utiliser un résolveur DNS en amont qui prend en charge DoT (par exemple, Cloudflare, Quad9 ou Google).

::- Assurez-vous que DoT est activé dans la configuration d'Unbound.

==== Configurez Unbound ====

==== 4. Configurez Unbound ====

Pour utiliser un résolveur DNS en amont avec DoT. Par exemple, avec Cloudflare :

Ouvrez le fichier de configuration d'Unbound :

Ligne 92 :

Ligne 116 :

sudo systemctl restart unbound

</syntaxhighlight>

: Version quad 9

server:

# Désactiver la résolution récursive

# DNSSEC est géré par quad 9 et ne transmet pas le flag ad contrairement à d'autres (aucune incidence)

module-config: "iterator"

# Rediriger toutes les requêtes vers Quad9 avec DNS-over-TLS

forward-zone:

name: "."

# quad9 via WoodyNet

forward-addr: 9.9.9.9@853 # Quad9 avec DNS-over-TLS

forward-addr: 149.112.112.112@853 # Secondaire Quad9 avec DNS-over-TLS

forward-addr: 2620:fe::fe@853 # IPV6 Quad9 avec DNS-over-TLS

forward-addr: 2620:fe::9@853 # IPV6 Secondaire Quad9 avec DNS-over-TLS

forward-tls-upstream: yes # Activer DNS-over-TLS

</syntaxhighlight>

: test :

dig example.com @127.0.0.1 +dnssec

</syntaxhighlight>

==== 5. Vérifiez que DoT est utilisé ====

Utilisez tcpdump ou tshark pour capturer le trafic entre Unbound et le résolveur DNS en amont :<br />

DoT

sudo tcpdump -i eth0 port 853

</syntaxhighlight>

Vous devriez voir du trafic chiffré sur le port 853.

: [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9]

=== DNSSEC ===

Ligne 246 :

Ligne 300 :

En remplacement de unbound sur 127.0.0.1#5053

: [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9]

== logs ==

sudo pihole -t

</syntaxhighlight>

Pour filtrer les logs pour une adresse IP spécifique (par exemple, 192.168.1.10), utilisez :

sudo pihole -t | grep 192.168.1.10

</syntaxhighlight>

Vous pouvez également consulter les logs historiques dans le fichier :

sudo cat /var/log/pihole.log | grep 192.168.1.10

</syntaxhighlight>

== sqllite3 ==

@@ Ligne 4 : / Ligne 4 : @@
 == Unbound ==
+si erreur : <code>warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max</code>
+- Ouvrez le fichier de configuration des paramètres sysctl :
+<syntaxhighlight lang="bash" line copy>
+sudo nano /etc/sysctl.conf
+</syntaxhighlight>
+- Ajoutez ou modifiez la ligne suivante :
+net.core.rmem_max=1048576
+</syntaxhighlight>
+- Appliquez les modifications :
+<syntaxhighlight lang="bash" line copy>
+bash sudo sysctl -p
+</syntaxhighlight>
+<syntaxhighlight lang="bash" line copy>
+sudo systemctl restart unbound
+</syntaxhighlight>
+- Vérifiez la valeur actuelle de net.core.rmem_max :
+<syntaxhighlight lang="bash" line copy>
+sysctl net.core.rmem_max
+</syntaxhighlight>
 === Services ===
@@ Ligne 51 : / Ligne 74 : @@
 * https://docs.pi-hole.net/guides/unbound/
-=== DNS over TLS ===
+=== DNS over TLS (DoT) ===
+DNS over TLS (DoT)<br />
 Pas besoin d'activer DNS over TLS (DoT) directement dans Pi-hole si Unbound est déjà configuré pour utiliser un résolveur DNS en amont qui gère lui-même DoT.
-==== Explication du flux DNS : ====
+==== 1. Explication du flux DNS : ====
 : 1. Pi-hole reçoit les requêtes DNS des clients du réseau.
 : 2. Unbound agit comme un résolveur DNS récursif local et transmet les requêtes DNS à un résolveur DNS en amont.
-: 3. Si le résolveur DNS en amont d'Unbound prend en charge DNS over TLS (DoT), alors les requêtes DNS entre Unbound et le résolveur en amont seront chiffrées.
+: 3. Si le résolveur DNS en amont d'Unbound prend en charge DNS DoT, alors les requêtes DNS entre Unbound et le résolveur en amont seront chiffrées.
 Dans ce cas, Pi-hole n'a pas besoin de gérer DoT directement, car c'est Unbound qui s'en charge.
-==== Pourquoi ne pas activer DoT dans Pi-hole ? ====
+==== 2. Pourquoi ne pas activer DoT dans Pi-hole ? ====
 :- Redondance : Si Unbound est déjà configuré pour utiliser DoT, activer DoT dans Pi-hole serait redondant et pourrait compliquer la configuration.
 :- Simplicité : Laisser Unbound gérer DoT simplifie la configuration de Pi-hole et évite les conflits potentiels.
 :- Performance : Unbound est optimisé pour gérer les requêtes DNS récursives et peut mieux gérer le chiffrement TLS que Pi-hole.
-==== Configuration recommandée ====
+==== 3. Configuration recommandée ====
 : 1. Pi-hole :
 ::- Configurez Pi-hole pour utiliser Unbound comme résolveur DNS en amont.
@@ Ligne 74 : / Ligne 98 : @@
 ::- Configurez Unbound pour utiliser un résolveur DNS en amont qui prend en charge DoT (par exemple, Cloudflare, Quad9 ou Google).
 ::- Assurez-vous que DoT est activé dans la configuration d'Unbound.
-==== Configurez Unbound ====
+==== 4. Configurez Unbound ====
 Pour utiliser un résolveur DNS en amont avec DoT. Par exemple, avec Cloudflare :
 Ouvrez le fichier de configuration d'Unbound :
@@ Ligne 92 : / Ligne 116 : @@
 sudo systemctl restart unbound
 </syntaxhighlight>
+: Version quad 9
+<syntaxhighlight lang="yaml" line copy>
+server:
+    # Désactiver la résolution récursive
+    # DNSSEC est géré par quad 9 et ne transmet pas le flag ad contrairement à d'autres (aucune incidence)
+    module-config: "iterator"
+    # Rediriger toutes les requêtes vers Quad9 avec DNS-over-TLS
+    forward-zone:
+        name: "."
+        # quad9 via WoodyNet
+        forward-addr: 9.9.9.9@853  # Quad9 avec DNS-over-TLS
+        forward-addr: 149.112.112.112@853 # Secondaire Quad9 avec DNS-over-TLS
+        forward-addr: 2620:fe::fe@853 # IPV6 Quad9 avec DNS-over-TLS
+        forward-addr: 2620:fe::9@853 # IPV6 Secondaire Quad9 avec DNS-over-TLS
+        forward-tls-upstream: yes # Activer DNS-over-TLS
+</syntaxhighlight>
+: test :
+<syntaxhighlight lang="bash" line copy>
+dig example.com @127.0.0.1 +dnssec
+</syntaxhighlight>
+==== 5. Vérifiez que DoT est utilisé ====
+Utilisez tcpdump ou tshark pour capturer le trafic entre Unbound et le résolveur DNS en amont :<br />
+DoT
+<syntaxhighlight lang="bash" line copy>
+sudo tcpdump -i eth0 port 853
+</syntaxhighlight>
+Vous devriez voir du trafic chiffré sur le port 853.
+: [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9]
 === DNSSEC ===
@@ Ligne 246 : / Ligne 300 : @@
 En remplacement de unbound sur 127.0.0.1#5053
 : [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9]
+== logs ==
+<syntaxhighlight lang="bash" line copy>
+sudo pihole -t
+</syntaxhighlight>
+Pour filtrer les logs pour une adresse IP spécifique (par exemple, 192.168.1.10), utilisez :
+<syntaxhighlight lang="bash" line copy>
+sudo pihole -t | grep 192.168.1.10
+</syntaxhighlight>
+Vous pouvez également consulter les logs historiques dans le fichier :
+<syntaxhighlight lang="bash" line copy>
+sudo cat /var/log/pihole.log | grep 192.168.1.10
+</syntaxhighlight>
 == sqllite3 ==

« Unbound - Pihole » : différence entre les versions

« Unbound - Pihole » : différence entre les versions