logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-10-2018 15:44:17

Cherka
Membre
Distrib. : Debian GNU/Linux buster/sid
Noyau : Linux 5.2.0-2-amd64
(G)UI : kde plasma
Inscription : 14-09-2015

Unbound + dnssec + conf TLS

bonjour,

Problematique:
je cherche à configurer unbound via tls. le tuto debian-facile est tres bien fait et updater mais ne mentionne que la config "unsecure".
celai  fait plus d'un an (avec periode d'abandon-reprise) que je cherche à adapter mon fichier de conf unbound-tls pour un acces WWW via tls sans succes.
je vous fait l'impasse sur l'historique des differents sites consultés (US) et echanges pour y parvenir.

Existant:
j'ai donc 2fichiers de conf unbound: 1 sur le quel je roule (unsecure) et l'autre qui me bloque (TLS).
j'ai egalement créé une regle parfeu pour le tls sur port 853.

Ci dessous le fichier TLS:

### fichier de conf unbound-tls
### Ref https://wiki.obsd4a.net/network:service:unbound-dnssec#gestion-dns-tls

# /etc/unbound/unbound.conf.d/ The server clause sets the main parameters.

server:

### verbosity number, 0 is least verbose. 1 is default.
    verbosity: 2

### interface
  #default interface
    interface: 127.0.0.1
    interface: ::1
  #toute les interfaces
  #interface: 0.0.0.0
  #interface: ::0
## Gestion des réseaux autorisés
  #localhost (lo)
     access-control: 127.0.0.0/8 allow ## j'autorise mon localhost
    access-control: ::1/128 allow
    access-control: 127.0.0.1/32 allow #_snoop
    access-control: ::1 allow #_snoop
  #reseau
    access-control: 192.168.0.0/16 allow ## j'autorise le réseau local
    access-control: 192.168.1.0/24 allow ## j'autorise le réseau local
   # l'internet (à ne pas activer)
    access-control: 0.0.0.0/0 refuse
    access-control: ::0/0 refuse

### Activation IPv et Support des Protocols :
    do-ip4: yes
    do-ip6: yes
    do-udp: yes
## Option d'activation du mode TLS
    do-tcp: yes
## ssl-upstream ou tls-upstream force le protocole TLS. ##
    tls-upstream: yes
    tls-upstream: yes
    tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
  # port to answer queries from
    tls-port: 853


### Divers
  # Durcir et cacher certaines informations
    harden-algo-downgrade: yes
    harden-glue: yes

    minimal-responses: yes
    hide-identity: yes
    hide-version: yes
    private-address: 192.168.0.0/16
    private-address: 192.168.1.0/24
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
  #private-address: 169.254.0.0/16

  #! Résout gOogLe.cOm et google.com de la même manière  
    use-caps-for-id: yes
    val-clean-additional: yes
  # Optimisation
    num-threads: 4

    key-cache-slabs: 8
    infra-cache-slabs: 8
    msg-cache-slabs: 8
    rrset-cache-slabs: 8

    key-cache-size: 16m
    msg-cache-size: 4m
    rrset-cache-size: 8m

    outgoing-range: 206
    qname-minimisation: yes

    so-rcvbuf: 1m
    so-sndbuf: 1m
    so-reuseport: yes

###Gestion des caches
  # garde en cache les bons résultats
    prefetch: yes
    cache-min-ttl: 3600
    cache-max-ttl: 86400
  # Durcissement
    harden-below-nxdomain: yes
    harden-dnssec-stripped: yes
    harden-referral-path: yes

##Gestion des journaux
  # gestion logs
    logfile: /var/log/unbound/unbound.log
    use-syslog: yes
    unwanted-reply-threshold: 10000000
    val-log-level: 2

  # Bloque certains sites & pubs
    include: /var/lib/unbound/unbound_ad_servers

  # Gestion fichier root.hints
    root-hints: "/var/lib/unbound/root.hints"

### Forwarder
    forward-zone:
    name: "."                           # use for ALL queries
    forward-tls-upstream: yes

    ## IPv4 DNS over TLS
    forward-addr: 9.9.9.9@853#dns.quad9.net      #Quad9
    forward-addr: 1.1.1.1@853#cloudflare-dns.com #Cloudflare
    forward-addr: 149.112.112.112@853#dns.quad9.net #Quad9 secondaire
    forward-addr: 1.0.0.1@853#cloudflare-dns.com    #Cloudflare secondaire
    forward-addr: 146.185.167.43@853#securedns.eu           #Europe
    forward-addr: 89.233.43.71@853#unicast.censurfridns.dk  #Europe

    #forward-addr: 145.100.185.15@853#dnsovertls.sinodun.com      #US
    #forward-addr: 184.105.193.78@853#tls-dns-u.odvr.dns-oarc.net #US
    #forward-addr: 185.49.141.37@853#getdnsapi.net #US
    #forward-addr: 199.58.81.218@853#dns.cmrg.net  #US

    ## IPv6 DNS over TLS
    forward-addr: 2620:fe::fe@853#dns.quad9.net                #Quad9 / IPv6
    forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com  #Cloudflare / IPv6
    forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com  #Cloudflare secondaire / IPv6
 



qlq '1 pourrait il me dire qu'est ce qui cloche dans ce fichier?
Cordialement

Hors ligne

#2 29-10-2018 18:29:48

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Unbound + dnssec + conf TLS

Salut,

je ne connais pas du tout unbound, je n'utilise que bind9...
mais un truc me chiffonne :

tu autorises les réseaux 192.168.0.0/16 et  192.168.1.0/24 (au passage il est déjà autorisé via l'autre réseau)
mais ton service n'écoute que 127.0.0.1 et ::1

bref ton réseau local n'y a pas accès !

o_O

Hors ligne

#3 29-10-2018 21:08:23

Cherka
Membre
Distrib. : Debian GNU/Linux buster/sid
Noyau : Linux 5.2.0-2-amd64
(G)UI : kde plasma
Inscription : 14-09-2015

Re : Unbound + dnssec + conf TLS

Tu as raison freemaster.
Ce fichier date d1 période où  ne sachant pas quoi faire, jexperimentais des modifs tout azimut sans logiques.
Bref, en gros je devrais commenter la ligne 127.0.0.0 pour decommenter celle 0.0.0.0

Quoi qu'il en soit ce n'est pas a ce niveau que le hic existe. Du moins je crois...

Dernière modification par Cherka (29-10-2018 21:09:39)

Hors ligne

#4 30-10-2018 06:23:33

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Unbound + dnssec + conf TLS

verbosity: 1
       
interface: 0.0.0.0@853
interface: ::0@853
 
access-control: 127.0.0.0/8 allow
access-control: ::1/128 allow
access-control: 192.168.0.0/16 allow


devrait avoir moins de hic smile

Dernière modification par Freemaster (30-10-2018 06:24:07)


o_O

Hors ligne

#5 30-10-2018 19:49:40

Cherka
Membre
Distrib. : Debian GNU/Linux buster/sid
Noyau : Linux 5.2.0-2-amd64
(G)UI : kde plasma
Inscription : 14-09-2015

Re : Unbound + dnssec + conf TLS

ok merci pour les infos que je me suis empressé d'apporter au fichier.

cependant je suis tjrs bloqué apres sa mise en service.

que penses tu, freemaster, du blok foward-zone ( bas du fichier de conf)? penses tu qu'il es valide?

mes dernières recherches m'ont emmenées à créer un file.pem + file.key selon les instructions du blog http://www.bortzmeyer.org/7858.html mais rien n'y fait.

et pourtant je sens quej'y suis presque....

Hors ligne

#6 30-10-2018 20:38:24

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Unbound + dnssec + conf TLS

le block foward-zone ne me choque pas, ça ne veut pas dire que c'est bon tongue

sinon question bête, tu as bien une connectivité ipv6 sur le serveur ?
par exemple si tu ping debian-facile.org, tu as bien un retour en ipv6 ?

file-Ra420afea3dd587f6aec64da6595f627f

je pose la question, car certaines personnes croient qu'ils peuvent utiliser l'ipv6, alors qu'en fait ils n'ont pas le support...

o_O

Hors ligne

Pied de page des forums