bonjour,
Problematique:
je cherche à configurer unbound via tls. le tuto debian-facile est tres bien fait et updater mais ne mentionne que la config "unsecure".
celai fait plus d'un an (avec periode d'abandon-reprise) que je cherche à adapter mon fichier de conf
unbound-tls pour un acces WWW via tls sans succes.
je vous fait l'impasse sur l'historique des differents sites consultés (US) et echanges pour y parvenir.
Existant:
j'ai donc 2fichiers de conf unbound: 1 sur le quel je roule (unsecure) et l'autre qui me bloque (TLS).
j'ai egalement créé une regle parfeu pour le tls sur port 853.
Ci dessous le fichier TLS:
### fichier de conf unbound-tls
### Ref https://wiki.obsd4a.net/network:service:unbound-dnssec#gestion-dns-tls
# /etc/unbound/unbound.conf.d/ The server clause sets the main parameters.
server:
### verbosity number, 0 is least verbose. 1 is default.
verbosity: 2
### interface
#default interface
interface: 127.0.0.1
interface: ::1
#toute les interfaces
#interface: 0.0.0.0
#interface: ::0
## Gestion des réseaux autorisés
#localhost (lo)
access-control: 127.0.0.0/8 allow ## j'autorise mon localhost
access-control: ::1/128 allow
access-control: 127.0.0.1/32 allow #_snoop
access-control: ::1 allow #_snoop
#reseau
access-control: 192.168.0.0/16 allow ## j'autorise le réseau local
access-control: 192.168.1.0/24 allow ## j'autorise le réseau local
# l'internet (à ne pas activer)
access-control: 0.0.0.0/0 refuse
access-control: ::0/0 refuse
### Activation IPv et Support des Protocols :
do-ip4: yes
do-ip6: yes
do-udp: yes
## Option d'activation du mode TLS
do-tcp: yes
## ssl-upstream ou tls-upstream force le protocole TLS. ##
tls-upstream: yes
tls-upstream: yes
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
# port to answer queries from
tls-port: 853
### Divers
# Durcir et cacher certaines informations
harden-algo-downgrade: yes
harden-glue: yes
minimal-responses: yes
hide-identity: yes
hide-version: yes
private-address: 192.168.0.0/16
private-address: 192.168.1.0/24
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
#private-address: 169.254.0.0/16
#! Résout gOogLe.cOm et google.com de la même manière
use-caps-for-id: yes
val-clean-additional: yes
# Optimisation
num-threads: 4
key-cache-slabs: 8
infra-cache-slabs: 8
msg-cache-slabs: 8
rrset-cache-slabs: 8
key-cache-size: 16m
msg-cache-size: 4m
rrset-cache-size: 8m
outgoing-range: 206
qname-minimisation: yes
so-rcvbuf: 1m
so-sndbuf: 1m
so-reuseport: yes
###Gestion des caches
# garde en cache les bons résultats
prefetch: yes
cache-min-ttl: 3600
cache-max-ttl: 86400
# Durcissement
harden-below-nxdomain: yes
harden-dnssec-stripped: yes
harden-referral-path: yes
##Gestion des journaux
# gestion logs
logfile: /var/log/unbound/unbound.log
use-syslog: yes
unwanted-reply-threshold: 10000000
val-log-level: 2
# Bloque certains sites & pubs
include: /var/lib/unbound/unbound_ad_servers
# Gestion fichier root.hints
root-hints: "/var/lib/unbound/root.hints"
### Forwarder
forward-zone:
name: "." # use for ALL queries
forward-tls-upstream: yes
## IPv4 DNS over TLS
forward-addr: 9.9.9.9@853#dns.quad9.net #Quad9
forward-addr: 1.1.1.1@853#cloudflare-dns.com #Cloudflare
forward-addr: 149.112.112.112@853#dns.quad9.net #Quad9 secondaire
forward-addr: 1.0.0.1@853#cloudflare-dns.com #Cloudflare secondaire
forward-addr: 146.185.167.43@853#securedns.eu #Europe
forward-addr: 89.233.43.71@853#unicast.censurfridns.dk #Europe
#forward-addr: 145.100.185.15@853#dnsovertls.sinodun.com #US
#forward-addr: 184.105.193.78@853#tls-dns-u.odvr.dns-oarc.net #US
#forward-addr: 185.49.141.37@853#getdnsapi.net #US
#forward-addr: 199.58.81.218@853#dns.cmrg.net #US
## IPv6 DNS over TLS
forward-addr: 2620:fe::fe@853#dns.quad9.net #Quad9 / IPv6
forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com #Cloudflare / IPv6
forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com #Cloudflare secondaire / IPv6
qlq '1 pourrait il me dire qu'est ce qui cloche dans ce fichier?
Cordialement