Forum Communauté Jeedom

Pour ma part ca fait longtemps que je m'interesse aux DNS.
Et je suis arrivé à la même conclusion que mon Guru M. Bortzmeyer
http://www.bortzmeyer.org/

Il y a plusieurs risques :
- Performance des DNS
- DNS Menteur
- confidentialité des requêtes

Le moins pire à mon sens et à celui de M. Bortzmeyer est d'avoir son propre résolveur DNS qui pointe sur les serveurs DNS root.

En effet ça charge un peu les root, mais tu as moins de risque de DNS Menteur, et une fois résolu les requêtes sont en local.

J'ai donc fait le choix, d'avoir mon propre resolveur Unbound ( intégré à Pfsense)

J'ai 2 configurations:

Un pihole Admin ( mes équipements personnels)
Mon Pihole pointe sur mon pfsense qui est résolveur qui pointe sur les root.

Un pihole users ( mes enfants)
Mon Pihole 2 pointe sur Open DNS qui réalise du filtrage pour le surf des enfants

Via le DHCP mes clients prennent un des deux Pihole comme DNS primaire ( et openDNS comme secondaire en cas de panne de pihole)

Salut

Sujet intéressant, j'ai aussi des enfants qui commencent à surfer... Le problème c'est les recherches Google avec résultats de types "images" que les OpenDNS et consors n'arrivent pas à filtrer.
Je pense avoir trouvé une solution ici pas trop mauvaise à ce sujet: sur le PiHole qui tourne dans une VM, j'ai ajouté des CNAME qui redirigent les requêtes google.com etc. vers les versions safesearch.google.com. Du coup cela force le mode safesearch en amont sur chaque poste du réseau local.

Loic

@Bartounet : j'ai mis en place le trio DNSCrypt / Unbound / piHole, mais avec Unbound en serveur DNS local (sur le port 53 donc) qui passe par piHole. Mais j'aimerai faire le contraire (piHole en front-end) pour que je puisse voir les clients dans piHole.
Actuellement, le seul client de piHole est unbound (127.0.0.1).
Tu saurais me dire comment configurer ca pour que l'ordre soit :
client - piHole - Unbound - DNSCrypt - internet (et pas client - Unbound - piHole - DNSCrypt - internet comme actuellement)

Ma config actuelle :

/etc/dnsmasq.conf /etc/dnsmasq.d/01-pihole.conf /etc/unbound/unbound.conf dnscrypt-proxy/dnscrypt-proxy.toml J'ai un peu de mal avec les rôles de dnsmasq et piHole...

Merci à toi,

Je n'ai pas mis en place DNSCrypt
Quel est l’intérêt sur ton réseau local ? juste chiffrer les requetes sur ton réseau local ?

concernant mon paramétrage c'est simple.

http://blog.info16.fr/index.php?article ... r-internet

Unbound actif sur PFSENSE sur toutes les interfaces
Pihole paramétré avec PFSENSE comme DNS



Et sur mes clients, le DHCP pousse DNS1 = Pihole DNS2=pfsense ou opendns

Ben non, pas que sur mon réseau local (sur lequel je n'utilise d'ailleurs jamais de nom, que des IP).
Mais l'utilité de DNSCrypt est bien de chiffrer les requetes DNS vers les serveurs DNS externes.
Parce que si les requêtes http sont chiffrées, les requêtes DNS, elles, ne le sont pas par défaut..
D'ou l'utilité de DNSCrypt.
Concernant Unbound, j'ai l'impression qu'au final, il fait un peu double emploi avec piHole, car les 2 gère du cache DNS...

Je comprends bien l'utilité de DNSCryt à ne pas confondre avec DNSSec

Mais Je ne comprends pas ta chaine de résolution DNS
Un chiffrement ce fait entre un client et un serveur
Donc ok c'est chiffré entre tes clients et dnscrypt mais sur internet ?

Tu utilise quel résolveurs DNS publiques pour chiffrer ?? Open DNS avec leur options DNSCrypt ?

Pour mon utilisation unbound à son utilité, car c'est lui qui contacte les serveurs RACINES
J'utilise unbound en resolveur surtout pour éviter les DNS Menteurs.

J'utilise mon propre resolveur, pas celui de Open DNS, pas celui de Google, le mien !!
http://www.bortzmeyer.org/son-propre-resolveur-dns.html

Il ne faut pas confondre un redirecteur et un résolveur.
Pour mon utilisation Unbound est mon resolveur et Pihole mon redirecteur

Je n'ai pas l'impression que PiHole sache le faire ( il faut cocher des resolveurs DNS Publiques ou un résolveur interne)



PS: Si ça t’intéresse j'ai aussi une sonde Atlas
http://blog.info16.fr/index.php?article ... r-internet

Je ne crois pas confondre : si j'ai bien compris, DNSCrypt assure le chiffrement, et l'utilisation de l'option DNSSec (sur toutes les briques) joue le rôle de validation du "certificat" de chiffrement, pour faire l'analogie avec https. J'ai bon?
Et ca fonctionne bien sur mes requetes internet.. d'après ce test en tout cas : https://dnssec.vs.uni-due.de

Pour l'instant, c'est DNSCrypt qui sort en utilisant une liste filtrée (par moi) de serveur DNS (pas racine, mais c'est peut-etre faisable) en fonction de leur rapidité. Mais je peux forcer ceux que je préfère.
La liste : https://dnscrypt.info/public-servers/ (que j'ai filtré sur ceux utilisant DNSSec, et qui ne log pas). Mais j'aimerai utiliser mon propre résolveur.

Unbound ne sert donc aujourd'hui que de cache si j'ai bien compris. Mais il est actuellement en frontal de mon LAN (c'est lui qui ecoute sur le port 53) au lieu de piHole, qui est derriere. Et j'aimerai bien inversser ca, mais je ne sais pas comment, car DnsMasq, utilisé par piHole, m'en empeche.

Comment tu précises à Unbound les serveurs racines?
Et du coup, tu ne chiffre pas?

Sympa la sonde Atlas.. Ca va m'interesser, mais une chose à la fois..

Bonjour,

Très bon plugin, simple et efficace.

Juste un truc, par default on a un cron toutes les minutes.
Serait-il possible d'avoir les cron15, cron30 et cronhourly ?

Je n'ai pas besoin du cron sur mon pihole chaque minute, un cron hourly suffirait amplement.

Sinon avez vous des scénarios dessus ? Genre si le % de pubs dépasse un pourcentage ? Ou si la nuit, le nombre de requête explose ? etc...
Pour l'instant perso, je trouve pratique le enable / disable depuis jeedom, par l'app mobie si besoin. Je ne me sert pas du reste.

Et sinon, y'aurait il moyen d'avoir une alerte si le pihole ne répond pas ? Qu'on puisse avoir une notif avec l'app mobile si il est dans les choux pour x raison.

kiboost a écrit :Bonjour,

Très bon plugin, simple et efficace.

Juste un truc, par default on a un cron toutes les minutes.
Serait-il possible d'avoir les cron15, cron30 et cronhourly ?

Je n'ai pas besoin du cron sur mon pihole chaque minute, un cron hourly suffirait amplement.

Sinon avez vous des scénarios dessus ? Genre si le % de pubs dépasse un pourcentage ? Ou si la nuit, le nombre de requête explose ? etc...
Pour l'instant perso, je trouve pratique le enable / disable depuis jeedom, par l'app mobie si besoin. Je ne me sert pas du reste.

Et sinon, y'aurait il moyen d'avoir une alerte si le pihole ne répond pas ? Qu'on puisse avoir une notif avec l'app mobile si il est dans les choux pour x raison.

Je vais voir pour les différents crons...

Pour la non réponse, plug-in network ?


Envoyé de mon iPhone en utilisant Tapatalk

dommage de passer par un autre plugin ... Tu a la réponse du http_request, en gerant le responseCode avec un try/catch on pourrait renseigner une info up/down

oui bonne idée... je pensais plus un nslookup mais en effet c'est pas mal aussi

voilà, si 404, la commande online est à 0 sinon elle est à 1... en beta

par contre pour le cron il faut que je vois comment donner la possibliité de le changer car du coup le status online ne sera mis à jour que par ce cron aussi (ou une commande rentrée...)

Nebz a écrit : ↑

15 oct. 2018, 12:09

voilà, si 404, la commande online est à 0 sinon elle est à 1... en beta

par contre pour le cron il faut que je vois comment donner la possibliité de le changer car du coup le status online ne sera mis à jour que par ce cron aussi (ou une commande rentrée...)

Super, merci !

On peux le changer dans la config du plugin. Et oui, cronhourly, le status online sera mise à jour toute les heures comme le reste, normal.
De toute façon, le bail dhcp est généralement plus long donc çà ira bien.

Nebz a écrit :voilà, si 404, la commande online est à 0 sinon elle est à 1... en beta

par contre pour le cron il faut que je vois comment donner la possibliité de le changer car du coup le status online ne sera mis à jour que par ce cron aussi (ou une commande rentrée...)

Bonjour
Très bonne idée, quand le Pihole est tombé cela permet d’être notifier voir de redémarrer la vm automatiquement.
Merci


Envoyé de mon iPhone en utilisant Tapatalk

ffp17 a écrit : ↑

15 oct. 2018, 12:33

Très bonne idée, quand le Pihole est tombé cela permet d’être notifier voir de redémarrer la vm automatiquement.
Merci

C'est l'idée oui, en scenario provoqué #[pihole][status]# == 0

Online pas status


Envoyé de mon iPhone en utilisant Tapatalk

kiboost a écrit : ↑

15 oct. 2018, 12:28

Nebz a écrit : ↑

15 oct. 2018, 12:09

voilà, si 404, la commande online est à 0 sinon elle est à 1... en beta

par contre pour le cron il faut que je vois comment donner la possibliité de le changer car du coup le status online ne sera mis à jour que par ce cron aussi (ou une commande rentrée...)

Super, merci !

On peux le changer dans la config du plugin. Et oui, cronhourly, le status online sera mise à jour toute les heures comme le reste, normal.
De toute façon, le bail dhcp est généralement plus long donc çà ira bien.

et donc je dois juste dupliquer ma methode statique cron en cronHourly etc ? t'as un exemple de plugin qui fait ca que j'aille vérifier ?

D'après le plugin template oui mais pas sur là
Sur mon plugin j'ai le cron et j'active ou non avec un délai souhaité par l'interface

https://github.com/jeedom/plugin-templa ... .class.php

oui mais si je les mets tous ca va pas... et je sais pas trop comment créer les autres en disabled... ou alors je fais un champ config cron comme dans le plugin virtuel