Bonjour,

J'ai besoin d'implémenter un serveur (sous Bullseye pour l'instant)
qui va faire office de cache DNS pour les machines de réseaux locaux
(une centaine de machines réparties dans plusieurs VLAN).
Une précision importante: je ne maîtrise pas ces machines réparties
dans plusieurs VLAN: il peut s'agir de smartphones, PC ou console de
tout type.

Mes besoins:
- pour chaque VLAN, j'aimerai pouvoir désigner un fichier
/etc/hosts.vlanx dans lequel je liste quelques ressources locales
(imprimante, ...) pouvant être résolues.

- si l'existence de cache DNS accélère la résolution DNS des machines
du réseau local, tant mieux, sinon c'est pas grave.

Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le
contenu est:
options rotate timeout:1 retries:1
search monsuperdomain.lan
nameserver 1.1.1.1
nameserver 9.9.9.9

Je découvre unbound qui m'a l'air de bien coller à mes besoins. Mes questions:

1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf)
de celui en aval ?

2. Activer le DNSSEC engendre-t-il des difficultés pour l'exploitant ?
Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou
des inconvénients ?

3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok ou
youtube, faut-il attendre des bénéfices avec du cache DNS (par rapport
à une configuration où les utilisateurs interrogent directement des
DNS publics) ?

4. Conseillez-vous unbound ? Si non, quelle alternative ?

Slts

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 22 septembre 2023 Olivier a écrit :

3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok ou youtube, faut-il attendre des bénéfices avec du cache DNS (par rapport
à une configuration où les utilisateurs interrogent directement des
DNS publics) ?

un cache accélère nettement

$ dig @cache netflix.com

premier appel :

;; Query time: 11 msec

deuxième appel :

;; Query time: 2 msec

4. Conseillez-vous unbound ? Si non, quelle alternative ?

bind9 est quand même LE serveur DNS. Il permet de
- forwarder en servant de cache
- servir des zones internes selon le vlan avec les views ce qui
dispense des /etc/hosts
- mettre DNSSEC
Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en
direct.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, Sep 22, 2023 at 02:02:36PM +0200,
Michel Verdier <mv524@free.fr> wrote
a message of 31 lines which said:

4. Conseillez-vous unbound ? Si non, quelle alternative ?

bind9 est quand même LE serveur DNS.

En 2023, c'est une affirmation très bizarre. Cela fait de nombreuses
années qu'il existe de meilleurs logiciels. BIND est utile dans deux
cas :
- si on veut une option très exotique qui n'existe que sur BIND,
- si on aime les patches de sécurité à appliquer en urgence tous les mois.

- forwarder en servant de cache

Comem tous les résolveurs (encore heureux).

- mettre DNSSEC

Comme tous les résolveurs (encore heureux).

Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en direct.

Comme tous les résolveurs (encore heureux).

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, Sep 22, 2023 at 11:01:52AM +0200,
Olivier <oza.4h07@gmail.com> wrote
a message of 48 lines which said:

- pour chaque VLAN, j'aimerai pouvoir désigner un fichier
/etc/hosts.vlanx dans lequel je liste quelques ressources locales (imprimante, ...) pouvant être résolues.

Hmmm, ça va sérieusement compliquer les choses (et le déboguage !). À
part avec les vues, je ne vois pas comment faire.

Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le contenu est:
options rotate timeout:1 retries:1
search monsuperdomain.lan
nameserver 1.1.1.1
nameserver 9.9.9.9

Alors, quatre remarques :

- pourquoi utiliser des résolveurs étatsuniens qui font Dieu sait quoi
des données récoltées ?
- pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de
parler directement aux serveurs faisant autorité ?
- /etc/resolv.conf est pour les clients finaux, pas pour un résolveur,
- avoir à la fois un résolveur non menteur et un menteur va être assez cauchemardesque pour le déboguage.

1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf)
de celui en aval ?

Pas clair. Pas compris.

2. Activer le DNSSEC engendre-t-il des difficultés pour
l'exploitant ?

On est en 2023, tous les résolveurs sérieux valident avec DNSSEC.

Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou
des inconvénients ?

Bénéfice : sécurité
Inconvénient : comme toutes les techniques de sécurité, ça peut
bloquer des accès légitimes

3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok
ou youtube, faut-il attendre des bénéfices avec du cache DNS (par
rapport à une configuration où les utilisateurs interrogent
directement des DNS publics) ?

Tester. (En administration système, il faut mesurer, pas supposer.)

4. Conseillez-vous unbound ? Si non, quelle alternative ?

Unbound est très bien, mais Knot Resolver aussi.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le ven. 22 sept. 2023 à 15:03, Stephane Bortzmeyer
<stephane@sources.org> a écrit :

- pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de
parler directement aux serveurs faisant autorité ?

Quand on installe sur sa machine, un logiciel comme Unbound, celui-ci
sait-il directement interroger les serveurs DNS centraux qui gèrent
les .com, .fr et autres (ie sans passer par les serveurs comme
1.1.1.1 ou autres ) ?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le ven. 22 sept. 2023 à 15:20, Michel Verdier <mv524@free.fr> a écrit :

Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en direct.

Je n'avais pas compris que c'était possible !
Merci à Michel et Stéphane pour leur réponse qui change pas mal de choses.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, Sep 22, 2023 at 04:55:05PM +0200,
Olivier <oza.4h07@gmail.com> wrote
a message of 11 lines which said:

Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en direct.

Je n'avais pas compris que c'était possible !

Tout le monde peut installer un vrai résolveur (qui parle directement
aux serveurs faisant autorité). Enfin, pour l'instant : parions que le gouvernement va proposer une loi pour interdire cela.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, Sep 22, 2023 at 04:49:07PM +0200,
Olivier <oza.4h07@gmail.com> wrote
a message of 10 lines which said:

Quand on installe sur sa machine, un logiciel comme Unbound, celui-ci
sait-il directement interroger les serveurs DNS centraux qui gèrent
les .com, .fr et autres (ie sans passer par les serveurs comme
1.1.1.1 ou autres ) ?

Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de privilège particulier, il parle aux serveurs faisant autorité, comme le fait le résolveur public de FDN, ou comme le fait le petit résolveur Knot qui
est chez moi.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, Sep 22, 2023 at 05:19:08PM +0200,
Stephane Bortzmeyer <stephane@sources.org> wrote
a message of 13 lines which said:

Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de
privilège particulier, il parle aux serveurs faisant autorité, comme
le fait le résolveur public de FDN, ou comme le fait le petit
résolveur Knot qui est chez moi.

La preuve avec dig. Voici la requête qu'un résolveur enverrait à un
des serveurs faisant autorité pour .fr, le d.nic.fr. La réponse arrive
bien, alors qu'elle est partie d'une petite machine Debian ordinaire, bêtement connectée à un FAI grand public (Free) :

% dig +dnssec +norecurse @d.nic.fr www.paypal.fr AAAA

; <<>> DiG 9.18.16-1-Debian <<>> +dnssec +norecurse @d.nic.fr www.paypal.fr AAAA
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44594
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; COOKIE: 55a74fbb3177a81301000000650db3019fb5c6c75bc88734 (good)
;; QUESTION SECTION:
;www.paypal.fr. IN AAAA

;; AUTHORITY SECTION:
paypal.fr. 3600 IN NS ns1.p57.dynect.net.
paypal.fr. 3600 IN NS pdns100.ultradns.net.
paypal.fr. 3600 IN NS pdns100.ultradns.com.
paypal.fr. 3600 IN NS ns2.p57.dynect.net.
paypal.fr. 3600 IN DS 49549 8 2 (
D99B0F323A7E1161CD598AA9ACDAC29235F6707D0E4A
C6EBC59FCB703E96AB63 )
paypal.fr. 3600 IN RRSIG DS 13 2 3600 (
20231126092821 20230915144228 60747 fr.
UouuMe6fve2zA8wRqaJCWXoPqjFDh0XafGdfwQ5sM65a
eRJotF77ify6lIXaYkt9iT0XueXYMDCRjeXafdBIzg== )

;; Query time: 0 msec
;; SERVER: 2001:678:c::1#53(d.nic.fr) (UDP)
;; WHEN: Fri Sep 22 15:30:09 UTC 2023
;; MSG SIZE rcvd: 334

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)