Quad9 : un résolveur DNS ouvert qui veut vous protéger en respectant votre vie privée

Quad9 : un résolveur DNS ouvert qui veut vous protéger en respectant votre vie privée

9.9.9.9 is the new 8.8.8.8

Avatar de l'auteur
David Legrand

Publié dans

Internet

17/11/2017 7 minutes
98

Quad9 : un résolveur DNS ouvert qui veut vous protéger en respectant votre vie privée

L'importance des résolveurs DNS est méconnue, pourtant il s'agit d'une brique essentielle de l'accès à Internet. Outre ceux proposés par les FAI, il en existe chez Google ou encore FDN. Un petit nouveau vient de faire son apparition, Quad9, qui veut bloquer certaines attaques tout en respectant votre vie privée.

Lorsque vous cherchez à accéder à un site web, vous tapez son adresse (URL) dans la barre principale de votre navigateur. Mais voilà, pour établir la connexion, il faut que votre machine sache à quel serveur s'adresser à travers son adresse IP. Pour cela, il existe les résolveurs DNS.

Pour faire simple, il s'agit de gros annuaires qui visent à faire correspondre le nom de domaine d'un site à l'adresse IP d'un serveur qui sera chargé de vous envoyer le contenu de la page demandée. Cela passe par une requête DNS.

Les résolveurs DNS : des éléments peu connus, mais d'importance

Il s'agit donc d'un élément essentiel du fonctionnement d'Internet tel qu'on le connaît, et peut être à l'origine de nombreux problèmes. Il est notamment utilisé pour mettre en place le blocage de certains sites (on parle alors de DNS menteur), mais peut aussi altérer votre navigation lorsqu'un problème survient, comme nous l'avions vu l'année dernière.

Car par défaut, ce sont les serveurs DNS de votre fournisseur d'accès qui sont utilisés par votre smartphone ou la box qui vous est fournie, et donc par les appareils qui y sont connectés. Ils prennent la forme de deux adresse IP pour le serveur DNS primaire et le secondaire.

DNS
Crédits : TouiTouit, Michel et le hamster (licence: CC by SA 4.0)

 

Parfois, certains s'arrogent le droit d'utiliser les leurs, c'est notamment le cas de Google Wifi qui passe par défaut par les serveurs DNS publics de Google, les fameux 8.8.8.8 / 8.8.4.4. Même si Google se défend de toute utilisation abusive, conformément à ses engagements en termes de vie privée, il n'apparait pas comme la meilleure idée de livrer de telles informations à un tiers qui en sait déjà probablement beaucoup sur vous et vit essentiellement de la publicité. 

Il s'agit là d'un point d'importance, car celui qui voit passer toutes vos requêtes DNS peut en apprendre énormément sur vous. Il connait en effet tous les noms de domaine des sites que vous visitez, à quelle fréquence, à quelle heure, etc. De plus, toutes les requêtes DNS passent bien souvent en clair, sans chiffrement.

Quel résolveur DNS choisir ? Méfiez-vous des réponses

Dès qu'un problème d'ampleur concernant les DNS survient, on voit fleurir de nombreux guides sur le thème « quels serveurs DNS utiliser ? ». Dans le pire des cas, on voit comme conseil celui d'utiliser ceux de Google, parfois des alternatives comme OpenDNS sont évoquées, la société ayant cessé son activité publicitaire en 2014, elle appartient à Cisco depuis 2015. Vous pouvez également utiliser votre propre résolveur DNS.

Si vous optez pour un résolveur public, il y a une alternative qui est sans doute la plus intéressante à utiliser : FDN. Il s'agit d'un fournisseur d'accès à internet associatif, militant pour les libertés publiques à travers le groupement FFDNles exégètes amateurs ou même RSF. Il fournit gratuitement des résolveurs DNS publics en IPv4 ou IPv6 que chacun peut utiliser et se finance uniquement à travers ses abonnements, adhésions et  d'autres services payants

Mais comme l'a rappelé en début d'année Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».

Quad9 : une solution qui veut mieux protéger l'internaute

Récemment, un nouveau service a été lancé après une phase de bêta : Quad9. Il s'agit d'un résolveur DNS ouvert qui affiche quelques spécificités, géré par une organisation à but non lucratif qui propose un DNS menteur, mais dans « le bon sens du terme ». En effet, celui-ci bloque directement certains domaines qui sont liés à des botnets, des attaques par phishing et autres pratiques malicieuses.

19 sources sont utilisées pour identifier les domaines, dont X-Force d'IBM, partenaire du projet auprès de la Global Cyber Alliance, une organisation à but non lucratif qui travaille sur les questions de sécurité en ligne et notamment sur la mise en place simplifiée de DMARC pour l'authentification des emails. 

On retrouve aussi Packet Clearing House qui est un autre organisme à but non lucratif qui est très impliqué dans la gestion de l'infrastructure DNS, notamment anycast. La liste des domaines bloqués n'est pas donnée, mais il est possible d'effectuer une recherche depuis le site du projet.

La promesse est donc celle d'une sécurité accrue, mais aussi d'un respect de la vie privée. Quad9 précise ainsi qu'elle ne stocke pas l'adresse IP sur un disque, uniquement dans des logs temporaires le temps de l'anonymiser pour que cela soit ensuite utilisé à des fins purement statistiques ou techniques (limiter les attaques notamment). 

Les logs permanents ne contiendraient aucune information personnelle, mais seulement des données géographiques larges (ville/métro) là aussi à des fins de debug, d'analyse d'abus éventuels et de télémétrie notamment. Des statistiques publiques pourront d'ailleurs être diffusées sur base de ces informations. 

Aucune de ces informations n'est croisée, partagée ou même revendue à des tiers, promet le projet.

Rapidité et sécurité au programme

Quad9 se veut aussi rapide, avec 70 zones géographiques déjà couvertes, principalement dans des IXP (points d'échange Internet). Un objectif de 160 est affiché pour 2018.

Le service se veut rassurant sur la question du blocage de domaines légitime et précise dans sa FAQ qu'il « utilise un algorithme permettant de s'assurer qu'un domaine légitime n'est pas bloqué par accident. Dans les rares cas où cela arrive, Quad9 travaille avec les utilisateurs pour rapidement le débloquer ».

On retrouve aussi des mentions du support de DNSSEC et de l'IPv6. Pour ceux qui voudraient un service « non-menteur » et sans le blocage des domaines, une alternative est proposée mais elle retire d'autres éléments de sécurité, dommage :

  • 9.9.9.9 ou 2620:fe::fe - Blocklist, DNSSEC, No EDNS Client-Subnet
  • 9.9.9.10 ou 2620:fe::10 - No blocklist, no DNSSEC, send EDNS Client-Subnet

Dans un billet de blog assez détaillé, Stéphane Bortzmeyer note un autre point qui n'est pas évoqué par Quad9 : le support de DNS sur TLS (RFC 7858), qui permet un chiffrement du transport des requêtes. Une fonctionnalité que l'on retrouve encore trop rarement, alors qu'elle est pourtant d'importance.

Comment utiliser Quad9 (ou un autre résolveur DNS) ?

Pour ceux qui veulent utiliser les DNS de Quad9 ou même d'autres que ceux de leur FAI, deux guides ont été mis en ligne par le service : l'un pour macOS, l'autre pour Windows. Vous pouvez également les modifier dans votre routeur.

Pour les autres systèmes, vous retrouverez en général les éléments nécessaires dans les paramètres de votre connexion Wi-Fi. DNS Override vous permet de faire la même chose avec votre connexion mobile sous iOS. Sur Android, plusieurs applications sont proposées, mais toutes ne sont pas maintenues et certaines sont payantes.

98

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les résolveurs DNS : des éléments peu connus, mais d'importance

Quel résolveur DNS choisir ? Méfiez-vous des réponses

Quad9 : une solution qui veut mieux protéger l'internaute

Rapidité et sécurité au programme

Comment utiliser Quad9 (ou un autre résolveur DNS) ?

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (98)


Il est vrai que j’utilise le DNS Google pour l’instant, parce que j’ai eu des soucis avec celui de la FDN. Mais s’il y en a un qui ne pose pas de problème avec la vie privée je suis preneur. ;-)




Il s’agit d’un résolveur DNS ouvert qui affiche quelques spécificités, géré par une organisation à but lucratif



Quelle est cette organisation et comment se finance-t-elle ? <img data-src=" />




géré par une organisation à but lucratif&nbsp;qui propose un DNS menteur,





Il me semblait avoir lu l’inverse, que c’était une organisation à but non lucratif


Et changer ses DNS sur Android ? On ne peut pas sans rooter le mobile. Donc Google sait tout de vous


moui enfin c’est bien beau mais “viens chez moi chui clean” ne suffit pas m’voyez !








Minoucalinou a écrit :



Et changer ses DNS sur Android ? On ne peut pas sans rooter le mobile. Donc Google sait tout de vous





&nbsp;On peux via des app sur le play store. Mais ces apps s’éxécute comme des applications VPN et tout ton traffic réseaux passe par elles… Donc faut avoir sacrément confiance dans l’application.









Minoucalinou a écrit :



Et changer ses DNS sur Android ? On ne peut pas sans rooter le mobile. Donc Google sait tout de vous





C’est ton serveur DHCP qui attribue les DNS normalement, ton tel n’a pas de DNS en dur.



J’ai cherché une app au hasard, je tombelà dessus



 &nbsp;       



Whilst it is fairly easy to adjust the DNS servers used by your device when using wifi, android offers no option to change the used DNS servers when using a mobile connection (2G/3G/4G etc.).This App creates a VPN connection locally (No data leaves your phone using this VPN connection) to use your configured DNS servers on both wifi and mobile networks without needing root permissions.Both Ipv4 and Ipv6 are usable, a feature which isn’t supported on many phones (Even Android doesn’t offer IPv6 DNS configuration in your wifi settings).




 Que faut-il en penser du coup ?

Non, tu peux les forcer il me semble. Que ce soit pour le Wifi sur android, ou pour tes cartes réseau sur PC d’ailleurs.








Pierre_ a écrit :



Quelle est cette organisation et comment se finance-t-elle ? <img data-src=" />









eglyn a écrit :



Il me semblait avoir lu l’inverse, que c’était une organisation à but non lucratif





Petite erreur inattention à la relecture, c’est bien non lucratif ;)&nbsp;

&nbsp;



Liara T’soni a écrit :



moui enfin c’est bien beau mais “viens chez moi chui clean” ne suffit pas m’voyez !





Comme dit quand on a confiance en personne, on peut faire son propre résolveur DNS ;)



Je la trouve étrange. Cherche frostnerd.com sur internet et tu verras…



Comme dit plus haut, c’est le DHCP qui t’envoi le DNS.

Donc en réseau Télécom bas tu obtiens ce de l’opérateur et chez toi ton dhcp wifi tu le modifie.



Je pense en effet qu’il faudrait être root pour éviter une interception complète du flux réseaux.








tiret a écrit :



Il est vrai que j’utilise le DNS Google pour l’instant, parce que j’ai eu des soucis avec celui de la FDN. Mais s’il y en a un qui ne pose pas de problème avec la vie privée je suis preneur. ;-)





Tu as les serveurs OpenNIC : https://servers.opennicproject.org/



Salut, jette un coup d’oeil à unboud dns

https://korben.info/installer-serveur-dns-unbound.html


Et aussi les serveurs d’ORSN : http://www.orsn.org/en/tech/pubdns/



Et pour les curieux, il existe Stubby, un client dns expérimental, pour utiliser DNS-over-TLS.


très bien unbound, plus facile à configurer et plus léger que bind que j’utilisais auparavant. Je l’utilise sur une Raspberry Pi 2 B qui me sert donc de serveur DNS et aussi de proxy web filtrant les pubs et les trackers (squid+squidguard).


dsn66, disponible sur F-Droid


C’est récent ton soucis avec FDN?

Je n’ai pas vu d’infos à ce sujet. :)



A la rigueur mettre FDN en premier et google en deux, comme ça google ne sert que de backup. :)


Il demande d’installer un vpn. En standard, ce n’est pas aussi simple que Windows pour changer le DNS


Non c’était il y a quelques années. Depuis je suis passé sur les DNS de G-o-o-g-l-e même si c’est mal, je préférais ça à ceux de mon FAI. Cela dit je vais réessayer ceux de la FDN sur une de mes bécanes et si ça passe bien je généraliserai à toutes mes machines. La seule chose qui me dérange est qu’ils sont sous juridiction française… :‘(


Malheureusement sur Android on ne peut forcer que les DNS ipv4. On ne peut pas forcer les DNS ipv6…



Le seul moyen de forcer les DNS ipv6 c’est de passer via un routeur wifi comparable dhcp6 et de pousser les DNS via le routeur…



(Pour contourner l’absence de loopback de ma livebox je suis obligé d’héberger un serveur DNS “menteur” pour que mes sites locaux soient accessible en local via leur url.

En activant l’ipv6 sur la livebox, Android passe tantôt par le DNS ipv6 tantôt par l’ipv4, du coup je suis obligé de désactiver l’ipv6 pour le moment)


En parlant de DNS, est ce que quelqu’un sait comment les changer sur le DHCP d’une Livebox 4 ?

Je déménage et là ou je vais seul orange propose du bon (vdsl 75M) contre adsl 8m pour les autres…



Donc pas le choix.

Mais là je me rend compte qu’on ne peut pas changer les DNS sur le DHCP d’orange (et qu’apparement il faut le laisser pour que la box tv fonctionne).



Ou alors installer un serveur dhcp (style sur le synology) mais avec un paramètre spécial pour que la livebox TV ait les DNS Orange.



Dommage je trouvais que cette livebox avait l’air plutot pas si mal et fiable par rapport aux anciennes, mais s’ils virent les fonctions de base…


Je m’en vais tester ça ce w-e


Ben oui on peux pas. Il faut les changer à la main sur chaque machine. Ou alors, se passer de la livebox… –&gt;&nbsphttps://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-rout…








Oby a écrit :



Pour contourner l’absence de loopback de ma livebox





Le loopback fonctionne sur la Livebox 4 (ce qui n’etait pas le cas sur les precendentes)









Daweb a écrit :



En parlant de DNS, est ce que quelqu’un sait comment les changer sur le DHCP d’une Livebox 4 ?&nbsp;



&nbsp;

En dur dans la box pour éviter qu’un gentil “virus” ne les modifie à l’insu du client donc pas changeable dans la Livebox



Tu donnes toi même la solution, il faut rooter ! <img data-src=" />



Blague à part, je pense que c’est la même chose sur les autres mobiles, pas uniquement Android, les OS mobiles n’ont généralement pas la fonction pour mettre ce paramètre manuellement car ils estiment qu’il n’y a pas d’intérêt je pense.


Pareil, ça fonctionne chez Orange sur mon routeur Ubiquiti, j’ai été agréablement surpris d’ailleurs.


Sinon, quelqu’un à déjà testé quad9 concrètement ?

&nbsp;

Pour ma part je suis toujours sous OpenDSN pour l’instant, Cisco ou pas, il répond a mes besoins. D’autres que j’ai testé balançaient pas mal d’erreurs ou n’étaient pas super rapide… Donc bon…


Pour ceux d’entre vous qui possèdent un serveur linux (fonctionne aussi avec un raspberry) je ne saurais assez vous conseillerhttps://pi-hole.net/, c’est magique :)








grunge666 a écrit :



Le loopback fonctionne sur la Livebox 4 (ce qui n’etait pas le cas sur les precendentes)







T’entends quoi par fonction loopback ?



Bon j’utilisais unbound sur ma machine, et vu que ce dns utilise dnssec, je tente ma chance.



On va voir ce que ça va donner.


Amusant de voir que Big Blue est devenu un défenseur des libertés. Dans les 80s&nbsp;les hommes en bleues&nbsp;représentaient plutôt&nbsp; 1984 .

&nbsp;Sinon ils fonts quoi maintenant chez IBM ?



Merci pour ce Q9.

&nbsp;








dvr-x a écrit :



Sinon, quelqu’un à déjà testé quad9 concrètement ?

&nbsp;

Pour ma part je suis toujours sous OpenDSN pour l’instant, Cisco ou pas, il répond a mes besoins. D’autres que j’ai testé balançaient pas mal d’erreurs ou n’étaient pas super rapide… Donc bon…





http://www.bortzmeyer.org/quad9.html









Dodrekai a écrit :



Pour ceux d’entre vous qui possèdent un serveur linux (fonctionne aussi avec un raspberry) je ne saurais assez vous conseillerhttps://pi-hole.net/, c’est magique :)









install by running one command:



curl -sSLhttps://install.pi-hole.net | bash





Avec des commandes pareilles, on est vraiment au top en matière de sécurité. <img data-src=" />



Finalement j’ai mis les DNS de la FDN et en backup 8.8.4.4 (DNS 3)


OpenNIC pour avoir testé sur plusieurs années : ça peut tomber en panne plus ou moins souvent, ou alors pire un DNS qui est supprimé, car il y a un paquet d’IP dedans, et pas de garantie pour qu’une IP reste dans le temps…



Depuis, j’utilise VeriSign, c’est très performant, après en vie privée, ça risque d’être comme Google, je ne sais pas.



Quad9 à voir à l’usage, et quelles intentions réelles ils ont.


Perso, c’est serveur DNS en local. Sur mon Syno, paquet “DSN Server” à installer, configure la liste des IP autorisées, configurer l’IP du NAS comme DNS sur les PC, autoriser le port DNS (53) sur les pare-feux et ça roule.


Pareil mais avec des redirecteurs DNS configurés dedans, ainsi le Serveur DNS trouve plus vite (et fait moins de requêtes que s’il fallait passer par les root DNS etc…) et il met en cache pour le réseau local.


C’est plus sûr. :)








127.0.0.1 a écrit :



Avec des commandes pareilles, on est vraiment au top en matière de sécurité. <img data-src=" />







Our code is completely open, but piping to bash can be dangerous. For a safer install, review the code and then run the installer locally. :oui2:



Donc bon :https://github.com/pi-hole/pi-hole#alternative-semi-automated-install-methods



D’un autre coté je connaissais pas, et je trouve que c’est plutôt intéressant. Je vais le tester.









Etre_Libre a écrit :



Pareil mais avec des redirecteurs DNS configurés dedans, ainsi le Serveur DNS trouve plus vite (et fait moins de requêtes que s’il fallait passer par les root DNS etc…) et il met en cache pour le réseau local.





Ça revient à mettre un serveur DNS externe sur chaque machine, mais avec un cache local qui serait partagé, non ? <img data-src=" />

Tu utilises qui comme redirecteur ?









Mihashi a écrit :



Ça revient à mettre un serveur DNS externe sur chaque machine, mais avec un cache local qui serait partagé, non ? <img data-src=" />

Tu utilises qui comme redirecteur ?







Oui voilà c’est ça ;-)



En redirecteurs d’habitude je prends soit les dns du FAI ou des dns publics comme VeriSign, et là je vais tester Quad9.



Mon but est d’avoir des dns performants, sans censure et un cache local.



Un cache local mine de rien ça accélère le surf, soulage les dns externes et la bande passante Internet.



Put* de bord de mer on ne dit pas “la box à michel” mais “la box DE michel”. Bon sang ces fautes sont une plaies pour la langue française ! “. C’est quand même pas compliqué : “crotte à nez”, “fils à pu”…


Je pense que la faut est ici volontaire pour accentuer le côté “candide” du dessin.&nbsp;

D’ailleurs dans ma tête, je l’ai lu avec les voix de Michel et Michel de faux-raccord, sur Allociné <img data-src=" />


Je fais confiance à Bortzmeyer, mais son blog est trop technique pour moi. En gros, il conseille ou pas ?


Il conseille je dirais, sinon il dirait l’inverse ;-)


Je pensais pas que cela serait aussi simple sur Ipad, mais comment on sait si ce sont bien ces dns qui sont utilisés et pas ceux de la box ?


Il conseille la version qui n’existe pas : celle qui ne fait pas Client Subnet et qui ne ment pas, tout en faisant DNSSEC. <img data-src=" />


Perso j’utilise dns.watch, vous en pensez-quoi ?


En lisant cet article je me disais que ça serait pertinent de faire un article sur DNS Crypt


Pour moi ce n’est pas bon, le temps de réponses des serveurs est bien trop long comparé aux serveurs d’Orange ou ceux de FDN.

Dommage :(


Cela a-t-il un sens d’utiliser ce logiciel conjointement à un VPN ?


L’article parle de « de deux adresse IP pour le serveur DNS primaire et le secondaire ». À part la faute d’orthographe, il faut noter que « primaire » et « secondaire », dans le contexte du DNS, désigne toute autre chose (cela s’applique à des serveurs faisant autorité, pas à des résolveurs comme Quad9).


PCH est bien décrit dans cet article Wikipédia&nbsphttps://en.wikipedia.org/wiki/Packet_Clearing_House


OpenNIC est une racine alternative donc, personnellement, cela ne m’intéresse pas.


Si on se préoccupe de rapidité, il ne faut pas utiliser un résolveur public. Il sera toujours plus loin, donc plus lent, que le résolveur local.


On peut avoir des chiffres ? Depuis chez Free, j’obtiens 13 ms pour les résolveurs de Free, 17 pour ceux de Quad9 et 11 pour FDN. C’est donc du même ordre de grandeur, compte-tenu des très nombreuses incertitudes de ce genre de mesure.


Oui :)

&nbsp;

Réponse de 9.9.9.9 : octets=32 temps=28 ms TTL=55

Réponse de 80.67.169.12 : octets=32 temps=14 ms TTL=52

Réponse de 8.8.8.8 : octets=32 temps=18 ms TTL=45



Je me suis vautré sur les DNS orange, ils ne répondent pas aux pings.



&nbsp;


Chez moi sur 5 mesures (avec dig) :





  • FDN, 80.67.169.12 : 37,4 ms

  • Quad9, 9.9.9.9 : 29,4 ms

  • Google, 8.8.8.8 : 44,4 ms

  • Perso : 7 ms





    <img data-src=" />


Moi j’ai ça :







  • FDN : 12,7 ms

  • Quad9 : 24 ms

  • Google : 12 ms





    &nbsp;


Cela doit dépendre des interconnexions, selon le FAI de chacun ;)


absolument !

Je suis en Espagne et j’ai 10ms sur google alors que tous les autres sont entre 28 et 40ms


C’est une blague ? Tester avec ping n’a pas de sens, cela ne teste que le réseau, pas la rapidité du serveur DNS.


Oui, sur un cache chaud, le résolveur local gagnera toujours, et de loin. Sur un cache froid, c’est moins évident. (Cf. ma remarque initiale sur l’extrême difficulté de faire des benchmarks sérieux.)


Certes mais sans indiquer si le cache était chaud ou pas, c’est difficile d’en tirer des conclusions.


Le pays n’a guère d’importance, pour un service anycast, c’est l’AS qui compte, car c’est de lui que dépend la présence ou pas de peerings, et leur qualité.


Ils n’utilisent pas QNAME minimisation, dommage pour un service qui se préoccupe de la vie privée de ses clients.


Je sais bien que le pays ne compte pas

Je voulais simplement dire que je n’étais sur aucun de vos FAI à l’évidence .









Etre_Libre a écrit :



OpenNIC pour avoir testé sur plusieurs années : ça peut tomber en panne plus ou moins souvent, ou alors pire un DNS qui est supprimé, car il y a un paquet d’IP dedans, et pas de garantie pour qu’une IP reste dans le temps…



Depuis, j’utilise VeriSign, c’est très performant, après en vie privée, ça risque d’être comme Google, je ne sais pas.



Quad9 à voir à l’usage, et quelles intentions réelles ils ont.





On en revient toujours sur ce point en matière de services internet : il faut monter les siens pour être sûr du respect de la vie privée et/ou que ça tourne en permanence.



Voir monter un petit collectif à cet effet (quelques personnes utilisateurs du service) car il y a la question du coût. Même si un serveur (OVH, Firstheberg ou autre) ne coûte pas très cher et peut largement faire l’affaire, ça fait cher si c’est JUSTE pour une ou deux fonctions. Un DNS à 4 €/mois, euh…









Stéphane Bortzmeyer a écrit :



Si on se préoccupe de rapidité, il ne faut pas utiliser un résolveur public. Il sera toujours plus loin, donc plus lent, que le résolveur local.





C’est un tout, la rapidité est un paramètre à prendre en compte, il y en a beaucoup d’autres. Un résolveur local est contraignent.



&nbsp;Hugues1337 a écrit :

http://www.bortzmeyer.org/quad9.html



&nbsp;Merci un brin technique, juste une un avis perso aurait été sympa :)



@Stéphane Bortzmeyer: Les membres de la FFDN travaillent sur le support de DNS over TLS. Le serveur DNS public de la LDN le supporte déjà.

https://www.ffdn.org/wiki/doku.php?id=formations:dns#travaux_de_la_fede








Stéphane Bortzmeyer a écrit :



C’est une blague ? Tester avec ping n’a pas de sens, cela ne teste que le réseau, pas la rapidité du serveur DNS.





Non c’est n’est pas une blague, je n’ai pas d’autres outils pour tester le véritable délai de réponse d’un serveur DNS, mais je me dis que si tu te prends&nbsp;&nbsp;10ms rien que pour le transport c’est déjà trop par rapport aux autres.

J’ai peux être tord.









mr.tux a écrit :



J’ai peux être tord.



Sur l’orthographe de « tort », oui <img data-src=" />.

(« Le tort tue mais le tordu »)





Sinon, lorsque je teste avec Quad9, ça n’utilise pas DNSSEC (pas de flag « ad » dans la réponse, même quand j’utilise dig +dnssec @9.9.9.9). Il y a quelque chose à faire pour activer DNSSEC côté client (sous Ubuntu) ? J’ai rien trouvé de probant dans mes recherches…



Aucune mention de dnscrypt… c’est pourtant facile à utiliser et il n’y a pas plus efficace contre les petits curieux.


Ben là ils sont plutôt dans la sécurité en maintenant des blacklists de pishers, pas tellement dans la défense des libertés si j’ai bien lu.


Quad9 fait mieux, il utilise DNS-sur-TLS (RFC 7858) qui a l’avantage d’être une solution normalisée.


On n’a le “AD” que si le domaine est signé (ce qui n’est pas le cas de nextinpact.com hélas). Essayez avec afnic.fr, paypal.fr&nbsp; ou ietf.org.


M’en fou, il y a tellement de gens qui font cette faute (qui me fait saigner des oreilles) que même dans ce cas je ne supporte plus de la voir. Et quelqu’en soit la raison, selon moi, faire volontairement des fautes dans des communications est inacceptable.








Nozalys a écrit :



Put* de bord de mer on ne dit pas “la box à michel” mais “la box DE michel”. Bon sang ces fautes sont une plaies pour la langue française ! “. C’est quand même pas compliqué : “crotte à nez”, “fils à pu”…







Mais oui c’est totalement insupportable, je suis de l’avis à Nozalys



<img data-src=" /><img data-src=" />








mr.tux a écrit :



Non c’est n’est pas une blague, je n’ai pas d’autres outils pour tester le véritable délai de réponse d’un serveur DNS, mais je me dis que si tu te prends&nbsp;&nbsp;10ms rien que pour le transport c’est déjà trop par rapport aux autres.

J’ai peux être tord.





https://www.grc.com/dns/benchmark.htm



&nbsp; L’ICMP (donc le ping) est parfois “désavantagé” par rapport aux autres protocoles par les réseaux traversés - ils se retrouvent parfois repoussé en fin de buffers voire complètement éliminés (coucou OVH…) .



Donc l’ICMP pour tester une connectivité , oui (entre autres indices) , mais pour tester une latence, hormis en local…









Daweb a écrit :



En parlant de DNS, est ce que quelqu’un sait comment les changer sur le DHCP d’une Livebox 4 ?

Je déménage et là ou je vais seul orange propose du bon (vdsl 75M) contre adsl 8m pour les autres…



Donc pas le choix.

Mais là je me rend compte qu’on ne peut pas changer les DNS sur le DHCP d’orange (et qu’apparement il faut le laisser pour que la box tv fonctionne).



Ou alors installer un serveur dhcp (style sur le synology) mais avec un paramètre spécial pour que la livebox TV ait les DNS Orange.



Dommage je trouvais que cette livebox avait l’air plutot pas si mal et fiable par rapport aux anciennes, mais s’ils virent les fonctions de base…





Il me semble qu’ils ont retiré la possibilité de changer ses DNS sur les “box opérateur” a peu près au moment où les jugements pour bloquer les site web : Vu que le “plus simple” c’est de faire par DNS plutôt que par IP , et que très vite les tuto ont fleuris sur le net pour changer les DNS de la box…. j’imagine que ce point a fait partie des discussions entre les ayants-droits & les FAI.



Après il y a aussi eu des malware javascript qui changeaient le DNS des box - parade chez Orange via l’utilisation de la clé WPA pour se logguer sur la box , voire j’imagine des appels au support technique que “internet marche pas” alors que le petit dernier a changé les serveurs DNS par d’autres…. bref plein de raisons.



Le vrai deal-breaker c’est que la box TV a besoin des DNS + srv DHCP de la box pour marcher… à mon avis encore un truc pour justifier d’imposer leur matériel plutôt que celui de tiers.



Quand on a ton pseudo, c’est effectivement une blague de dire que l’on n’a pas d’autres outils que ping pour tester le temps de réponse d’un serveur DNS !



À moins que la blague soit ton pseudo.


Je te trouve un peu énervé mon petit fred, mais pour faire court j’ai ce pseudo depuis longtemps et j’en ai hérité suite à des travaux.

Donc je suis sous Windows et je n’ai d’autre outils pour test, voila.

&nbsp;&nbsp;


Je ne suis pas énervé, juste amusé, mais on dirait que tu n’apprécies pas avoir été percé à jour sur la supercherie de ton pseudo., d’où ton accusation


Des organisations à buts lucratifs j’en connais plein sinon.&nbsp;<img data-src=" />


C’est déjà la merde pour brancher la box tv d’orange sur un switch, alors via une box tierce plutôt qu’une livebox, j’imagine même pas le casse-tête.








shadowfox a écrit :



C’est déjà la merde pour brancher la box tv d’orange sur un switch, alors via une box tierce plutôt qu’une livebox, j’imagine même pas le casse-tête.





Le problème n’est pas de forcer ceux qui ne veulent pas / se sentent pas de remplacer la box opérateur à le faire.&nbsp;

Le problème c’est d’activement interdire cette pratique pour ceux qui veulent & savent le faire, et qui peuvent pas, notamment via la mise en place après-coup de mots de passes et autres secrets.&nbsp;



La Livebox est très instable (électriquement, logiciellement) dès qu’elle est utilisée en dehors des cas d’usage “en bon père de famille). C’est pas un problème (Orange ne la vends pas pour autre chose), ça le deviens si on peux pas s’en passer.



Merci pour le lien 0B, heureusement qu’il existe des outils Windows car sous Linux c’est vraiment trop compliqué pour moi ;)



[CODE]&nbsp;

&nbsp;9.&nbsp; 9.&nbsp; 9.&nbsp; 9 |&nbsp; Min&nbsp; |&nbsp; Avg&nbsp; |&nbsp; Max&nbsp; |Std.Dev|Reliab%|&nbsp; —————-+——-+——-+——-+——-+——-+&nbsp; - Cached Name&nbsp; &nbsp;| 0,023 | 0,023 | 0,024 | 0,000 | 100,0 |&nbsp; - Uncached Name | 0,024 | 0,071 | 0,289 | 0,077 | 100,0 |&nbsp; - DotCom Lookup | 0,024 | 0,030 | 0,038 | 0,004 | 100,0 |&nbsp; —&lt;——–&gt;—+——-+——-+——-+——-+——-+&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; dns.quad9.net&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;QUAD9-AS-1 - Quad9, US&nbsp;



&nbsp; &nbsp;8.&nbsp; 8.&nbsp; 8.&nbsp; 8 |&nbsp; Min&nbsp; |&nbsp; Avg&nbsp; |&nbsp; Max&nbsp; |Std.Dev|Reliab%|&nbsp; —————-+——-+——-+——-+——-+——-+&nbsp; - Cached Name&nbsp; &nbsp;| 0,017 | 0,033 | 0,318 | 0,058 | 100,0 |&nbsp; - Uncached Name | 0,019 | 0,062 | 0,323 | 0,073 | 100,0 |&nbsp; - DotCom Lookup | 0,026 | 0,029 | 0,035 | 0,002 | 100,0 |&nbsp; —&lt;——–&gt;—+——-+——-+——-+——-+——-+&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;google-public-dns-a.google.com&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;GOOGLE - Google LLC, US&nbsp;



&nbsp;192.168.&nbsp; 0.&nbsp; 1 |&nbsp; Min&nbsp; |&nbsp; Avg&nbsp; |&nbsp; Max&nbsp; |Std.Dev|Reliab%|&nbsp; —————-+——-+——-+——-+——-+——-+&nbsp; + Cached Name&nbsp; &nbsp;| 0,000 | 0,000 | 0,001 | 0,000 | 100,0 |&nbsp; + Uncached Name | 0,017 | 0,070 | 0,284 | 0,070 | 100,0 |&nbsp; + DotCom Lookup | 0,024 | 0,028 | 0,037 | 0,004 | 100,0 |&nbsp; —&lt;——–&gt;—+——-+——-+——-+——-+——-+&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; livebox.home&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Local Network Nameserver&nbsp;

[/CODE]&nbsp;



Voila alors maintenant je peux dire objectivement&nbsp; que 9.9.9.9 c’est bien :)



&nbsp;








Etre_Libre a écrit :



Oui voilà c’est ça ;-)



En redirecteurs d’habitude je prends soit les dns du FAI ou des dns publics comme VeriSign, et là je vais tester Quad9.



Mon but est d’avoir des dns performants, sans censure et un cache local.



Un cache local mine de rien ça accélère le surf, soulage les dns externes et la bande passante Internet.





Un truc doit m’échapper, tu parles de “sans censure” et tu utilises les DNS de ton FAI en redirecteur…

Si tu veux une absence totale de censure tu montes ton bind/unbound sur un raspberry et tu tapes sur les root.

Ensuite je ne sais pas combien tu as de postes derrière ta box, mais vouloir soulager la bande passant avec un cache DNS :).

Après si c’est pour l’amour de la technique je ne dis rien :) (enfin si, monte ton bind)

(je ne parlerais même pas de l’accélération du surf qui me fait doucement rigoler… Le jour où les DNS des FAI répondront en plus de 200 ms on en reparlera)



Pour le “sans censure” c’est plutôt avec les DNS publics, mais autrement avec les DNS des FAI, à part certains sites illégaux, rien n’est censuré à ma connaissance, en tout cas pas en France pour le moment.



En ce qui concerne la bande passante, bien sûr je parle plutôt pour une entreprise avec des dizaines / centaines d’ordinateurs, ça soulage un peu quand même.



Enfin pour la vitesse du surf, c’est relatif bien sûr, mais un DNS local avec cache bien rempli répondra toujours plus vite que le DNS sur Internet, c’est normal.








Nozalys a écrit :



M’en fous, il y a tellement de gens qui font cette faute (qui me fait saigner des oreilles) que même dans ce cas je ne supporte plus de la voir. Et quelqu’en soit la raison, selon moi, faire volontairement des fautes dans des communications est inacceptable.





<img data-src=" /><img data-src=" />



Tu es sous Windows et tu as nslookup. A creuser. <img data-src=" />


«&nbsp;à part certains sites illégaux, rien n’est censuré à ma connaissance, en tout cas pas en France pour le moment » Ah ben c’est pareil en Chine, à part ce qui est censuré, rien n’est censuré.








Etre_Libre a écrit :



Pour le “sans censure” c’est plutôt avec les DNS publics, mais autrement avec les DNS des FAI, à part certains sites illégaux, rien n’est censuré à ma connaissance, en tout cas pas en France pour le moment.



En ce qui concerne la bande passante, bien sûr je parle plutôt pour une entreprise avec des dizaines / centaines d’ordinateurs, ça soulage un peu quand même.



Enfin pour la vitesse du surf, c’est relatif bien sûr, mais un DNS local avec cache bien rempli répondra toujours plus vite que le DNS sur Internet, c’est normal.



<img data-src=" />

&nbsp;OK, je comprends mieux. Perso je ne fais pas confiance au DNS des FAI, donc j’ai un bind sur raspberry (j’ai également une zone interne). Les temps de réponse seront logiquement plus long que pour un FAI (cache et tout ça) mais je fais avec.

&nbsp;



Qu’est ce qui rentre dans la catégorie en dehors des “cas d’usage” ?


Avoir de multiples connexions NAT (remplissage de la table conntrack)

Utilisation dans un local technique non accessible facilement (pour rebooter quand ça se plante).

Gérer les problèmes de conflits d’IP (actuellement la box change toute seule d’IP LAN quand c’est le cas)

Monter des tunnels type ipip ou gre&nbsp; (qui supportent pas le NAT donc)

Avoir de l’IPv6 (tunnelisé , car orange le propose pas encore partout. Free le fait, mais la freebox crystal ne sachant pas déléguer de préfixes c’est inutilisables dès qu’il y a plusieurs sous-réseaux derrière).



Les usages ne manquent pas.



Mais je suis pas vindicatif : La livebox n’a _pas_ été conçue pour faire tout ça, elle a été conçue pour la famille moyenne de 4 personne ou la TPE , qui consultent essentiellement des sites web et upload de temps en temps (j’ai bossé un temps en sous-traitance dessus, c’était dans une autre vie…). Moyennant quoi, les coûts unitaires sont tirés vers le bas .

C’est de bonne guerre.

Il y a nombre de tuto pour s’en passer, le seul problème c’est que ces tutos sont créés par essais & erreurs, par manque d’informations (ie les histoires d’option DHCP), et que c’est pas stable dans le temps.

&nbsp;