Aller au contenu

Fournisseurs DNS DoH/DoT NextDNS pour SRM


church

Messages recommandés

On marche sur la tête quand même sur ce topic... abandonné la télémétrie locale des sites / requête bloquée... pour le faire sur un service distant qui liste tout... le doh ne sert à rien finalement...
[mention=16558]unPixel[/mention] Regarde tu vas rire  
Je pense que tu n'as pas bien perçu le principe de fonctionnement DoH pour ecrire cela. Il s'agit bien de confier tes requetes à un serveur de confiance pour leur cryptage. NextDNS assurera ce service comme tant d'autres.

L'autre intérêt majeur est egalement, comme je le soulignais, la remontée de stats/logs centralisée dans une interface claire et lisible. C'est une lacune qui a très souvent été pointée au niveau de SRM. Des infos sont disponibles mais disséminées partout dans des journaux, menus, paquets différents : c'est assez pénible et permet peu, au final, d'avoir cette vision d'ensemble qu'offre NextDNS.

Enfin, quand on ajoute à cela les filtres antipub et antitracking déjà implémentés, facilement activables, performants et avec une bonne ergonomie, je ne pense pas que cette soultion soit à dénigrer.

Alors c'est sûr que ca plaît moins à tous ceux qui hébergent tout cela en local, les fanas du tuto DNS, de PiHole, PfSense et consort...Sauf que dans la pratique cette interface permet bien d'assurer une bonne partie de ces services de manière simple et ergonomique, gratuitement.
De mon côté, c'est bien ce que je recherchais pour mieux gérer mon reseau local, sans trop avoir à me prendre la tête...

Bref, c'est partagé via ce topic : ceux qui auront eu un minimum d'ouverture d'esprit, un peu de temps et de curiosité seront allés jeter un coup d'oeil.






Envoyé de mon SM-T595 en utilisant Tapatalk


Lien vers le commentaire
Partager sur d’autres sites

Je n'ai pas dénigré ta solution, pourtant je me sens un peu visé. 🙂

Je dis juste qu'en terme de confiance c'est s'en remettre à un prestataire comme un autre, et que je le trouve quand même un peu intrusif au vu de ce qu'on voit sur interface. 😉 

Mais peut-être est-il juste transparent sur ce qu'il collecte simplement ?

Moi même j'utilise DoT via Quad9 donc bon, quelque part je leur fais confiance. Tout à fait matière à débat je le reconnais.

Lien vers le commentaire
Partager sur d’autres sites

Hello !

Les logs peuvent être désactivés, s'ils sont activés, la localisation du stockage peut etre modifiée (RGPD, Big Brother, toussa) .
Tout est effectivement une question de confiance.

Le service est de plus en plus plébiscité par des utilisateurs soucieux des questions de sécurité et de confidentialité mais ne souhaitant pas envisager les solutions techniques plus lourdes évoquées plus haut.

Si je me suis lancé dans l'usage du service et ai pris la peine de partager mon expérience c'est avant tout car je me suis renseigné avant de leur confier mon trafic Internet.

Et pour ceux qui resteraient sceptiques, la fondation Mozilla a choisi NextDNS afin de les intégrer aux acteurs de confiance pour la gestion sécurisée des DNS...juste après Cloudflare. Firefox propose bien leur architecture pour la résolution DNS via DoH. On peut raisonnablement accorder un peu de crédit à cette solution, à mon avis...

https://cutt.ly/ChPKVVB

Envoyé de mon SM-T595 en utilisant Tapatalk





Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

A toutes fins utiles voici comment activer NextDNS dans le Navigateur Web FireFox (c'est extrait de l'article "https://support.mozilla.org/fr/kb/dns-via-https-firefox").

Activation et désactivation manuelles du DNS via HTTPS

Vous pouvez activer et désactiver le DoH dans les paramètres de connexion de Firefox :

  1. Cliquez sur le bouton de menu Fx57Menu et sélectionnez Options
  2. Dans le panneau Général, descendez jusqu’à la section Paramètres réseau et cliquez sur le bouton Paramètres
  3. Dans la boîte de dialogue qui s’ouvre, descendez jusqu’à Activer le DNS via HTTPS.
    • Activer : cocher la case à côté d’Activer le DNS via HTTPS pour l’activer. Choisissez un fournisseur ou ajoutez un fournisseur personnalisé.
    • Désactiver : décocher la case à côté d’Activer le DNS via HTTPS pour le désactiver.
    toggle doh
  4. Cliquez sur OK pour enregistrer vos modifications et fermer la fenêtre.

Changer de fournisseur

  1. Cliquez sur le bouton de menu Fx57Menu et sélectionnez Options
  2. Rendez-vous à la rubrique Paramètres réseau et cliquez sur le bouton Paramètres…
  3. Au bas de la fenêtre qui s’ouvre, cliquez dans le menu déroulant Utiliser le fournisseur sous Activer le DNS via HTTPS pour choisir un fournisseur.
     
    Change DNS Provider fx73
  4. Cliquez sur le bouton OK pour valider vos modifications et fermer la fenêtre.

Exclure des domaines spécifiques

Vous pouvez configurer des exceptions de façon à ce que Firefox utilise le résolveur de votre système d’exploitation plutôt que le DoH :

  1. Dans la barre d’adresse de Firefox, saisissez about:config, puis appuyez sur Entrée
    Une page d’avertissement peut apparaître. Cliquez sur Accepter le risque et poursuivre pour accéder à la page « about:config ».
  2. Recherchez network.trr.excluded-domaines
  3. Cliquez sur le bouton Modifier Fx71aboutconfig-EditButton à côté de la préférence.
  4. Ajoutez des domaines à la liste en les séparant par des virgules et cochez la case Fx71aboutconfig-Checkmark pour enregistrer la modification.
    Note : ne supprimez aucun domaine de la liste.
Au sujet des sous-domaines : Firefox vérifie tous les domaines répertoriés dans la préférence network.trr.excluded-domains et leurs sous-domaines. Par exemple, si vous saisissez example.com, Firefox va aussi exclure www.example.com.

 

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@church

En tout cas ce qui est séduisant avec cette solution NextDNS, c'est que l'on s’affranchit aisément d'une solution du type par exemple Pi-Hole ou autre sur un RPI ou en docker sur le NAS où, il faut bien le dire, pour laquelle il est nécessaire de mettre les mains dans le cambouis ce qui n'est pas la tasse de thé d'un grand nombre.

ET surtout l'interface Web d'admin de NextDNS est on ne peut plus simple et facile à mettre en œuvre. Tout cela couplé avec l'application YogaDNS et la boucle est bouclée.

Encore MERCI à toi de nous avoir fait découvrir cette solution NextDNS.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Hello !

Bien content que ce topic serve à un utilisateur de plus ! La solution est en place chez moi depuis 5 mois et RAS. Ca marche toujours aussi bien et sans toucher à rien. ;)

Tout le monde a la maison surfe désormais sans pub...hormis sur YouTube ou les réclames qui s'intercallent dans les vidéos persistent mais je pense qu'il n'y aura rien à faire pour cela puisque je n'ai pas l'intention de prendre un abo premium...

Lien vers le commentaire
Partager sur d’autres sites

@cadkey

Bonjour,

Le 14/03/2021 à 14:45, cadkey a dit :

peut-être y-a-til une liste de blocage à rajouter?

SI tu as celles-ci par exemple, cela devrait suffire (attention d'en rajouter, parfois elles sont redondantes pour partie ! ) :

  • Liste de blocage des publicités et des traqueurs par NextDNS
  • Liste FR

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@cadkey

Bonjour,

Je serais tenté de te dire que cela va beaucoup dépendre des sites où tu "traînes". Mais pourquoi voudrais-tu avoir un gros/grand score de blocages ?

Je ne penses pas qu'un grand score soit très révélateur d'une sécurité totale à moins de passer son temps sur des sites de warez ou X où le risque est grand.

En navigation courante, les sites institutionnels en général sont "propres" (et heureusement  pour nous !) donc il n'y a pas lieu d'avoir de blocages. C'est du bon sens, non ? Mais je peux me tromper ...

Perso, mais avec aucun accès aux réseaux sociaux, je plafonne à 8,5% de requêtes bloquées, donc rien d'extraordinaire ni qui ne m'alarme outre mesure.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Salut !

Comme dit plus haut, regarder uniquement le % de requêtes bloquées n'a pas de sens. Il faut regarder tes usages, les sites fréquentés, la composition de ton reseau local (périphériques, PC, smartphones/tablettes, objets connectés...), ta connexion internet et ton opérateur.

Ce qui importe c'est l'efficacité des filtres, la presence de pubs/popups ou pas quand tu surfes, etc.

De mon côté, avec quelques mois de recul, je n'ai pas de pub avec les filtres suivants :8e141b0848916efbfa10831b11c39b12.jpgd02dddc4d77d7dfc009cfd73a72a15c3.jpgaedc58d9e7044463699b8dca9e909563.jpg

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour, je viens de mettre en place cette solution sur mon RT2600ac, ça m'a l'air de très bien fonctionner. Les pages sont chargés un poil plus rapidement, ce qui est sur c'est que ce n'est pas plus lent qu'auparavant. Même configuration que toi, c'est à dire, threat prevention, safe access et maintenant nextdns.

Je n'ai mis que les listes que l'on peut apercevoir dans ton dernier screenshot.

Ayant directement rentré l'adresse DOH dans SRM, tous les périphériques sont donc masqués par celui-ci. Ce qui ne me dérange absolument pas mais au cas ou je souhaiterai voir apparaitre tous mes périphériques dans l'interface NextDNS, comment faudrait-il que je m'y prenne ?

Je suis chez Free en IP fixe donc y à t'il un intérêt à lier mon adresse IP ? Je n'ai pas compris dans quels cas cela pouvait servir ?

En tout cas, un grand merci pour ta trouvaille ! 🙏

 

edit : Que va m'apporter cette configuration à faire via SSH ?
https://github.com/nextdns/nextdns/wiki/Synology-SRM

 

 

Modifié par Diabolomagic
Lien vers le commentaire
Partager sur d’autres sites

Hello ! Il y a pas mal de solutions pour implémenter la solution et avoir de la remontée de stats :

- sur Android et iOS tu as logiquement une appli

- sur Android, j'utilise plutôt DoT en rentrant le lien specifique fourni dans mon compte. En environnement Apple, j'imagine qu'il doit y avoir l'équivalent.
La manip est détaillée à l'accueil du paramétrage du compte et je crois l'avoir copiée plus haut dans le topic.

- sous Windows, il y 1 un client et oracle7 a aussi confirmé la possibilité de passer par le client YogaDNS qui va appliquer le paramétrage au PC tout en permettant de personnaliser la remontée de stats/logs propres au PC hebergeant le client.

- On peut appliquer le paramètres uniquement au niveau du navigateur : Chrome le permet dans les dernières versions (DoT, il me semble) et Firefox intègre directement NextDNS parmi les fournisseurs DoH fiables.

Lien vers le commentaire
Partager sur d’autres sites

@church

Merci de ta réponse, c'est bien ce que je pensais, je vais rester comme cela. Je préfère savoir que le routeur s'occupe de tout plutôt que de devoir configurer cela sur chaque nouveau périphérique. Tant pis, les stats seront moins personnalisées et j'imagine qu'il faudra croiser les données de SRM et de NExtDNS pour savoir quel est le périphérique qui se rend sur tel ou tel URL, pas insurmontable 🙂

Merci à toi.

Ah si, qqn a t'il fait l'installation via la procédure SSH ? https://github.com/nextdns/nextdns/wiki/Synology-SRM
 

Lien vers le commentaire
Partager sur d’autres sites

Hello !

Pour le DoH de Cloudflare, j'ai testé pendant plusieurs mois.
Le surf devient sacrément rapide, infrastructure Cloudflare oblige !

Par contre leurs DNS sont exclusivement tournés vers la rapidité et la sécurité (éventuellement le controle parental selon la formule choisie)

Rien de prévu sur la partie confidentialité, pub et tracking.
@Diabolomagic : je n'ai pas testé la procédure via SSH. Il s'agit juste d'héberger le service sur un NAS Synology

Lien vers le commentaire
Partager sur d’autres sites

@church Je ne pense pas, car il y a bien deux liens, SRM et DSM. Je demandais par curiosité, je vais rester comme cela de toute façon.

https://github.com/nextdns/nextdns/wiki/Synology-DSM

https://github.com/nextdns/nextdns/wiki/Synology-SRM

Modifié par Diabolomagic
Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, Diabolomagic a dit :

Ayant directement rentré l'adresse DOH dans SRM, tous les périphériques sont donc masqués par celui-ci. Ce qui ne me dérange absolument pas mais au cas ou je souhaiterai voir apparaitre tous mes périphériques dans l'interface NextDNS, comment faudrait-il que je m'y prenne ?

Salut, il te faudra installer l'application NextDns sur chaque périphérique et activer l'option de transfert de nom ( du périphérique).

Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Hello ! J'avais commencé à tester le service en plein confinement avec les enfants et madame à la maison et tout le monde en télétravail. Le quota de 300 000 requêtes a été dépassé dès le 1er mois mais pas tant que ça (presque 400 000 en étant 5)... Devant l'efficacité de l'outil, la possibilité d'avoir de la stats et surtout la facilité d'intégration avec nos routeurs Synology, j'ai pas chipoté et j'ai payé l'abo d'un an à 19,90 €. Et c'est sans regret.
Je pense donc que pour un usage intensif mais avec moins de monde au domicile, le quota peut suffire.
Désormais, le filtrage est exploité en local et même en 4G/5G sur les smartphones et tablettes et sur les laptop en dehors de la maison. Je peux te dire qu'on voit vite la différence quand on le désactive : surf plus lent, pop-up et bandeaux publicitaires...Mon fils a changé de téléphone dès le début des soldes et c'est le 1er paramétrage qu'il a remis après avoir associé son compte Gmail...

Lien vers le commentaire
Partager sur d’autres sites

@churchMerci,
La pub en moins c'est clairement le gros point fort sur un smartphone, indispensable.
en 4G sur les smartphones, tu renvoies sur le DNS du routeur ou tu as installé l'appli sur tous les smartphones?
Dans mon cas je voudrais ne faire qu'une installation que sur le routeur, donc tous les appreils sur le reseau local vont en profiter, reste la possibilité d'en profiter aussi depuis l'exterieur si c'est possible.

Lien vers le commentaire
Partager sur d’autres sites

[mention=5051]church[/mention]Merci,
La pub en moins c'est clairement le gros point fort sur un smartphone, indispensable.
en 4G sur les smartphones, tu renvoies sur le DNS du routeur ou tu as installé l'appli sur tous les smartphones?
Dans mon cas je voudrais ne faire qu'une installation que sur le routeur, donc tous les appreils sur le reseau local vont en profiter, reste la possibilité d'en profiter aussi depuis l'exterieur si c'est possible.
Sur smartphone tu peux exploiter DoT/DoH en rentrant les paramètres de ton compte NextDNS. Ce lien peut même être personnalisé pour avoir des stats/logs spécifiques au périphérique mobile. Le lien spécifique peut aussi être renseigné dans Chrome et il y a aussi une appli mobile.
Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.