Aller au contenu

Fournisseurs DNS DoH/DoT NextDNS pour SRM


church

Messages recommandés

De mon côté, j'ai suivi l'installation sur le GitHub, donc connexion en SSH, installation, j'ai répondu aux questions avec mon ID. Par contre je ne vois aucune différence. Je n'ai pas activé IPv6 suite au tutoriel sur la sécurité, mais comme dans la liste des choix c'est l'un ou l'autre je pense pas que ce soit le problème.

Du coup, est-ce qu'il faut ajouter des renseignements dans les réglages du routeur ?

Merci.

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

Après avoir activé NextDNS sur FireFox (PC local et Tél 4G), je m'aperçois que le reverse proxy ne fonctionne plus.

Pour mémoire :

  • mes redirections sont toutes protégées par un profil de contrôle d'accès qui n'autorise celles-ci que si l'@IP source appartient à mon réseau local ou au réseau établi par mon VPN en connexion extérieure.
  • mon serveur DNS local est sur mon routeur (en DMZ de la LB4).
  • le reverse proxy est installé sur un NAS du réseau local.
  • la DoH sur le routeur est configurée pour NextDNS.

Du coup, toutes mes connexions avec une URL "xxxxx.ndd.tld" me renvoient un message d'erreur du serveur Web indiquant que la page demandée n'existe pas.

zY8ugdX.png

Bien évidemment si je désactive NextDNS sur FF tout revient dans l'ordre.

Une idée ? j'aurais raté quelque chose ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

[mention=75516]oracle7[/mention] Merci pour ta réponse. Du coup, est-ce normal (après avoir fait les manipulations) d'avoir toujours les pubs sur Youtube ?
Il n'y a aucune solution technique actuellement pour supprimer définitivement les pubs dans YouTube...hormis souscrire à l'abo

Envoyé de mon SM-G988B en utilisant Tapatalk

[mention=5051]church[/mention]
Bonjour,
Après avoir activé NextDNS sur FireFox (PC local et Tél 4G), je m'aperçois que le reverse proxy ne fonctionne plus.
Pour mémoire :
  • mes redirections sont toutes protégées par un profil de contrôle d'accès qui n'autorise celles-ci que si l'@IP source appartient à mon réseau local ou au réseau établi par mon VPN en connexion extérieure.
  • mon serveur DNS local est sur mon routeur (en DMZ de la LB4).
  • le reverse proxy est installé sur un NAS du réseau local.
  • la DoH sur le routeur est configurée pour NextDNS.
Du coup, toutes mes connexions avec une URL "xxxxx.ndd.tld" me renvoient un message d'erreur du serveur Web indiquant que la page demandée n'existe pas.
zY8ugdX.png
Bien évidemment si je désactive NextDNS sur FF tout revient dans l'ordre.
Une idée ? j'aurais raté quelque chose ?
Cordialement
oracle7
Aucune idée ! Je n'utile pas de reverse proxy mais il me semble que ça avait été abordé plus haut dans le sujet,non? De mémoire ça marchait pas bien avec DNS Server

Envoyé de mon SM-G988B en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, church a dit :

Il n'y a aucune solution technique actuellement pour supprimer définitivement les pubs dans YouTube...hormis souscrire à l'abo

OK, c'était le cas avant non ? Après elles ont l'air moins intrusives, enfin moins de pubs j'ai l'impression. Sinon il y a toujours Free Tube. Merci pour ta réponse.

Lien vers le commentaire
Partager sur d’autres sites

Non les pubs ont toujours été là même avec Nextdns. Aucun fournisseur de ce type de services n'arrive à bloquer complètement les pub dans les vidéos YouTube. Je viens de tester Adguard, Cloudflare et Cleanbrowsing : les pubs sont bien là à des fréquences plus ou moins importantes en fonction des DNS retenus.

Envoyé de mon SM-G988B en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

Le 09/12/2020 à 16:07, .Shad. a dit :

Si on héberge déjà une zone locale (ce qu'on appelle faire du split horizon) il faudra que NextDNS écoute sur un autre port que le 53 si sur le même hôte

Du coup, à ta connaissance comment faire écouter NextDNS sur un autre port que le port 53 ?

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Aucune idée je n'utilise pas NextDNS.
Mais il est toujours compliqué de changer de port un serveur DNS. Pour la simple et bonne raison que les périphériques utiliseront quoiqu'il en soit le port 53 pour leurs requêtes.
Avec un vrai pare-feu c'est envisageable, avec un RT non.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.@church

Bonjour,

Merci de vos réponses, elles me confirment ce dont je présentais.

Cela pourrait aussi expliquer peut-être que mes résolutions de proxy inversé ne fonctionnent pas lors NextDNS est activé dans FF. Il semble devenir prépondérant sur mon serveur DNS local. Mais aussi bien je me trompe et ce n'est pas cela ? Bizarre quand même ...

Déporter le serveur DNS sur NAS pourrait être effectivement une option. Je vais y réfléchir ...🤔

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

Avec l'info de @maxou56, du coup en désactivant DoH sur le RT du fait de la présence sur celui-ci du Serveur DNS pour la zone locale, on perd donc tout le bénéfice de NextDNS. C'est bien décevant cette affaire ... car le filtrage se faisait en amont du réseau local.

J'en conclue que l'on ne peut utiliser NextDNS que sur les autres périphériques. Tu confirmes ?

Et pour DSM, pour l'installer il faut passer par ligne de commande en SSH comme dit dans le wiki ? j'ai bon ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je me répond à moi même en donnant une solution qui aidera sans doutes certains ici. Enfin je l'espère ...

@church pour ton info ...

Donc pour mémoire, j'avais ce problème :

Le 13/07/2021 à 17:08, oracle7 a dit :

Après avoir activé NextDNS sur FireFox (PC local et Tél 4G), je m'aperçois que le reverse proxy ne fonctionne plus.

Pour mémoire :

  • mes redirections sont toutes protégées par un profil de contrôle d'accès qui n'autorise celles-ci que si l'@IP source appartient à mon réseau local ou au réseau établi par mon VPN en connexion extérieure.
  • mon serveur DNS local est sur mon routeur (en DMZ de la LB4).
  • le reverse proxy est installé sur un NAS du réseau local.
  • la DoH sur le routeur est configurée pour NextDNS.

Du coup, toutes mes connexions avec une URL "xxxxx.ndd.tld" me renvoient un message d'erreur du serveur Web indiquant que la page demandée n'existe pas.

En fait, pour que cela marche et ne plus récolter le message d'erreur du serveur Web (vu que l'activation DoH contourne la résolution DNS locale - voir le § "Risques" ici), il faut dans FireFox paramétrer deux autres options, à savoir :

  1. Aller sous FF sur la page "about:config"
  2. Rechercher les entrées de type " network.trr "
  3. Pour l'entrée " network.trr.mode " (valeur par défaut = 0) : cliquer sur le crayon à droite de la ligne et saisir la valeur "2" et re cliquer sur le crayon pour enregistrer la modification (voir ici pour les valeur de mode).
    Ici la valeur "2" indique d'utiliser d'abord la résolution NextDNS et si elle échoue de passer sur le résolveur DNS local en secours. C'est ce basculement qui n'était pas fait auparavant et qui générait le message d'erreur du serveur Web.
  4. Pour l'entrée " network.trr.builtin-excluded-domains " (valeur par défaut = localhost,local) : cliquer sur le crayon à droite de la ligne et ajouter le nom de votre domaine (précédée d'une virgule) " ndd.tld " et re cliquer sur le crayon pour enregistrer la modification.
    Ainsi toutes les URL de type xxxxx.ndd.tld ne sont pas traitées par NextDNS. Normal, c'est votre domaine !
  5. Pour les entrées " network.trr.uri " et " network.trr.custom_uri " s'assurer que la valeur est bien de la forme " https://dns.nextdns.io/<votre _Id_nextDNS>/<Nom_PC-Mac>

Voilà, ce n'est pas plus compliqué et maintenant j'ai accès sans problème avec mes URL de type xxxxx.ndd.tld à mes services et applications via reverse proxy tout en ayant protégé ces URL avec un contrôle d'accès.

Cela dit, je ne saurais dire si cette manipulation est valable aussi pour d'autres navigateurs Web, je vous laisse tester.

A toutes fins utiles, je précise aussi que sur mon PC local, j'ai configuré YogaDNS avec deux règles :

  • La 1ère qui force la résolution sur mon serveur DNS Local (installé sur mon Routeur RT2600ac)
  • La 2ème qui utilise le serveur NextDNS (si la règle précédente n'a pas aboutie)

hwQP2xT.png

Maintenant le seul truc qui me chagrine et que je n'ai pas encore réussit à contourner c'est le paramétrage de DoH sur le Routeur.

Même si le DoH contourne la résolution locale faite par mon serveur DNS (ce que dis la doc en ligne de Synology - merci à @maxou56 pour l'info) , j'ai tout de même laissé le DoH activé sur mon routeur.

Pour l'instant je n'ai pas constaté d'effets de bord, je me trompe peut-être, on verras bien à l'usage.

Toutefois si quelqu'un connait la voie de contournement (et si elle existe, à l'instar du paramétrage complémentaire réalisé ci-dessus pour FF) je suis preneur ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Hello les amis,

J'ai découvert il y a deux jours que Cloudflare semblait proposer une service similaire Cloudflare Gateway

J'ai donc créé un compte mais ai vite déchanté...

C'est bien moins user-friendly que NextDNS, pas en français, mais 100% gratuit si on accepte la durée de conservation de logs qui est de 24h je crois.

https://developers.cloudflare.com/cloudflare-one/tutorials/secure-dns-network

On dispose bien d'un lien DoH personnalisé à rentrer dans nos routeurs Synology pour activer le filtrage et avoir de la remontée d'info.

Les possibilités de filtres sont plus pointues que sur NextDNS (filtrage par catégories, application, périphérique voire utilisateur ou groupe d'utilisateurs) mais cela impose que leur client WARP soit installé sur chaque appareil.

Honnêtement, l'interface m'a rebuté et je n'y ai passé qu'une heure sans fouiller plus. Par contre, avec le filtrage activé en parallèle de la rapidité des DNS de Cloudflare (les plus rapides au monde), ça tatane sévère et le surf est vraiment rapide.

Si jamais un courageux veut tester de manière plus aboutie et nous faire un topic...

De mon côté, je suis satisfait de NextDNS et surtout de sa simplicité de configuration...mais bénéficier de la performance des infrastructures DNS de Cloudflare est tentant 🙂

Modifié par church
Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonjour,

Gros problème pour moi.

J'ai implanté NextDNS chez moi.  Très bien.  Malheureusement, je n'ai plus accès à mon Wi-Fi et je ne peux accéder à mon routeur qu'en ip locale (10.0.4.x) et plus via xxx.ndd.tld.  Je n'ai plus d'accès à mon NAS (ip locale ou xxx.ndd.tld).

De plus, aussi, depuis l'implémentation de NextDNS, je n'ai plus accès à ma station Netatmo.

Quelqu'un peut-il m'aider ?

Merci beaucoup.

Modifié par Pinpon_112
Lien vers le commentaire
Partager sur d’autres sites

Hello !

On veut bien t'aider mais il faudrait être plus précis. Au delà des symptômes rencontrés, qu'a tu fais comme manip ?

Là comme ca je ne vois pas de rapport entre le fait d'implémenter NextDNS et de plus accéder à ton Wifi ou à ton routeur...

Lien vers le commentaire
Partager sur d’autres sites

Le 14/10/2021 à 16:35, church a dit :

De mon côté, je suis satisfait de NextDNS et surtout de sa simplicité de configuration...mais bénéficier de la performance des infrastructures DNS de Cloudflare est tentant

Bonjour,

Es-tu passé sur ce DNS ou as-tu trouvé plus d'infos sur la mise en place?

Lien vers le commentaire
Partager sur d’autres sites

Je tourne encore sous NextDNS. L'interface de Cloudflare est bien plus complexe à mettre en oeuvre. Très rapidement, on se retrouve à devoir payer pour bénéficier de fonctionnalités étendues. J'ai laissé de côté.

Dans les mois qui viennent, adguard va également proposer des DNS personnalisables sur le modèle de ce que fait NextDNS.

Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.