Aller au contenu

Fournisseurs DNS DoH/DoT NextDNS pour SRM


church

Messages recommandés

Salut à tous, 

Je partage donc ma dernière trouvaille ! J'utilise depuis un mois et demi le service de NextDNS. Il s'agit d'un service de DNS gratuit (300 000 requetes autorisées) supportant DoH. Le gros avantage est qu'une fois un compte créé, on a accès à des stats et logs avancés (durée de rétention configurable jusqu'à 2 ans), un outil antipub/antitracking puissant, du controle parental, de la liste blanche/noire...tout cela parfaitement paramétrable depuis une interface web claire et en francais ! 

Bref, je retrouve tout ce qu'il manquait à SRM sur la partie logs notamment (historique des domaines visités, domaines filtrés, trafic GAFAM, etc). Une fois le compte en place, on dispose d'une adresse DoH spécifique exploitable dans le RT2600AC pour générer de la stat. Idem si on veut faire du DNS-over-TLS (appareils android) avec la possibilité d'obtenir de la data spécifique à l'appareil en personalisant le lien DoT. 

J'utilisais deja le service de Adguard...mais là l'antipub, l'antitracking sont encore plus pointus. Donnez vous la peine, ca vaut vraiment le coup d'oeil. 

Ca se passe ici : https://nextdns.io/

Modifié par Einsteinium
07/12 Suppression du lien de parrainage... 08/06 modification du titre...
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,
 
La question bête mais’ comment ils gagnent de l argent si c est gratuit ?
Hi !

On peut rester sur du gratuit dans la limite de 300 000 requetes par mois. Pour conserver l'usage du service, l'enregistrement des stats et logs, il faut passer à l'offre pro (1.99 €/mois). En étant en télétravail sur une bonne partie de novembre, j'ai "légèrement" dépassé cette limite (390 000 requêtes). J'avoue donc avoir payé une année de service complète face au potentiel de l'outil : avec des ados à la maison, on se rend très vite compte avec les logs que filtrer la connexion en amont de safe access n'est pas du luxe, même si le paquet est efficace.

Les utilisateurs m'ont tous fait un retour sur un surf internet plus rapide, la partie antipub et antitracking personnalisable bloquant un maximum de choses, le chargement des pages s'en trouve bien allégé, même sur des sites commerciaux.
L'autre révélation a été pour moi de découvrir combien nos objets connectés sont bavards ! Le menu "confidentialité" de l'interface propose de bloquer le trafic non essentiel lié à l'usage des produits de certaines marques (Amazon, Samsung, Huawei, Apple, Xiaomi, etc). Presque toutes ces marques sont présentes sur mon réseau local et sous couvert d'évaluer la qualité de service, d'envoi de statistiques "anonymes", on s'aperçoit également à quel point ces produits causent à de nombreux serveurs (mediametrie, pub ciblée, collecte de données, etc)
Bref, chez moi, le premier mois d'utilisation de NextDNS m'a permis d'identifier que 15% des requêtes étaient bloquées par tous ces filtres, alors même que j' estimais ma connexion plutôt "secure" (DoH auparavant sur un fournisseur éprouvé, Threat Prévention et Safe Access sur un paramétrage plutôt pointu, filtrage Mac...). Note : malgré l'activation de ces filtres avancés en matiere de confidentialité, les enceintes Amazon Echo, les smartphones des grandes marques citées continuent de très bien fonctionner... Idem pour toute la domotique (éclairage Hue, vidéo surveillance, chauffage...).

Envoyé de mon SM-T595 en utilisant Tapatalk





Lien vers le commentaire
Partager sur d’autres sites

Le 07/12/2020 à 22:15, church a dit :

Salut à tous, 

Je partage donc ma dernière trouvaille ! J'utilise depuis un mois et demi le service de NextDNS. Il s'agit d'un service de DNS gratuit (300 000 requetes autorisées) supportant DoH. Le gros avantage est qu'une fois un compte créé, on a accès à des stats et logs avancés (durée de rétention configurable jusqu'à 2 ans), un outil antipub/antitracking puissant, du controle parental, de la liste blanche/noire...tout cela parfaitement paramétrable depuis une interface web claire et en francais ! 

Bref, je retrouve tout ce qu'il manquait à SRM sur la partie logs notamment (historique des domaines visités, domaines filtrés, trafic GAFAM, etc). Une fois le compte en place, on dispose d'une adresse DoH spécifique exploitable dans le RT2600AC pour générer de la stat. Idem si on veut faire du DNS-over-TLS (appareils android) avec la possibilité d'obtenir de la data spécifique à l'appareil en personalisant le lien DoT. 

J'utilisais deja le service de Adguard...mais là l'antipub, l'antitracking sont encore plus pointus. Donnez vous la peine, ca vaut vraiment le coup d'oeil. 

Ca se passe ici : https://nextdns.io/

Bonjour @church juste pour avoir quelques informations /

  ** tu l'utilises en même temps que Adguard ?

** As tu pu l'installer sur ton Nas synology, ?

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Sudo_Root a dit :

Bonjour @church juste pour avoir quelques informations /

  ** tu l'utilises en même temps que Adguard ?

** As tu pu l'installer sur ton Nas synology, ?

Hello !

J'ai abandonné adguard ! Le filtre antipub de NextDNS est plus performant et paramétrable...et permet d'ailleurs d'intégrer et appliquer les filtres de agduard 🙂

L'intérêt de mettre en oeuvre leur solution DoH au niveau du routeur est justement que la gestion se fasse pour tous les périphériques du réseau local placés derrière ce routeur.

Il sera aussi possible de l'appliquer sur un NAS en paramétrant directement les DNS IPV4 ou IPV6 fournis dans son compte NextDNS. Une gestion via un DynDNS est également dispo pour lier son IP à son compte afin garantir la remontée de stats.

 

il y a une heure, dardevil91 a dit :

merci beaucoup pour ce programme   , je trouve juste dommage que androidtv est pas pris en charge

Android TV sera parfaitement pris en charge via un paramétrage manuel des DNS dans l'interface de connexion utilisée (Wifi ou filaire).

Sur Android, il y a bien une appli dédiée téléchargeable depuis le Google Play et permettant d'appliquer les DNS et les filtres activés dans son compte à toutes les connexions d'un smartphone/tablette.

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

J'ai sûrement dû mal cherché mais je n'ai pas trouvé de guide d'installation à lire avant de me lancer dans cette aventure bien tentante.

Comme j'ai une configuration par forcément ordinaire/standard (Routeur RT2600ac en DMZ derrière une LiveBox et un serveur DNS (hébergé par le routeur) pour ma zone locale), j'aimerai bien savoir quelles manipulations/configurations je dois faire pour installer correctement ce bébé ...

Aurais-tu STP des indications à me donner ?

PS : Est-ce que cela remplace avantageusement un Pi-Hole installé sur un RPI ?

Merci de ta réponse.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Hello !

Il y a bien un wiki qui m'a bien dépanné au début 🙂.

De surcroit la communauté commence à bien s'activer autour de la plateforme : il est désormais possible d'installer le service en SSH sur SRM et DSM et les procédures sont détaillées.

Moi je suis resté sur l'install de "Monsieur tout-le-monde" depuis l'interface de SRM en exploitant le lien DoH. La 1ere page d'installation est dynamique. Une fois le compte créé, les instructions vont prendre en compte les ID et infos spécifiques du compte pour faciliter la compréhension des manip : y'a juste du copier-coller à faire ensuite.

Je vous ai mis un exemple en floutant les infos liées à mon compte (IP, lien spécifique pour le DoH, etc).

Je pense qu'on ne devrait pas être si loin que ça de ce qu'offre Pi-Hole avec l'avantage d'avoir une gestion web simplifié et de s'affranchir de la maintenance du hardware : une fois qu'on a le RT2600AC, il y a juste à reporter son lien DoH ou ses DNS NextDNS. L'interface est 100% traduite en francais avec des guides et exemples.

Je colle quelques screenshots : je ne mets pas tout car j'ai la flemme de flouter les pages ou il y a trop d'infos personnelles 🤪

Notes :

1 - la page d'installation indique l'usage d'OpenDNS car je suis en déplacement professionnel sur la connexion d'un client.

2 - ils ont ajouté la double authentification pour renforcer l'accès au compte (j'utilise Google Authenticator) et ça marche bien.

 

 

 

 

securite.png

confidentialite.png

controle parental.png

install.png

Modifié par church
Lien vers le commentaire
Partager sur d’autres sites

Un lien intéressant pour connaître la différence entre DoT (DNS-over-TLS) et DoH (DNS-over-HTTPS) : https://www.cloudflare.com/learning/dns/dns-over-tls/

Si on héberge déjà une zone locale (ce qu'on appelle faire du split horizon) il faudra que NextDNS écoute sur un autre port que le 53 si sur le même hôte, sinon sur un autre périphérique, dans une VM ou un conteneur en macvlan, ça devrait le faire. 😉

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Bonjour,

Il y a 3 heures, .Shad. a dit :

Si on héberge déjà une zone locale (ce qu'on appelle faire du split horizon) il faudra que NextDNS écoute sur un autre port que le 53 si sur le même hôte

Pour mon information et bien comprendre, si c'est le cas que tu cites quel est alors la conséquence  si NextDNS continue d'écouter le port 53 ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, church a dit :

Hello !

Il y a bien un wiki qui m'a bien dépanné au début 🙂.

De surcroit la communauté commence à bien s'activer autour de la plateforme : il est désormais possible d'installer le service en SSH sur SRM et DSM et les procédures sont détaillées.

Moi je suis resté sur l'install de "Monsieur tout-le-monde" depuis l'interface de SRM en exploitant le lien DoH. La 1ere page d'installation est dynamique. Une fois le compte créé, les instructions vont prendre en compte les ID et infos spécifiques du compte pour faciliter la compréhension des manip : y'a juste du copier-coller à faire ensuite.

Je vous ai mis un exemple en floutant les infos liées à mon compte (IP, lien spécifique pour le DoH, etc).

Je pense qu'on ne devrait pas être si loin que ça de ce qu'offre Pi-Hole avec l'avantage d'avoir une gestion web simplifié et de s'affranchir de la maintenance du hardware : une fois qu'on a le RT2600AC, il y a juste à reporter son lien DoH ou ses DNS NextDNS. L'interface est 100% traduite en francais avec des guides et exemples.

Je colle quelques screenshots : je ne mets pas tout car j'ai la flemme de flouter les pages ou il y a trop d'infos personnelles 🤪

Notes :

1 - la page d'installation indique l'usage d'OpenDNS car je suis en déplacement professionnel sur la connexion d'un client.

2 - ils ont ajouté la double authentification pour renforcer l'accès au compte (j'utilise Google Authenticator) et ça marche bien.

 

 

 

 

securite.png

confidentialite.png

controle parental.png

install.png

@church je viens d’implémenter cela.... à première vu, pas mal

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

je viens de tester le "bébé". C'est assez simple à implémenter. Juste un truc, j'ai beau avoir renseigné mon routeur RT2600ac avec les éléments de la page de configuration/installation, je n'arrive pas à voir mon RT dans les Statistiques (Appareils). PAr contre, je vois bien les PC sur lesquels j'ai fait l'installation.

Est-ce qu'il faut qu'en même passer en SSH et suivre la procédure indiquée dans le wiki ?

Sinon c'est fou de voir toutes les requêtes et le type des domaines bloqués. Ouahou !!!

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

[mention=5051]church[/mention]
Bonjour,
je viens de tester le "bébé". C'est assez simple à implémenter. Juste un truc, j'ai beau avoir renseigné mon routeur RT2600ac avec les éléments de la page de configuration/installation, je n'arrive pas à voir mon RT dans les Statistiques (Appareils). PAr contre, je vois bien les PC sur lesquels j'ai fait l'installation.
Est-ce qu'il faut qu'en même passer en SSH et suivre la procédure indiquée dans le wiki ?
Sinon c'est fou de voir toutes les requêtes et le type des domaines bloqués. Ouahou !!!
Cordialement
oracle7
 
Hello ! Si tu as activé le service DoH depuis le RT2600AC, sur la page d'installation (tout en bas), tu as la procédure pour personnaliser le lien DoH avec l'ID de ton compte et le nom de ton routeur. Tu auras juste à suivre cette procédure :


DNS-over-HTTPS
Ajoutez le nom de l'appareil à l'URL (le nom doit être au format URL-encoded).
Pour « Firefox de Pierre », utilisez https://dns.nextdns.io/monIDNextDNS/Firefox%20de%20Pierre comme point de terminaison DNS-over-HTTPS.


Remplacer "monIDNextDNS" par le code ID communiqué dans le compte NextDNS.

Une fois que c'est fait, la collecte de stats est réalisée puisque le trafic DoH effectué depuis le routeur est identifié.

Je confirme 15 % de trafic non essentiel bloqué chez moi : on se rend mieux compte combien certains sites, appareils, applications sont truffés de mouchards (publicitaires pour la plupart). Ca en fait de la bande passante gaspillée...mais il faut bien vivre, je le comprends.
Ce qui m'avait aussi marqué après la mise en service, c'est la fluidité du surf internet sur ma vieille tablette : plus de pub, lancement plus rapide de certaines applis gratuites du fait de l'absence de chargement des bandeaux publicitaires...

De memoire, il faut parfois patienter quelques secondes à quelques minutes pour la remontée de stats. C'est pas tout à fait du temps réel.
Je n'ai pas réalisé la manip en SSH. Je me suis contenté des réglages de la page d'installation.


Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, church a dit :

Hello ! Si tu as activé le service DoH depuis le RT2600AC, sur la page d'installation (tout en bas), tu as la procédure pour personnaliser le lien DoH avec l'ID de ton compte et le nom de ton routeur. Tu auras juste à suivre cette procédure :


DNS-over-HTTPS
Ajoutez le nom de l'appareil à l'URL (le nom doit être au format URL-encoded).
Pour « Firefox de Pierre », utilisez https://dns.nextdns.io/monIDNextDNS/Firefox%20de%20Pierre comme point de terminaison DNS-over-HTTPS.


Remplacer "monIDNextDNS" par le code ID communiqué dans le compte NextDNS.

Une fois que c'est fait, la collecte de stats est réalisée puisque le trafic DoH effectué depuis le routeur est identifié.

Je confirme 15 % de trafic non essentiel bloqué chez moi : on se rend mieux compte combien certains sites, appareils, applications sont truffés de mouchards (publicitaires pour la plupart). Ca en fait de la bande passante gaspillée...mais il faut bien vivre, je le comprends.
Ce qui m'avait aussi marqué après la mise en service, c'est la fluidité du surf internet sur ma vieille tablette : plus de pub, lancement plus rapide de certaines applis gratuites du fait de l'absence de chargement des bandeaux publicitaires...

De memoire, il faut parfois patienter quelques secondes à quelques minutes pour la remontée de stats. C'est pas tout à fait du temps réel.
Je n'ai pas réalisé la manip en SSH. Je me suis contenté des réglages de la page d'installation.

 

@church Bonjour et merci pour les explications.

j'ai une autre préoccupation.

je viens de l'installer sur mon NAS Synology et SSH est tout est okay. j'aimerais savoir si en local, il n'ya pas une interface de configuration (comme pour adguard par exemple) ou alors il faut toujours aller sur le site web pour l'administration ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

@church

Merci pour l'explication claire, j'avais tout simplement omis de renseigner le nom de nom routeur dans l'URL https://dns.nextdns.io/monIDNextDNS/.... pour le serveur DoH sur le routeur.

@Sudo_Root Dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@church pas eu le temps de vraiment savourer nextdns.

je l'ai installé sur mon NAS et pointer le DNS de mon routeur dessus; cela a fonctionné quelques heures et après , complètement instable.

ci-dessous quelques erreurs que j'ai.

image.thumb.png.5500f62c66fc744962626025243be2ad.png

 

j'ai été obligé de retourner sur Adguard. Car j'ai comme l'impression que mon FAI bloque ce DNS et c'est pas la première fois que j'ai un soucis pareil

Lien vers le commentaire
Partager sur d’autres sites

Hello !

Sur cette partie là, je ne pourrai pas t'en dire plus malheureusement : je n'ai pas implémenté le service de cette façon sur mon réseau local.

Par contre, je ne vois pas pourquoi ton FAI bloquerait de la requête DNS...Si c'est ça, faudrait vite en changer à moins que tu vives en Chine !

Le souci ne viendrait-il pas simplement du fait que tu sois en IP dynamique et que le pointage peine à se rétablir lors du renouvellement ? En ADSL notamment, la rotation des IP se fait souvent toutes les 24h.

Comment as tu intégré Adguard ? En exploitant juste leurs DNS au niveau du NAS ? Si oui, tu peux faire la même chose avec NextDNS.

Pour l'anecdote, Safe Access et Threat Prévention se sont affolés dans la soirée en me balançant des alertes relatives à la tablette de mon petit dernier (adware/troyen) ... Entre l'IP de destination bloquée par le routeur, les logs de domaines bloqués dans NextDNS, j'ai rapidement pu identifier l'appli concernée en googlisant un peu : un patch/mod tout bizarre pour Minecraft...pourtant present sur le Playstore mais pas bien noté du tout .

>> appli désinstallée dans la foulée, un petit coup d'antivirus, signalement du patch auprès de l'équipe du Playstore et plus d'alertes !

Envoyé de mon SM-T595 en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, church a dit :

Comment as tu intégré Adguard ? En exploitant juste leurs DNS au niveau du NAS ?

Je l'ai installé sus docker dans le NAS. paramétré avec une IP et je pointe mon routeur dessus. et j'ai ajouté les serveurs DNS dans Adguard

 

Il y a 4 heures, church a dit :

tu peux faire la même chose avec NextDNS.

demain, je vais encore faire des tests avec Nextdns sans toute fois l'installer sur mon NAS.

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

Désolé mais malheureusement j'ai un retour négatif de NextDNS (que j'espère provisoire ...) 😧

Finalement, j'ai désinstallé l'application NextDNS de tous mes PC locaux car celle-ci m'avait créé sur chacun, un adaptateur réseau "TAP-NextDNS Windows Adaptateur v9" qui lui m'avait introduit un bazar pas possible dans mon réseau local. Chaque PC était passé sur un sous-réseau en 194.0.2.0.

Du coup, il m'était devenu impossible de joindre depuis mes PC locaux mes autres périphériques via l'URL xxxxxx.mondomaine.tld (Cams, Imprimante, etc...).

La zone locale de mon serveur DNS (installé sur mon routeur RT2600ac) en 192.168.2.0 n'était plus accessible. Donc plus aucune résolution d'@IP locales.

Par ailleurs, j'ai encore dû raté quelque chose car malgré avoir cette fois bien renseignée l'URL pour le serveur DoH sur mon routeur, le nom de ce dernier ne s'affiche toujours pas dans la page d'administration Web de NextDNS. Seulement, 3 PC locaux et pas plus de périphériques pourtant bien configurés pour NextDNS ?????

As-tu une idée de piste pour remédier à tout cela ?

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@church

Bonjour,

Plus encourageant, maintenant je vais avoir un retour bien plus positif sur NextDNS.

Donc finalement en creusant un peut plus l'affaire, je suis passé par l'installation de "YogaDNS" (voir la doc) sur mon PC local pour finalement rétablir l'accès à ma zone DNS local et la rendre pleinement efficiente.

Cette possibilité est indiquée dans la page d'installation (Administration Web) de NextDNS (https://my.nextdns.io/votreID/setup).

Il suffit donc de configurer YogaDNS pour utiliser NextDNS et ensuite d'ajouter le DNS Server qui gère la zone DNS locale et là BINGO !!! Cela marche sans aucun problème.

 

J'ai ainsi retrouvé tous mes périphériques locaux auxquels j'accède comme auparavant avec une simple URL du type "xxxxxx.mondomaine.tld".

Voilà, en espérant que ce sera utile à ceux qui auront eu le même problème.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@Einsteinium Je ne suis surtout pas certain de ce que NextDNS apporte par rapport à une gestion locale.
Par contre, corrige-moi si je me trompe, mais que ce soit du DoH ou du DoT, le serveur DNS upstream qui va recevoir ta requête pourra la décrypter (sinon il ne pourrait pas la résoudre). Donc tout dépend de la confiance que tu accordes à ton serveur DNS upstream. Que tu choisisses Cloudflare, NextDNS, Quad9 ou autre, ça ne change rien à cela.

Je pense que si on veut favoriser la privauté des données, alors il est plus intéressant de demander à son serveur DNS de résoudre récursivement (et activer DNSSEC par la même occasion). Car là au moins tu sais que tu vises les serveurs racines, et pas une autorité déléguée.

Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.