La Fibre
Datacenter et équipements réseaux => Routeurs => 
OPNsense => Discussion démarrée par: virtual_francky le 28 octobre 2022 à 10:49:05
-
Bonjour,
je voulais mettre en place sur mon routeur Opnsense la solution Opendns pour améliorer la protection de l'accès a Internet pour mes enfants, mais voila je suis face a un problème, cela ne fonctionne pas, après avoir envoyé log des outils de diagnostiques du support technique de OpenDNS, il semblerait que les requêtes vers les DNS de chez OpenDNS soit intercepté par Orange qui les redirige vers ses propres DNS.
Comment s'affranchir de cela ?
Avez vous le même genre de mésaventure ?
Je précise que dans les réglages DNS de Opnsense seul les DNS de OpenDNS sont entrés, donc je ne vois pas comment cela est possible.
Merci
-
Bonjour,
Orange n'intercepte pas (sauf changement récent) les requêtes DNS et ce serait illégal de le faire.
Ce serait possible de donner plus d'éléments techniques ?
- IPv4 / IPv6 utilisés chez OpenDNS
- Comment diagnostiques-tu que les réponses à tes requêtes sont celle du résolveur d'Orange ? Pour moi, il faut utiliser un nom de domaine que la justice à demander de bloquer à Orange de bloqué et qui n'est pas bloqué coté OpenDNS. Ex: Site de jeu en ligne non autorisé par l'ARJEL. Une petite recherche sur NextINpact doit permettre de trouver des noms de domaines bloqués. Autre solution, prendre les DNS contrôle parental d'OpenDNS et tester un site pornographique qui devra être bloqué chez OpenDNS et pas chez Orange.
- C'est possible de faire un test sur un PC derrière une Livebox ? (tester une requête DNS depuis un PC linux connecté à la livebox). Le but est de voir si cela pourrait être un bug OPNsense.
-
Bonjour,
Pour vérifier si la résolution est bien faite par OpenDNS, aller sur http://welcome.opendns.com/ et regarder la page qui' s'affiche.
Pour vérifier su le filtrage des sites adultes est effectif, aller sur http://www.exampleadultsite.com/
-
Bonjour,
Orange n'intercepte pas (sauf changement récent) les requêtes DNS et ce serait illégal de le faire.
Ce serait possible de donner plus d'éléments techniques ?
- IPv4 / IPv6 utilisés chez OpenDNS
- Comment diagnostiques-tu que les réponses à tes requêtes sont celle du résolveur d'Orange ? Pour moi, il faut utiliser un nom de domaine que la justice à demander de bloquer à Orange de bloqué et qui n'est pas bloqué coté OpenDNS. Ex: Site de jeu en ligne non autorisé par l'ARJEL. Une petite recherche sur NextINpact doit permettre de trouver des noms de domaines bloqués. Autre solution, prendre les DNS contrôle parental d'OpenDNS et tester un site pornographique qui devra être bloqué chez OpenDNS et pas chez Orange.
- C'est possible de faire un test sur un PC derrière une Livebox ? (tester une requête DNS depuis un PC linux connecté à la livebox). Le but est de voir si cela pourrait être un bug OPNsense.
Alors j'ai simplement exécuter les outils de diagnostics fournis par le support technique d'Opendns, et je leur ai fourni les logs, et c'est après analyse de ces logs qu'ils en sont venu à cette conclusion, je peux fournir le mail que j'ai reçu du support technique avec la démarche a suivre pour faire le test.
Lorsque je fais le test sur mon PC comme indiqué ici :
Pour vérifier si la résolution est bien faite par OpenDNS, aller sur http://welcome.opendns.com/ et regarder la page qui' s'affiche.
J'ai bien l'erreur OUPS vous n'utilisez pas les DNS Opendns ..... blablabla
Je pourrais essayer ce soir pour le test derrière une live box, celle ci est d'ailleur encore branchée sur un autre range d'IP juste pour le téléphone.
Mais on est bien d'accord que les réglages des DNS se trouve uniquement dans la partie System / Settings / General dans OPNsense.
-
Bonjour,
Est-ce qu'il n'y aurait pas une problématique d'IP v6 ?
En IP v4, les DNS sont données par le DHCP (généralement), par contre en IP v6, c'est le routeur (SLACC). Je suis en train de réfléchir à la même problématique (et l'IP v6 me pose "problème", je ne vois pas comment faire sans ajouter un routeur entre la box et les équipements).
-
Une capture Wireshark serait bienvenue pour voir le trafic DNS.
Je suis prêt à prendre le pari que ce n'est pas Orange le fautif dans l'histoire.
-
Bonjour,
Est-ce qu'il n'y aurait pas une problématique d'IP v6 ?
En IP v4, les DNS sont données par le DHCP (généralement), par contre en IP v6, c'est le routeur (SLACC). Je suis en train de réfléchir à la même problématique (et l'IP v6 me pose "problème", je ne vois pas comment faire sans ajouter un routeur entre la box et les équipements).
J'ai totalement désactivé l'IPV6, car Opendns ne prends pas en charge IPV6 dynamique. Du coup je n'obtient plus d'IPV6 d'orange sur mon router.
Mon PC passe par un AP wifi de chez Ubiquity, j'ai vérifié dans la configuration de cet AP, et je n'ai rien trouvé lié au DNS, mais je pourrais connecter un pc directement sur un switch pour tester si j'i le même problème.
-
Une capture Wireshark serait bienvenue pour voir le trafic DNS.
Je suis prêt à prendre le pari que ce n'est pas Orange le fautif dans l'histoire.
Si vous me dite comment procéder, je veux bien vous fournir les résultats, je n'ai jamais fait cela, ce n'est pas mon domaine.
-
En fait la première étape c'est de voir sur vos PC quels sont les DNS qu'il récupère dans une requête DHCP et vérifier que c'est bien ceux d'OpenDNS.
Windows : ipconfig /all dans une ligne de commande
Linux : Graphiquement dans NetworkManager, propriété de la connexion.
-
En fait la première étape c'est de voir sur vos PC quels sont les DNS qu'il récupère dans une requête DHCP et vérifier que c'est bien ceux d'OpenDNS.
Windows : ipconfig /all dans une ligne de commande
Linux : Graphiquement dans NetworkManager, propriété de la connexion.
Alors ça je peux répondre, car j'avais déja testé, avec ipconfig /all le DNS pointe sur mon routeur en 192.168.100.254 (qui est bien mon routeur OPNsense).
-
ok. donc il fait proxy et on ne sait pas où cela va ensuite.
Cela ne serait pas plus simple de demander au routeur de ne pas faire proxy et d'envoyer les IP des DNS dans le réponse DHCP, plutôt que son IP ?
-
ok. donc il fait proxy et on ne sait pas où cela va ensuite.
Cela ne serait pas plus simple de demander au routeur de ne pas faire proxy et d'envoyer les IP des DNS dans le réponse DHCP, plutôt que son IP ?
Je vais regarder cela, je n'ai aucune idée pour ce type de configuration, je vais chercher sur le net voir comment procédé. Merci pour votre aide.
-
En general le client DNS est actif par defaut sur Windows.
Get-DnsClientServerAddress dans une fenetre powershell pour voir ce que lui voit.
Si c'est unbound qui est utilise sur OPNsense, alors pour avoir le fichier de conf du service:
unbound-checkconf -fDe la, examiner la conf, notamment celle des eventuelles forward zones et les interfaces auquelles le serveur est lie (notamment celle pour aller a votre poste client)
-
Petite correction pour le serveur DNS, c'est vrai que je l'ai modifié récemment, il pointe maintenant vers mon serveur NAS qui sert aussi de serveur AD.
-
En general le client DNS est actif par defaut sur Windows.
Get-DnsClientServerAddress dans une fenetre powershell pour voir ce que lui voit.
Si c'est unbound qui est utilise sur OPNsense, alors pour avoir le fichier de conf du service:
unbound-checkconf -fDe la, examiner la conf, notamment celle des eventuelles forward zones et les interfaces auquelles le serveur est lie (notamment celle pour aller a votre poste client)
Voila le résultat de Get-DnsClientServerAddress :
Wi-Fi 10 IPv4 {192.168.100.30, 192.168.100.254}
Wi-Fi 10 IPv6 {}
192.168.100.30 étant mon NAS avec AD et 192.168.100.254 mon routeur OPNsense
-
Je pense avoir résolu mon problème
Sur mon NAS DNS Server était mal configuré :
(https://i.postimg.cc/6prFHWS4/2022-10-28-20-47-15.png)
J'ai rajouté les DNS de OPNsense et maintenant ja'ai bien un blocage sur le site
(https://i.postimg.cc/c4gvtjzb/2022-10-28-20-51-48.png)