Projet

Général

Profil

Actions
Historique

Wiki » Historique » Révision 2

« Précédent | Révision 2/35 (diff) | Suivant »
sacha, 25/12/2022 23:48

DNS récursif Ouvert DoH DoT & HA

Aquilenet propose deux serveurs DNS ouverts cf https://www.aquilenet.fr/services/dns/
On a mis DNS ouvert aussi sur l'IP 45.67.81.23 car facile à retenir, c'est l'adresse de dns.aquilenet.fr (voir http://dns.aquilenet.fr) . Nous en avons profité pour ajouter DoH et DoT et d'avoir cette adresse en IP Virtuelle partagée entre Gaia et Hades.

Apache2

  • /etc/apache2/sites-enabled/dns.aquilenet.fr.conf 

    <VirtualHost *:80>
    ServerAdmin webmaster@aquilenet.fr
    ServerName dns.aquilenet.fr
    DocumentRoot /srv/www/dns.aquilenet.fr 

    ErrorLog ${APACHE_LOG_DIR}/dns.aqln.error.log 
    LogLevel warn
    CustomLog ${APACHE_LOG_DIR}/dns.aqln.access.log combined

    Alias /.well-known/acme-challenge /srv/letsencrypt/challenges/dns.aquilenet.fr
    <Directory /srv/letsencrypt/challenges/dns.aquilenet.fr>
        Require all granted
    </Directory>
    <Directory />
            Options FollowSymLinks 
            AllowOverride None
            Require all granted
    </Directory>
</VirtualHost>

Génération du certificat SSL

certbot --apache --agree-tos --email sysop@aquilenet.fr -d dns.aquilenet.fr
chgrp bind /etc/letsencrypt/live/dns.aquilenet.fr/privkey.pem
chmod 0640 /etc/letsencrypt/live/dns.aquilenet.fr/privkey.pem
openssl dhparam -out /etc/bind/dhparam.pem 4096

Copie du certificat sur gaia

  • /etc/letsencrypt/renewal-hooks/post/sync-cert.sh ~~~ #!/bin/bash rsync -aPHSA /etc/letsencrypt/archive/dns.aquilenet.fr gaia:/etc/letsencrypt/archive/ ~~~

Bind9

BIND 9.17.10 implémente DoH, au jour de l'installation il n'est disponible que dans les backports bullseye (A changer quand il sera dans main).

  • /etc/bind/named.conf.options

Dans la catégorie "options {"

        listen-on-v6 { 2a0c:e300::101; };
        listen-on { 185.233.100.101; 45.67.81.23; };
        # DOH
        listen-on port 443 tls local-tls http default { 45.67.81.23; };
        # DoT
        listen-on port 853 tls local-tls { 45.67.81.23; };
        recursion yes;
        dnssec-validation auto;

# DoH DoT
tls local-tls {
    key-file "/etc/letsencrypt/live/dns.aquilenet.fr/privkey.pem";
    cert-file "/etc/letsencrypt/live/dns.aquilenet.fr/fullchain.pem";
    dhparam-file "/etc/bind/dhparam.pem";
    protocols { TLSv1.2; TLSv1.3; };
    prefer-server-ciphers yes;
    session-tickets no;
};

AppArmor

  • /etc/apparmor.d/local/usr.sbin.named
/etc/letsencrypt/** r,

appliquer avec: apparmor_parser -r /etc/apparmor.d/usr.sbin.named

Mis à jour par sacha il y a presque 2 ans · 2 révisions