Problème DNS Brique

Mon serveur YunoHost

Matériel: Raspberry Pi à la maison / Brique Internet avec VPN
Version de YunoHost: 3.6.4.6
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modifiiations particulières sur votre instance ? : oui
Si oui, expliquer: Boot sur la SD et le reste sur un hdd

Bonjour,

je lisais cet article et l’idée m’est venue d’essayer le script de l’article pour tester mes DNS, DNS qui devraient être ceux fournis par la FDN puisque j’utilise la Brique Internet et un vpn franciliens.

Donc j’ai commencé à lancer le script depuis mon ordinateur principal connecté au réseau wifi créé par la Brique et surprise j’ai cela comme résultat :

./dnsleaktest.sh
Your IP:
79.xxx [France, French Republic AS29608 Absolight]
You use 1 DNS server:
146.112.128.67 [France, French Republic AS36692 OpenDNS, LLC]
Conclusion:
DNS may be leaking.

Puis j’ai installé le script sur mon Pi où tourne la Brique et j’ai obtenu :

Your IP:
79.xxx [France, French Republic AS29608 Absolight]

You use 18 DNS servers:
74.125.47.2 [Belgium AS15169 Google LLC]
74.125.47.7 [Belgium AS15169 Google LLC]
74.125.47.10 [Belgium AS15169 Google LLC]
74.125.47.13 [Belgium AS15169 Google LLC]
74.125.47.142 [Belgium AS15169 Google LLC]
74.125.47.145 [Belgium AS15169 Google LLC]
74.125.47.149 [Belgium AS15169 Google LLC]
74.125.47.151 [Belgium AS15169 Google LLC]
74.125.47.154 [Belgium AS15169 Google LLC]
74.125.73.70 [Belgium AS15169 Google LLC]
74.125.73.72 [Belgium AS15169 Google LLC]
74.125.73.77 [Belgium AS15169 Google LLC]
74.125.73.78 [Belgium AS15169 Google LLC]
74.125.73.83 [Belgium AS15169 Google LLC]
74.125.181.2 [Belgium AS15169 Google LLC]
74.125.181.5 [Belgium AS15169 Google LLC]
74.125.181.6 [Belgium AS15169 Google LLC]
74.125.181.10 [Belgium AS15169 Google LLC]

Comment est-ce possible puisque je ne devrais avoir que les DNS fournis par l’association Franciliens ?

Merci des conseils.

Marrant cette technique pour déduire le DNS :slight_smile:

Bon moi j’ai fait un essai avec ce script issu de l’original (plus simple à auditer):

id=$(shuf -i 1000000-9999999 -n 1)

for i in {1..10};do
    ping -c 1 "${i}.${id}.${api_domain}" > /dev/null 2>&1
done

result=$(curl --silent "https://bash.ws/dnsleak/test/${id}?json")

Par contre, en lisant le script quelqu’un pourrait s’arranger pour que ça retourne de faux résultats je pense.

EN tout cas moi j’ai bien le DNS attendu quand je fais l’essai.

Peux tu dire ce qu’il y a dans ces fichiers:
/etc/resolv.conf
/etc/resolv.dnsmasq.conf

Vérifie aussi /vpnadmin/ peut être que les DNS ne sont pas configurés ?

Sur le Pi avec la brique :

/etc/resolv.conf donne nameserver 8.8.8.8

/etc/resolv.dnsmasq.conf donne :
nameserver 79.143.250.1
nameserver 80.67.169.40

Les DNS dans /vpnadmin/ sont :
nameserver 79.143.250.1
nameserver 80.67.169.40

J’ai essayé d’utiliser ton script, mais je n’ai pas de réponse après l’avoir lancé.

Depuis mon smartphone connecté au wifi de la Brique et via https://bash.ws/dnsleak je n’ai pas ce problème :

Mais depuis mon ordi connecté au même réseau wifi de la Brique j’ai :

Bref je ne comprends pas.

Est-ce que tout simplement ton ordi ne serait pas configuré manuellement pour utiliser 146.112.128.67 comme résolveur DNS ?

Salut pitchum,

dans mon ordi j’ai cette configuration quand connecté à la brique :

2019-09-27_00-33

et

Ca devrait être nameserver 127.0.0.1
8.8.8.8 c’est google, je ne sais pas comment tu as eu 8.8.8.8 dans ton serveur.

Ceci dit tu indiques que ton serveur est un rpi donc potentiellement tu as installé yunohost par dessus l’os du rpi ? Dans ce cas c’est peut être un résidus.

1 Like

Non, j’ai installé yunohost directement sur la carte SD, puis j’ai transféré sur un hdd attaché au Pi en gardant le boot sur la carte SD. La seule chose non yunohost que j’ai dessus est Weechat. Je ne vois pas comment j’aurais changé pour 8.8.8.8…

Enfin, je ferai le changement demain. Merci pour tes réponses.

Ok je viens de vérifier il y a un bug dans l’image

@ljf admettons qu’un bug dans l’image fait qu’il se retrouve avec “nameserver 8.8.8.8”, ça explique bien les résultats qu’il a eus en lançant dnsleaktest sur son yunohost.
Par contre je ne comprends toujours pas le résultat qu’il a sur son ordi. Avec les résolveurs LDN et FDN configurés, dnsleaktest.sh lui indique que ses requêtes DNS passent chez OpenDNS. Je viens de tester chez moi et je n’ai pas le même résultat.
Je me demande d’où sort cette IP 146.112.128.67 chez @arnauld

It’s not a bug, it’s a feature :+1:. De mémoire, tant que la postinstall n’est pas faite, la conf DNSmasq n’a pas encore été faite par la regenconf et tu ne peux pas faire pointer le bouzin vers 127.0.0.1. Par contre une fois la postinstall faite, resolvconf est censé faire pointer le truc vers 127.0.0.1

Je viens de refaire le test DNS après avoir changé 8.8.8.8 pour 127.0.0.1 dans /etc/resolv.conf .

J’ai :

admin@arnauld:~ $ ./dnsleaktest.sh
Your IP:
79.xxx [France, French Republic AS29608 Absolight]

You use 2 DNS servers:
79.143.250.1 [France, French Republic AS29608 Absolight]
80.67.169.40 [France, French Republic AS20766 Association Gitoyen]

Conclusion:
DNS may be leaking.

2019-09-27_17-01

Ils correspondent à ceux indiqués dans /vpnadmin/ .
Donc tout va bien là.

Pour mon ordi connecté à la Brique, j’ai maintenant :


où l’adresse IP et le DNS serveur ont la même adresse, est-ce normal ?
En tout cas je n’ai plus l’adresse 146.112.128.67 d’hier.

Je n’ai fait que changer 8.8.8.8 pour 127.0.0.1 dans yunohost depuis hier, pas touché à des réglages sur mon ordi.

Chez franciliens.net c’est normal, le serveur VPN héberge son propre résolveur DNS.

1 Like

Je viens de refaire un test.

Sur yunohost j’ai :

Puis sur mon ordi connecté à la brique.
A partir de ce site https://bash.ws/dnsleak

Puis de ce site https://ipleak.net/

J’ai donc de nouveau cette adresse 146.112.128.68 , donc je ne comprends pas…

Peut-être que ton navigateur utilise son propre mécanisme de résolution DNS (DoH ou autre). Peux-tu tester ipleak hors navigateur sur ton ordi ?
Peux-tu vérifier que tu n’as pas une configuration ou un extension dans ton navigateur qui force la résolution DNS en passant par OpenDNS ?
Si besoin créé toi un profil vierge. Avec Firefox tu peux faire ça en le lançant en ligne de commande comme ça :

firefox -ProfileManager

Ça doit être faisable avec d’autres navigateurs aussi mais je ne sais pas comment.

1 Like

Peut-être que ton navigateur utilise son propre mécanisme de résolution DNS (DoH ou autre). Peux-tu tester ipleak hors navigateur sur ton ordi ?

J’avais bien pensé à ça car justement dans FF j’utilise DoH en indiquant un DNS de la FDN. J’ai aussi testé avec un autre navigateur, Irridium, mais même résultat.
J’ai testé aussi avec le script, donc hors navigateur, mais même résultat…

J’ai posé mon souçis sur un forum Linux Mint (ma machine) et ils m’ont indiqué cette manipulation que je ferai quand je serai certain de ne pas avoir besoin d’un ordinateur connecté au net…donc ce soir tard ou demain :

sudo rm -f /etc/resolv.conf
sudo ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf
reboot

this will remove your current /etc/resolv.conf and make a symlink to the true resolv.conf which is now managed by systemd
you can now edit /etc/resolv.conf and the settings will not be written over

Mais si je fais cela, que dois-je mettre dans le /etc/resolv.conf (de mon ordi connecté à la brique) 127.0.0.1 ??

Merci.

Le problème semble s’être résolu tout seul (tout seul ??) :thinking:
Sur mon ordi principal connecté à la brique j’ai le bon DNS maintenant.

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.