Utiliser dnsmasq comme serveur DHCP/DNS

Support
1

Bonjour !

Pour contourner les problèmes lié à la livebox, j’ai configurer le dnsmasq embarqué sur le Yunohost de mon Raspberry pour qu’il gère la partie dhcp / dns de mon reseau local.

Le soucis c’est que mes deux laptops sous windows on internet jusqu’à ce qu’il se déconnecte du réseau (reboot, veille, ou deco …)
suite a une déconnexion : plus de résolution DNS
Pour l’instant le seul truc que j’ai trouver pour retrouver une résolution DNS, c’est de redémarrer mon serveur yunohost

Apres moult modification de ma configuration voici LA modification de yunohost que j’ai apporter pour ajouter cette fonctionnalité

admin@yunohost:~ $ cat /etc/dnsmasq.d/dhcp
##domain-needed
bogus-priv
#filter-win2k
no-resolv
server=80.10.246.2
server=80.10.246.129
local=/lan/
interface=eth0
expand-hosts
domain=jmanson.lan
dhcp-authoritative
dhcp-range=192.168.1.3,192.168.1.99,255.255.255.0,24h
dhcp-option=option:router,192.168.1.1
dhcp-option=option:ntp-server,192.168.1.251
dhcp-option=6,192.168.1.251
dhcp-option=252,"\n"
dhcp-authoritative
cache-size=4096
log-facility=/var/log/dnsmasq.log
#log-async
#log-queries
#log-dhcp
dhcp-host=F0:82:61:2F:F3:95,ignore # TV Orange ignoré

Est ce que quelqu’un voit d’ou ca pourrait venir ?
Je me suis dis que c’était peut Fail2ban ou une autre protection qui vois passé les requêtes dns et prend ça pour une attaque … mais je vois pas trop comment faire en sorte que cela ne se produise plus

2

Salut,

Avant de redémarrer ton serveur, vérifie l’état du service dnsmasq, tu peux le voir dans l’interface d’admin.
Si ton port 53 est ouvert sur ta box, dnsmasq risque d’être utilisé par des IP externes à ton réseau.
Tu peux vérifier ça en activant temporairement ‘log-queries’, tu verras probablement de nombreuses requêtes provenant de l’ip de ta box sur des domaines que tu ne visites pas.

Or avec un ‘dns-forward-max’ à 150 par défaut, dnsmasq sature sous les demandes et plante. Si tu vois le service dnsmasq à l’arrêt quand tu perds le dhcp, ferme ce port sur ta box.

3

bonsoir et merci pour cette réponse,

j’ai dégagé mon raspberry de la DMZ pour nater les ports dont j’ai besoin depuis l’extérieur (donc le port 53 n’est plus accessible depuis l’extérieur)
Malheureusement, ce comportement persiste.
j’arrive a reproduire a tout les coups ce problème.
1°/ J’ai une resolution dns sur mon pc
2°/ je redémarre mon poste
3°/ dnsmasq attribue l’adresse ip à ma machine (sans aucune lenteur)
4°/ test internet => plus de résolution

Parfois, au bout de 5/10 minutes je récupère une résolution dns
quand je regarde mes autres machines connecté a ce même serveur dns : elle n’ont aucun problème (dnsmasq n’est pas planté)
j’ai regardé depuis la machine qui n’a plus de resolution DNS les ports de mon serveur yunohost, je vois bien que le port 53 est ouvert

coté Fail2ban :
j’ai remarqué ce message dans les logs :
2016-09-03 18:30:05,104 fail2ban.filter [4522]: WARNING Determined IP using DNS Lookup: pcw-jma.involv.lan = [‘192.168.1.21’]
j’ai essayer d’arreter fai2ban, j’avais l’impression que c’était mieux, mais visiblement quelques chose relance fail2ban

je me suis dit il faudrait voir de ce coté, alors dans le fichier jail.conf j’ai fais 2 ajout pour essayer de l’empêcher de me coincer (si c’est vraiment lui)
d’abord j’ai ajouté mon reseau (192.168.1.0/24, ca n’a pas donnée grand chose
j’ai ensuite mis mon ip local 192.168.1.21, idem pas de résultat
et ensuite j’ai changer l’option usedns par usedns = no, toujours pareil …

j’ai fouillé les logs, je n’ai rien vue qui aurrait pu me donner une piste
essayé de redémarrer tout les daemon pour comprendre comment ça repart sur un reboot … rien trouvé

Piouf je pensais avoir eu une bonne idée, simple a mettre en oeuvre et finalement, quel galère !
si quelqu’un a la moindre idée, n’hésitez surtout pas !

4

A première vue, le warning de fail2ban indique simplement qu’il a tenté un reverse DNS pour identifier le domaine derrière l’ip qu’il veut bannir.

Essaye de chercher dans les logs de fail2ban l’ip 192.168.1.21 ou le domaine pcw-jma.involv.lan, tu trouveras peut-être la jail qui a banni ton ip (le cas échéant).

5

Bonjour, désolé pour cette réponse tardive,

J’ai bien l’impression que fail2ban n’y ai pour rien, il n’y arien dans les log qui dit qu’il a bannit mon pc
Ce qui est marrant c’est que j’ai l’impression que cela ne touche que mes deux laptops sous windows 10 , je ne sais pas si la version de Windows change quelque chose, mais j’ai bien l’impression que ce problème ne se présent pas sur l’iphone de ma copine, ni mon téléphone android ni mon pc sous linux.
Depuis le temps j’ai mis le serveur DNS/DHCP sur une autre machine en attendant d’avoir du temps pour chercher d’ou vient ce problème.
Si tu (ou quelqu’un d’autre) à une idée ou d’autre chose a vérifier) n’hésite pas !

6

Je n’ai pas vraiment d’autres idées, et dans un premier temps je persiste à incriminer fail2ban. Pour plusieurs raisons:

  • Tu récupères ta résolution dns après 10 minutes. Ce qui correspond au temps de ban par défaut de fail2ban.
  • Le message dans le log relatif à DNS Lookup indique qu’il recherche le domaine associé à l’ip qu’il vient de bannir. En l’occurrence ton ip.
  • Seul un pc est concerné, et il est probable qu’il tente une connexion qui échoue très régulièrement.

As-tu, sur ce pc, un client mail, un client jabber ou tout autre logiciel qui se connecte à ton serveur?

Pour arrêter fail2ban (et être sûr qu’il ne redémarre pas!), déplace le script init.

sudo service fail2ban stop
sudo service fail2ban status
sudo mv /etc/init.d/fail2ban ~

Et lorsque tu voudras le redémarrer:

sudo mv ~/fail2ban /etc/init.d/fail2ban
sudo service fail2ban start
sudo service fail2ban status
7

Je sais que le sujet date un peu
mais le port 53 est pour le DNS
si tu veux offrir du DHCP sur ton réseau tu dois ouvrir les ports 67 et 68 en UDP

8

Bonjour et merci pour ta réponse,

Réponse tardive mais le sujet n’est pas clos :wink:
j’ai temporairement monté un serveur DHCP/DNS a coté, je compte revenir dessus quand j’aurai plus de temps.