Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Info/Tuto] Orange et le fliquage / Changer ses paramètres DNS

Martial34

Je vous recommande cet article du Monde.
On y apprend que le fournisseur d’accès Orange (France Télécon pour les intimes) travaille pour les services secrets. Chaque fois que vous consultez un site Internet, la DGSE en est informée !
Si vous ne voulez plus être fliqués, vous avez plusieurs solutions. La plus connue consiste à utiliser Tor ou un proxy. Mais c’est difficile à configurer, et cela ralentit beaucoup la navigation.
Dans le cas d’Orange, il est préférable d’utiliser un DNS. Orange a ses propres DNS, qui lui permettent de traiter les requêtes, c’est-à-dire vos consultations de sites, et de les surveiller au passage. Mais si on fait passer toutes les requêtes par un DNS open source, Orange ne peut plus cafarder. Et on gagne même en rapidité de surf ! Voici comment procéder :

1) Installez les paquets suivants :
Bind9
Bind9-host
Bind9utils
Dnsutils

2) Désactivez Dnsmasq, qui peut provoquer des interférences, en tapant ceci dans un terminal :

sudo update-rc.d -f dnsmasq remove

Tapez votre mot de passe. Validez avec la touche ENTRÉE.
Redémarrez Network Manager :

sudo service network-manager restart

3) Choisissez le cas qui vous concerne ici. Je vais prendre l’exemple le plus courant, la configuration pour un seul ordinateur (PC domestique).

4) Copiez dans votre terminal :

sudo gedit /etc/bind/named.conf.options

(Ou sudo leafpad si vous êtes sur Lubuntu, ou sudo mousepad sur Xubuntu, ou sudo kate sur Kubuntu.)
Cherchez la ligne : listen-on-v6 { any; };
Remplacez-la par cette ligne : listen-on-v6 { ::1; };
Mettez un dièse (Alt Gr + 3) devant ces trois lignes :
#// forwarders {
#// 0.0.0.0;
#// };
Cliquez sur FICHIER, puis sur ENREGISTRER.

5) Si vous utilisez DHCP, tapez :

sudo gedit /etc/dhcp3/dhclient.conf

Enlevez le dièse devant la ligne : prepend domain-name-servers 127.0.0.1;
Enregistrez.

Si vous avez une adresse IP statique, tapez :

sudo gedit /etc/resolv.conf

Faites un ajout ou une modification pour obtenir cette ligne :
nameserver 127.0.1.1
Enregistrez.

6) Redémarrez Bind9 en tapant :

sudo service bind9 restart

7) Ouvrez Network Manager, votre gestionnaire de réseau. Dans Paramètres IPv4, choisissez « Adresses automatiques uniquement (DHCP) ».
Dans la barre Serveurs DNS, ajoutez : 127.0.0.1
Enregistrez.

8) Testez en tapant dans le terminal :

dig -x 127.0.0.1

Si vous avez réussi la manipulation, vous devez obtenir à peu près ceci :

; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> -x 127.0.0.1 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27705 
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3 

;; OPT PSEUDOSECTION: 
; EDNS: version: 0, flags:; udp: 4096 
;; QUESTION SECTION: 
;1.0.0.127.in-addr.arpa.		IN	PTR 

;; ANSWER SECTION: 
1.0.0.127.in-addr.arpa.	604800	IN	PTR	localhost. 

;; AUTHORITY SECTION: 
127.in-addr.arpa.	604800	IN	NS	localhost. 

;; ADDITIONAL SECTION: 
localhost.		604800	IN	A	127.0.0.1 
localhost.		604800	IN	AAAA	::1 

;; Query time: 1 msec 
;; SERVER: 127.0.1.1#53(127.0.1.1) 
;; WHEN: Sat Mar 22 20:46:39 CET 2014 
;; MSG SIZE  rcvd: 132

Autre test. Tapez dans votre terminal :

nslookup

Validez, puis ajoutez :

server 127.0.0.1

Validez. Vous devez obtenir :

Default server: 127.0.0.1
Address: 127.0.0.1#53

9) Allez dans votre Livebox (tapez dans la barre d’adresse du navigateur : http://192.168.1.1/ puis validez).
Dans « Assistance -> Informations système -> Internet », l’adresse IP WAN ne doit pas commencer par 192.168. Si elle commence par deux chiffres, et si elle est différente à chaque redémarrage de l’ordinateur, cela signifie que toutes vos requêtes passeront par Bind9, et que France Télécon ne pourra plus vous espionner. :cool:

YoucefPhnixLord

merci mon ami!

TatrefThekiller

Hmmmm et par où passent les requêtes si elles ne passent pas par les DNS Orange ? Je ne vois pas de redéfinition de DNS dans ta conf.

Là il me semble que tu définis juste un relais local, puis tu fais pointer ta résolution DNS par ce relais.

Si tu fais un tcpdump -n port 53, tu verras, je pense, que les requêtes partent bien chez Orange (ou ta livebox qui fait cache DNS).

Martial34

La réponse est ici :
« BIND est configuré pour ne répondre qu’aux requêtes du PC sur lequel il est installé. Il se charge lui-même de la résolution de noms, sans passer par les serveurs DNS de votre FAI. »
« Vous ne serez pas soumis au filtrage (ou parfois au DNS menteur) de votre fournisseur d’accès. »

Martial34

Toujours en retard d’un demi-siècle, Orange ne gère pas le protocole IPv6, contrairement à beaucoup de ses concurrents. À partir du nouveau DNS (voir plus haut), il est possible de créer un tunnel qui va faire transiter l’IPv6 par l’IPv4. Pour cela, installez ces trois paquets :
Gogoc
Iproute
Radvd

EDIT ! Le site Gogo6 ayant déclaré forfait, gogoc doit être remplacé par miredo.

Collez ceci dans votre terminal, puis validez :

sudo /etc/init.d/gogoc start

Si vous utilisez Firefox, tapez about:config dans sa barre d’adresse, validez. Tapez ipv6 dans la barre de recherche. La ligne network.dns.disableIPv6 doit se terminer sur le mot « false ». Si elle se termine sur le mot « true », faites un double-clic rapide sur la ligne en question pour la faire passer en « false ».

Si vous utilisez le pare-feu UFW, collez ceci dans votre terminal, puis validez :

sudo gedit /etc/default/ufw

Corrigez le fichier (et n’oubliez pas d’enregistrer !) pour qu’il comporte :
IPV6=yes
Désactivez UFW en tapant dans le terminal :

sudo ufw disable

Réactivez-le :

sudo ufw enable

Vous trouverez votre adresse IPv6 provisoire en collant dans le terminal :

ifconfig | grep "Scope:Global" | awk '{ print $3}' | cut -d/ -f1

Vérifiez que vous obtenez la note de 10/10 en faisant ce test :
http://ipv6.test-ipv6.com/

Désormais, tous les sites en IPv6 s’ouvriront directement, et les autres s’ouvriront par défaut en IPv4.

Martial34

Des gens à qui j’ai installé Gogoc sur une petite configuration trouvent qu’il consomme beaucoup trop pour un résultat fluctuant. Voici donc une méthode accessible à tout le monde, l’encapsulation par Teredo. Elle ne permet pas d’obtenir 10/10 au test, mais elle est légère et elle ouvre tout.

1) Laissez Gogoc et Radvd. Installez en plus ces trois paquets :
Miredo
Iproute
Libjudydebian1

2) Activez en tapant :

sudo /etc/init.d/miredo start

3) Utilisez mes conseils précédents pour Firefox et Ufw.

4) Ouvrez le fichier Getaddrinfo :

sudo gedit /etc/gai.conf

Décommentez les sept lignes ci-dessous. (Autrement dit, supprimez le # initial.)

#label ::1/128       0
#label ::/0          1
#label 2002::/16    2
#label ::/96         3
#label ::ffff:0:0/96 4
#label fec0::/10     5
#label fc00::/7      6

Enregistrez. Fermez tout ça, redémarrez éventuellement l’ordinateur.

5) Si vous avez bien appliqué l’étape précédente, Internet protocol doit être en version 6. Et Google IPv6 doit s’ouvrir sans problème.

Post-scriptum. Le pare-feu de votre Livebox (http://192.168.1.1/ → Configuration → Livebox → Mode de sécurité) doit être réglé sur « moyen ».
Dans le Network-Manager, à la rubrique paramètres IPv4, où j’ai déjà préconisé la méthode Adresses automatiques uniquement (DHCP), et le serveur DNS 127.0.0.1, il va de soi que vous devez cocher « Requiert un adressage IPv4 pour que cette connexion fonctionne. » À la rubrique paramètres IPv6, choisissez la méthode Automatique, mais ne cochez pas « Requiert un adressage IPv6 pour que cette connexion fonctionne. » N’oubliez pas d’enregistrer.

EDIT ! La nouvelle version de Miredo pour Xenial 16.04 semble mal fonctionner. Voici comment rétablir la version Trusty :
Ouvrez

sudo gedit /etc/apt/sources.list

Modifiez la ligne

deb http://archive.ubuntu.com/ubuntu xenial main universe restricted multiverse

qui doit se lire ainsi :

deb http://archive.ubuntu.com/ubuntu trusty main universe restricted multiverse

Enregistrez.
Ouvrez le gestionnaire de paquets Synaptic et rechargez.
Cliquez sur Miredo. Dans la rubrique Paquet (en haut), cliquez sur « Forcer la version ». Validez la version 1.2.6.2.
Forcez aussi la version de Iproute (3.12.0-2) et de Libjudydebian1 (1.0.5-1).
Appliquez ces trois mises à jour.
Dans la rubrique Paquet, « bloquez la version » de Miredo, de Iproute, et de Libjudydebian1.
Retournez dans /etc/apt/sources.list, supprimez la modification ci-dessus, puis enregistrez.

rom1725

Bonsoir,
je comprends à peu près ce qui est dit là, mais ce qui me fait peur c'est

Documentation officielle a écritCette configuration implique que vous vous chargiez directement de la résolution des noms de domaine. Vous ne profitez plus du cache DNS de votre fournisseur d'accès, et vous sollicitez du coup plus les serveurs racines, mais vous ne serez pas soumis au filtrage (ou parfois au DNS menteur) de votre fournisseur d'accès.

Ça implique quoi exactement dans la navigation de tous les jours ?

Autre question : la configuration est décrite pour un seul ordinateur. Que se passe-t-il si un autre ordinateur est connecté à la box ? Doit-on refaire les même manipulations, installer les même logiciels ?

Enfin : si jamais je veux revenir aux paramètres précédents, il suffit que je désinstalle bind9 (apt-get purge) ?

Merci d'avance.

Martial34

Bonsoir Rom.
Cela signifie que tu seras débarrassé des indiscrétions d’Orange. Toutes les requêtes que tu feras sur Internet passeront automatiquement par Bind9 : elles seront plus rapides, et entièrement anonymes. Une fois que tu as fait le paramétrage que j’ai indiqué ci-dessus, tu ne t’occupes plus de rien. Si tu as le moindre problème, il te suffit de supprimer Bind9 et ses fichiers de configuration pour retrouver ton installation originelle. Donc, tu ne risques vraiment rien.
Je n’ai pas expérimenté l’utilisation en réseau. Tu devrais trouver des réponses intéressantes ici : http://doc.ubuntu-fr.org/bind9. Sinon, il est toujours possible de poster un nouveau sujet mieux ciblé. 😉

rom1725

OK, merci de ta réponse. Alors j'essaierai d'ici peu et je vous tiendrai au courant.

rom1725

Hum, c'est embarrassant : j'ai suivi les étapes indiquées, mais d'une part, quand je tape « dig -x 127.0.0.1 », les sections ANSWER, AUTHORITY et ADDITIONAL n'apparaissent pas. Et, plus inquiétant, l'adresse IP WAN semble encore commencer par 192.168, aux regards du résultat de la commande ifconfig (oui parce que le logiciel des boxes d'Orange a récemment été mis à jour, et ne propose plus le « Statut général » comme avant, ou alors bien caché).
Par contre, dans ce même logiciel, sous l'onglet DHCP de la page Configuration avancée, vous trouverez la ligne « Serveur DHCP IPv4 » cochée par défaut. Je la désactive, redémarre, et en rend compte.

Martial34

Il est normal que ifconfig te donne l’adresse que lui fournit Orange. Essaie plutôt ce test :
http://ipaddress.com/?gclid=CPDQ4f3dicICFWTHtAodUHoAlA
Sinon, recommence toute la procédure, et redémarre l’ordinateur.
Le serveur DHCP doit être activé, pour que tu puisses accéder au serveur de Bind à partir de ta LiveBox.

rom1725

Ah... « Tout ceci est bien étrange, par Toutatis ». J'ai désactiver le DHCP de la box, comme je le disais. Évidemment, à partir de là, plus d'accès disponible à celle-ci. Je l'ai donc réinitialisée. Et supprimé tout ce qui était en rapport avec bind9.
Entre-temps j'étais passé sous W$. Et ipconfig me renvoyait une adresse IPv4 différente de 192.168... Comme quoi ça a marché pendant un temps au moins 😉

Mettons-nous bien d'accord : je ne dois pas désactiver le serveur DHCP de la box. Par contre le site que tu donnes est censé montrer quoi si ça marche ? Si mon adresse IP doit être différente de 192... alors ça a toujours été le cas, même avant la bidouille.
Les seules façons de savoir si ça a fonctionné ne sont-elles pas simplement celles que tu as données, dig -x et nslookup ?

Martial34

Non, tu ne dois pas désactiver le serveur DHCP de ta box.
Le site http://ipaddress.com/?gclid=CPDQ4f3dicICFWTHtAodUHoAlA doit te donner l’adresse IPv4 que t’a conféré arbitrairement Bind9. Cette adresse ne doit pas commencer par 192 (qui renvoie à Orange), et doit changer chaque fois que tu redémarres ton ordinateur. Si tu as tout bon jusque-là, cela signifie que tu passes par Bind9.
Quels résultats obtiens-tu quand tu tapes ces commandes ?

dig -x 127.0.0.1

nslookup

Là, il faut valider, puis ajouter :

server 127.0.0.1

rom1725

Ah ça y est, je l'ai trouvé dans la box : Assistance -> Informations système -> Internet.
Et effectivement, elle ne commence pas par 192.168. Ni elle ni les autres d'ailleurs 😉
Merci beaucoup !

P.S. : ça fonctionne avec deux postes. J'ai fait les manipulations à partir d'un premier ordinateur. Puis à partir du second. Et j'ai paramétrer l'IPv6 par la suite, tout simplement. Pour être sûr, entre chaque étape (changement des paramètres DNS et paramétrage de l'IPv6), j'ai redémarré les ordinateurs et la box. Donc 4 fois en tout.

HP

# vim /etc/resolvconf/resolv.conf.d/head

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN

nameserver 127.0.0.1
# OpenNIC Project
nameserver 87.98.242.252
nameserver 179.43.143.69

Rien besoin de changer de plus… vous pouvez laisser dnsmasq… vous n'aurez que peu de chance d'utiliser les DNS (si ce n'est aucune) de votre FAI. Vite fait, bien fait.

Martial34

rom1725 a écritAh ça y est, je l'ai trouvé dans la box : Assistance -> Informations système -> Internet.
Et effectivement, elle ne commence pas par 192.168. Ni elle ni les autres d'ailleurs 😉
Merci beaucoup !

P.S. : ça fonctionne avec deux postes. J'ai fait les manipulations à partir d'un premier ordinateur. Puis à partir du second. Et j'ai paramétrer l'IPv6 par la suite, tout simplement. Pour être sûr, entre chaque étape (changement des paramètres DNS et paramétrage de l'IPv6), j'ai redémarré les ordinateurs et la box. Donc 4 fois en tout.

Du coup, j’ai corrigé le changement que tu m’as signalé dans la Box.
Pour ce qui est de l’IPv6, d’après ma longue expérience, on peut installer en même temps Gogoc et Teredo : s’il y en a un qui flanche, l’autre prend le relais.

spinoziste

@HP : Que fais-tu de la mention :

#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN

HP

C'est la mention qui se retrouvera dans le fichier /etc/resolv.conf 😉

spinoziste

Ah ok . Pour ma part j'ai chattré le fichier tout de même .

HP

Bon, sinon, sur mon serveur domestique, mes autres (3) machines utilisent pdnsd (compilé), j'ai installé unbound… parce que bind, oui mais non.

Pour la config ça donne :

# /etc/unbound/unbound.conf.d/vendor.conf
server:
      logfile: "/var/log/unbound.log" 
      use-syslog: no
      verbosity: 2
      log-time-ascii: yes

      # The number of threads to create to serve clients.
      # 1 thread / CPU core
      num-threads: 2

      pidfile: "/var/run/unbound.pid"

      # Uses root servers
      # ftp://FTP.INTERNIC.NET/domain/named.cache
      root-hints: "/etc/unbound/named.cache"

C'est un vieux dual-core, donc 2 threads. J'utilise les serveurs root. Il ne vaut mieux pas utiliser le service fourni par Ubuntu, donc :

# sudo update-rc.d -f unbound remove

À moins de vouloir que unbound ne fasse que proxy DNS, utilisant les DNS du FAI (c'est le comportement du service avec Ubuntu).

Créer un fichier de log :

# sudo -touch /var/log/unbound.log
# sudo chown unbound:unbound /var/log/unbound.log

Et créer une conf pour logrotate :

# sudo vim /etc/logrotate.d/unbound

/var/log/unbound.log
{
        daily
        rotate 7
        dateext
        missingok
        notifempty
        compress
        create unbound unbound
        su root syslog
        postrotate
            /usr/bin/killall -HUP unbound || true
        endscript
}

À noter qu'une verbosité de 2 fourni suffisamment d'informations pour vérifier quels sont les serveurs utilisés.

Page suivante »