Résolveur DNS sur un serveur OpenVPN

Utiliser son propre résolveur DNS sur un serveur OpenVPN

 

Afin de garder un maximum de confidentialité sur internet et de maîtriser au mieux son réseau VPN, il est préférable d’y rajouter un resolveur DNS. Vous pourrez en plus y rajouter des fonctionnalités intéressantes comme un bloqueur de publicités ou de faire pointer un domaine vers une autre IP que celle renseignées sur les autres serveurs DNS.

Pour cela nous allons utiliser Unbound.

Je prendrais une distribution de type Debian/Ubuntu pour l’exemple mais cela devrais fonctionner avec une autre distribution.  Bien entendu vous devrez déjà avoir un serveur OpenVPN d’installer sur cette même machine.

Pour installer Unbound:

apt-get install unbound

Ensuite on modifie sa configuration:

vim /etc/unbound/unbound.conf

Et le configurer comme tel:

# Unbound configuration file for Debian.
#
# See the unbound.conf(5) man page.
#
# See /usr/share/doc/unbound/examples/unbound.conf for a commented
# reference config file.
#

server:
 interface: 127.0.0.1
 interface: 10.8.0.1

access-control: 10.8.0.0/24 allow
access-control: 127.0.0.1 allow

# The following line includes additional configuration files from the
# /etc/unbound/unbound.conf.d directory.
include: "/etc/unbound/unbound.conf.d/*.conf"

10.8.0.1 est votre réseau local VPN si il est différent chez vous il faudra le modifier dans ce fichier.

Nous allons utiliser les serveur DNS root directement, encore une fois pour plus de sécurité:

vim /etc/default/unbound

Pour y mettre:

RESOLVCONF_FORWARDERS=false

Pour enlever les pubs je trouve cela plutôt efficace à rajouter à la fin de /etc/unbound/unbound.conf:

local-zone: "doubleclick.net" redirect
local-data: "doubleclick.net A 127.0.0.1"
local-zone: "googlesyndication.com" redirect
local-data: "googlesyndication.com A 127.0.0.1"
local-zone: "googleadservices.com" redirect
local-data: "googleadservices.com A 127.0.0.1"
local-zone: "google-analytics.com" redirect
local-data: "google-analytics.com A 127.0.0.1"
local-zone: "ads.youtube.com" redirect
local-data: "ads.youtube.com A 127.0.0.1"
local-zone: "adserver.yahoo.com" redirect
local-data: "adserver.yahoo.com A 127.0.0.1"

Ensuite il nous reste à modifier le /etc/resolv.conf en ajoutant:

nameserver 127.0.0.1

Pour etre bien sure que le VPN utilise bien votre nouveau résolveur je préfère rajouter au openvpn.conf:

push "dhcp-option DNS 10.8.0.1"

Il ne nous reste plus qu’a redémarrer les services:

service unbound restart

service openvpn restart

Et nous voici donc avec un resolveur en place qui sera utiliser par tout vos clients VPN.

Laisser un commentaire