🔴 VPS Islande iceyan.xyz serveur DNS DOT et DOH

VPS Islande 1984

VPS vpsg1btm3e

• debian 12
• 1 GB RAM
• 25GB NVMe SSD DISK
• 1TB TRANSFER(tx+rx)
• 1 x vCPU Core
• 1 x IPv4 Address 185.112.146.46

Debian bookworm

Connexion serveur

L’intialisation du serveur VPS s’est faite en fournissant une une clé publique SSH

Connexion ssh avec la clé

ssh -i .ssh/iceyan-vps root@185.112.146.46

Mise à jour

apt update && apt -y upgrade

Installer sudo

apt install sudo

Versions noyau et debian

uname -a && cat /etc/debian_version

Linux iceyan.xyz 6.1.0-9-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.27-1 (2023-05-08) x86_64 GNU/Linux
12.5

Adressage : ip -a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:b9:70:92:2e brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    inet 185.112.146.46/24 brd 185.112.146.255 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:b9ff:fe70:922e/64 scope link 
       valid_lft forever preferred_lft forever

Modifier ou créer /etc/hostname : iceyan.xyz
Ajouter 185.112.146.46 iceyan.xyz au fichier /etc/hosts

Utilisateur

Créer un utilisateur iceyan avec shell par défaut et son mot de passe

useradd --create-home --user-group iceyan
passwd iceyan

Shell par défaut

usermod -s /bin/bash iceyan

Autoriser sudo pour utilisateur

echo "iceyan     ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

OpenSSH, clé et script

connexion avec clé
sur l'ordinateur de bureau Générer une paire de clé curve25519-sha256 (ECDH avec Curve25519 et SHA2) pour une liaison SSH avec le serveur.

ssh-keygen -t ed25519 -o -a 100 -f ~/.ssh/iceyan-vps

Envoyer les clés publiques sur le serveur KVM

ssh-copy-id -i ~/.ssh/iceyan-vps.pub iceyan@185.112.146.46

sur le serveur KVM
On se connecte

ssh iceyan@185.112.146.46

Modifier la configuration serveur SSH

sudo nano /etc/ssh/sshd_config

Modifier

Port = 55046
PermitRootLogin no
PasswordAuthentication no

Relancer le serveur

sudo systemctl restart sshd

Test connexion

ssh -p 55046 -i ~/.ssh/iceyan-vps iceyan@185.112.146.46

Utilitaires et historique

Installer utilitaires

sudo apt install rsync curl tmux jq figlet git dnsutils tree -y

Motd

sudo rm /etc/motd && sudo nano /etc/motd

  _                                                       
 (_) __  ___  _  _  __ _  _ _     __ __ _  _  ___         
 | |/ _|/ -_)| || |/ _` || ' \  _ \ \ /| || ||_ /         
 |_|\__|\___| \_, |\__,_||_||_|(_)/_\_\ \_, |/__|         
              |__/                      |__/              
  _  ___  ___     _  _  ___     _  _ _    __    _ _    __ 
 / |( _ )| __|   / |/ ||_  )   / || | |  / /   | | |  / / 
 | |/ _ \|__ \ _ | || | / /  _ | ||_  _|/ _ \ _|_  _|/ _ \
 |_|\___/|___/(_)|_||_|/___|(_)|_|  |_| \___/(_) |_| \___/

Script ssh_rc_bash

ATTENTION!!! Les scripts sur connexion peuvent poser des problèmes pour des appels externes autres que ssh

wget https://static.xoyize.xyz/files/ssh_rc_bash
chmod +x ssh_rc_bash # rendre le bash exécutable
./ssh_rc_bash        # exécution

Prise en charge historique, modification bashrc et inputrc
POUR tous les utilisateurs ,y compris root et avec touche SHIFT

echo "
# appel alphabétique commandes
shopt -s histappend
PROMPT_COMMAND='history -a'" | sudo tee -a $HOME/.bashrc

echo "
# appel alphabétique commandes
shopt -s histappend
PROMPT_COMMAND='history -a'" | sudo tee -a /root/.bashrc

echo '
# AVEC la touche SHIFT
"\e[1;2A": history-search-backward
"\e[1;2B": history-search-forward
' | sudo tee -a /etc/inputrc

Redémarrer le terminal la prise en compte

Hostname

Domaine iceyan.xyz

hostnamectl 

 Static hostname: iceyan.xyz
       Icon name: computer-vm
         Chassis: vm 🖴
      Machine ID: 75971165a9bd46a6814eeb1061620d63
         Boot ID: 6620df06ff2d4ccd851f310805a20ed2
  Virtualization: kvm
Operating System: Debian GNU/Linux 12 (bookworm)   
          Kernel: Linux 6.1.0-9-amd64
    Architecture: x86-64
 Hardware Vendor: QEMU
  Hardware Model: Standard PC _i440FX + PIIX, 1996_
Firmware Version: 1.14.0-2

Parefeu

UFW, ou pare - feu simple , est une interface pour gérer les règles de pare-feu dans Arch Linux, Debian ou Ubuntu. UFW est utilisé via la ligne de commande (bien qu’il dispose d’interfaces graphiques disponibles), et vise à rendre la configuration du pare-feu facile (ou simple).

Installer ufw

sudo apt install ufw

Les règles par défaut

sudo ufw default allow outgoing
sudo ufw default deny incoming

Ajout des règles spécifiques

sudo ufw allow 55046/tcp  # Port ssh
sudo ufw allow 80/tcp     # http
sudo ufw allow 443/tcp    # https
sudo ufw allow 4443/tcp   # searXNG
sudo ufw allow dns        # DNS port 53
sudo ufw allow 853/tcp    # DNS over TLS

Désactiver IPV6

sudo nano /etc/default/ufw

Changez la ligne qui dit : IPV6=yes en IPV6=no puis redémarrez le service ufw. Exécuter sudo ufw reload si l’instance ufw est déjà activée.

Activation parefeu

sudo ufw enable

Valider la commande par touche y au clavier

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Status du parefeu : sudo ufw status

Status: active

To                         Action      From
--                         ------      ----
55046/tcp                  ALLOW       Anywhere                  
80/tcp                     ALLOW       Anywhere                  
443/tcp                    ALLOW       Anywhere                  
DNS                        ALLOW       Anywhere                  
51820/udp                  ALLOW       Anywhere                  
54254/udp                  ALLOW       Anywhere                  
853/tcp                    ALLOW       Anywhere                  

OVH DNS iceyan.xyz

OVH: Domaine iceyan.xyz , DNSSEC Actif

$TTL 3600
@	IN SOA dns12.ovh.net. tech.ovh.net. (2025120106 86400 3600 3600000 60)
        IN NS     dns12.ovh.net.
        IN NS     ns12.ovh.net.
        IN A     185.112.146.46
_acme-challenge.doh     60 IN TXT     "PUz_zL23--MjNVJwE259rb5pVfnu7rLBJpSbYeWYuwc"
_acme-challenge.dot     60 IN TXT     "6VA7Px0zYmwJCF_tH2cRM1rpIxP3gscpjJhrAyfcf38"
doh        IN CNAME     iceyan.xyz.
dot        IN CNAME     iceyan.xyz.

Postfix messagerie

On va configurer Postfix afin qu’il puisse être utilisé pour envoyer des notifications par e-mail uniquement par les applications locales installées sur le même serveur que Postfix

Installation outils

sudo apt install mailutils postfix

Installation postfix, répondre aux questions :
Internet site → OK
iceyan.xyz → OK

Configurer Postfix pour qu’il traite les demandes d’envoi d’e-mails uniquement à partir du serveur sur lequel il s’exécute, c’est-à-dire à partir de localhost.
Postfix doit être configuré pour n’écouter que sur l’ interface loopback , l’interface réseau virtuelle que le serveur utilise pour communiquer en interne.

Modifier les lignes suivantes dans le fichier de configutration /etc/postfix/main.cf

mydestination = $myhostname, localhost.$mydomain, $mydomain
inet_interfaces = loopback-only

Redémarrez Postfix.

sudo systemctl restart postfix 

Test envoi message

echo "Test envoi via postfix smtp" | mail -s "serveur debian iceyan.xyz" vpn@cinay.eu

Dns DoT DoH

DNS over TLS (DoT) et DNS over HTTPS (DoH) sont deux protocoles standardisés par l’IETF dans les RFC 7858 et RFC 8484 respectivement. Ces deux protocoles ont pour but de sécuriser les requêtes DNS entre un client et le résolveur (encapsulation du protocole DNS dans une session TLS pour DoT ou HTTPS pour DoH.)

DNS

Les requêtes DNS sont envoyées en texte brut, ce qui signifie que tout le monde peut les lire. Le DNS sur HTTPS et le DNS sur TLS chiffrent les requêtes et les réponses du DNS pour que la navigation des utilisateurs reste sécurisée et privée. Cependant, les deux approches ont leurs avantages et leurs inconvénients.

DNS sur HTTPS et le DNS sur TLS

Le DNS sur TLS et le DNS sur HTTPS</u> sont deux normes développées pour le chiffrement du trafic DNS en texte brut afin d’empêcher les parties malveillantes, les annonceurs, les FAI et autres de pouvoir interpréter les données. Pour poursuivre l’analogie, ces normes visent à enfermer les cartes postales envoyées par courrier dans une enveloppe, pour que quiconque puisse envoyer une carte postale sans craindre les indiscrétions d’un tiers.

DoH vs DoT

Outre DNS sur HTTPS, il existe un autre protocole qui vise également à chiffrer les requêtes DNS. C’est ce qu’on appelle DNS sur TLS (DoT).
Pour les personnes vivant dans des pays où la censure d’Internet est sévère, il est plus avantageux d’utiliser DoH.

• Le DoT fonctionne sur le port TCP 853 , qui peut être facilement bloqué par un pare-feu national.
• DoH fonctionne sur le port TCP 443 , qui est le port standard pour les sites Web HTTPS, ce qui rend DoH très difficile à bloquer, car si le port TCP 443 est bloqué, alors presque tous les sites Web HTTPS seront également bloqués.
• DoH permet aux applications Web d’accéder aux informations DNS via les API de navigateur existants, de sorte qu’aucun résolveur de stub n’est nécessaire.

Résolveur (Unbound)

Pour l’installation complète Unbound qui ajoute la mise à jour des serveurs “racine”, le blocage des publicités et des DMP (Data Management Platforms), voir lien Résolveur DNS Unbound

Commençons par installer et configurer le résolveur DNS. Il existe plusieurs logiciels pour faire de la résolution comme BIND 9, Knot Resolver ou encore Unbound. Nous avons choisi d’utiliser Unbound et cette partie documente comment installer et configuer ce résolveur.

En règle général Unbound est disponible dans les dépôts des distributions, l’installer depuis le gestionnaire de paquet de votre machine.

sudo apt install unbound

Maintenant que Unbound est installé, il ne reste plus qu’à le configurer avant de démarrer le service.

Il s’agit du résolveur DNS, celui ci n’est accessible que depuis la machine locale via le port 5353.

Créer le fichier de configuration /etc/unbound/unbound.conf.d/unbound-iceyan.conf avec le contenu suivant :

server:
    # ne rien enregistrer dans les journaux hormis les erreurs
    verbosity: 0

    # n'écouter que sur l'interface locale en IPv4
    # unbound nécessite d'être relancé si modifié
    interface: 127.0.0.1

    port: 5353

    # refuser tout le monde sauf les connexions locales (pas forcément
    # nécessaire vu que le serveur n'écoute que sur la boucle locale en IPv4)
    access-control: 0.0.0.0/0 refuse
    access-control: 127.0.0.1/32 allow

    # par défaut, unbound ne log pas les requêtes ni les réponses
    # on peut le rappeler au cas où
    log-queries: no
    log-replies: no

    # imposer la QNAME minimisation (RFC 7816)
    # Pour mieux protéger la vie privée
    qname-minimisation: yes
    # même si le serveur faisant autorité ne le veut pas
    #   après discussion, il est possible que cette option ne soit
    #   pas recommandée dans le cadre d'un résolveur ouvert
    qname-minimisation-strict: yes

Vérifier la validité du fichier de configuration avec la commande suivante :

sudo unbound-checkconf /etc/unbound/unbound.conf.d/unbound-iceyan.conf

unbound-checkconf: no errors in /etc/unbound/unbound.conf.d/unbound-iceyan.conf

Toutes les règles disponibles sont détaillées dans le manuel man 5 unbound.conf ou dans le manuel en ligne.

Démarrer et activer le résolveur.

sudo systemctl enable  unbound --now

S’assurer que tout fonctionne bien à l’aide de la commande dig disponible dans le paquet bind9-dnsutils ou dnsutils. Pour cela il suffit de spécifier l’adresse de notre résolveur, ici 127.0.0.1 ou ::1 et d’effectuer une requête DNS. Ici on demande à Unbound de récupérer l’enregistrement AAAA associé au nom de domaine afnic.fr.

dig @127.0.0.1 -p 5353 A afnic.fr

Résultat commande

; <<>> DiG 9.18.41-1~deb12u1-Debian <<>> @127.0.0.1 -p 5353 A afnic.fr
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40311
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;afnic.fr.			IN	A

;; ANSWER SECTION:
afnic.fr.		600	IN	A	51.178.83.21

;; Query time: 4 msec
;; SERVER: 127.0.0.1#5353(127.0.0.1) (UDP)
;; WHEN: Mon Jan 19 11:02:43 GMT 2026
;; MSG SIZE  rcvd: 53

Une réponse est bien renvoyée. Le résolveur fonctionne.Vérifier que tout est opérationnel en IPv4, et en utilisant UDP et TCP.

dig +notcp @127.0.0.1 -p 5353 A afnic.fr  # connexion UDP en IPv4 au résolveur
dig +tcp @127.0.0.1 -p 5353 A afnic.fr    # connexion TCP en IPv4 au résolveur

À ce stade, un résolveur Unbound est configuré en local et écoute sur le port 53. Il peut donc être utilisé pour résoudre toutes les requêtes en provenance de la machine.

Frontal DNS (dnsdist)

dnsdist est un répartiteur de charge pour serveurs DNS avec la particularité de gérer DoH et DoT. Le but est donc de l’installer sur la même machine qu’Unbound et de le mettre devant : Unbound n’écoutera que localement et dnsdist, lui, sera ouvert au public

• POWERDNS - dnsdist documentation
• Documentation technique de mon résolveur DoH (bortzmeyer)
• Une zone locale home.arpa signée avec DNSSEC

Installer dnsdist

Prérequis

sudo apt install gnupg git

Cette section s’attarde sur l’installation et la configuration d’un frontal DoT/DoH qui transmettra les requêtes DNS à un résolveur local écoutant sur le port 5353 de l’interface local 127.0.0.1 (dnsdist se trouve être une très bonne solution pour remplir ce rôle.).

Choix A ou B pour installer dnsdist

A - Installation version courante

depuis juin 2023 pour debian bookworm

sudo apt install dnsdist

B - Installer la dernière version dnsdist

dnsdist - master branch (development)

Création fichier ‘/etc/apt/sources.list.d/pdns.list’

deb [signed-by=/etc/apt/keyrings/dnsdist-master-pub.asc] http://repo.powerdns.com/debian bookworm-dnsdist-master main

Création fichier ‘/etc/apt/preferences.d/dnsdist-master’:

Package: dnsdist*
Pin: origin repo.powerdns.com
Pin-Priority: 600

Exécuter la commande suivante

sudo install -d /etc/apt/keyrings; curl https://repo.powerdns.com/CBC8B383-pub.asc | sudo tee /etc/apt/keyrings/dnsdist-master-pub.asc &&
sudo apt-get update &&
sudo apt-get install dnsdist

Configurer dnsdist

Créer le fichier de configuration IPV4 /etc/dnsdist/dnsdist.conf pour une utilisation avec les certificats qui seront générés par acme dans le dossier /etc/dnsdist

-- le résolveur DoT/DoH est public, on accepte tout le monde en IPv4
setACL({"0.0.0.0/0"})

-- serveur DNS où transférer les requêtes entrantes
newServer({address="127.0.0.1:5353", name="Unbound (local)"})

-- DNSdist écoute sur port 53 pour DNS classique
setLocal("0.0.0.0:53", {})

-- configuration de DoT
addTLSLocal("0.0.0.0:853", "/etc/dnsdist/dns-server.crt", "/etc/dnsdist/dns-server.key", {
 minTLSVersion="tls1.2"
})

-- configuration de DoH
addDOHLocal("0.0.0.0:443", "/etc/dnsdist/dns-server.crt", "/etc/dnsdist/dns-server.key", "/dns-query", {
 minTLSVersion="tls1.2",
 reusePort=true 
})

-- Configuration de sécurité
setMaxTCPClientThreads(20)
setMaxTCPQueriesPerConnection(20)
setMaxTCPConnectionDuration(30)

-- Désactiver le sondage de sécurité via DNS 
setSecurityPollSuffix("")

-- Cache pour améliorer les performances
pc = newPacketCache(10000, {
    maxTTL=86400,
    minTTL=60,
    temporaryFailureTTL=60,
    staleTTL=60
})
getPool(""):setCache(pc)

print("DNSdist configuration loaded - DoH on port 443, DoT on port 853")

-- Accès console de dnsdist
setKey("secret")
controlSocket("127.0.0.1:5199")

Pour créer le secret: openssl rand -base64 32

L’ensemble des options de configuration est détaillé sur le site de dnsdist.

L’option setSecurityPollSuffix("") a été ajoutée pour contourner l’erreur suivante :
Error while retrieving the security update for version dnsdist-1.6.1: Unable to get a valid Security Status update

Explication : Le paquet Debian pour dnsdist désactive l’interrogation de sécurité en lui attribuant une chaîne vide dans le fichier de configuration par défaut. Nous devons faire de même pour le fichier dnsdist.conf afin que l’interrogation de sécurité soit désactivée et que le journal systemd de dnsdist reste propre.

Vérifier que le fichier de configuration est valide avec la commande :

sudo dnsdist --check-config
# Configuration '/etc/dnsdist/dnsdist.conf' OK!

dnsdist est configuré pour écouter sur l’interface publique de la machine sur les ports 443 (DoH) et 853 (DoT). Toutes les requêtes sont ensuite relayées à un serveur unbound écoutant le port 5353 sur l’interface locale.

Pour l’instant les fichiers dot-server.crt, dot-server.key, doh-server.crt et doh-server.key n’existent pas. Il est nécessaire de les générer. Cela peut se faire avec openssl dans le cas de certificats auto-signés. Il est aussi possible de passer par une autorité de certification, ceci est le but de la prochaine partie.

Remarque: attention aux droits des fichiers du certificat et de la clé, l’utilisateur ou le groupe dnsdist (parfois _dnsdist, vérifier le contenu du fichier /etc/group avec la commande

grep dnsdist /etc/group

_dnsdist:x:118:

Avec le protocole de création des certificats Acme
Autoriser les droits en écriture à l’utilisateur sur le dossier /etc/dnsdist

sudo chown $USER -R /etc/dnsdist

Certificats

Acme

Suivre la procédure Acme.sh - Certificats Let’s Encrypt

Génération des certificats dans le dossier /etc/dndist avec une chaîne préférentielle pour android

acme.sh --dns dns_ovh --server letsencrypt \
 --issue --keylength ec-384 \
 -d 'doh.iceyan.xyz' \
 -d 'dot.iceyan.xyz'

Installation certificats dans les dossiers

acme.sh --install-cert -d doh.iceyan.xyz --ecc \
 --preferred-chain 'ISRG Root X1' \
 --key-file /etc/dnsdist/dns-server.key \
 --fullchain-file /etc/dnsdist/dns-server.crt \
 --reloadcmd "sudo systemctl restart dnsdist.service"

Lors de l’exécution --cron, tout nouveau certificat sera automatiquement installé, et le reloadcmd sera exécuté.

--cron installera automatiquement les certificats sur les informations de renouvellement réussies. Il semble se baser sur la dernière fois que vous avez exécuté --install-cert, alors assurez-vous que vous exécutez manuellement au moins une fois pour être sûr que cron job fonctionnera comme prévu.

Renouvellement automatique

Le cron job crontab -l

30 0 * * * "/home/iceyan/.acme.sh"/acme.sh --cron --home "/home/iceyan/.acme.sh" > /dev/null

Configurer la notification par email de Let’s Encrypt lorsqu’un certificat est ignoré, renouvelé ou erroné (OPTION)

On utilise la méthode SMTP pour obtenir une notification par email

pour un serveur smtp local postfix

cat >> $HOME/.bashrc << EOF
export SMTP_FROM="iceyan@iceyan.xyz"
export SMTP_TO="vpn@cinay.eu"
export SMTP_HOST="127.0.0.1" # même serveur sans authentification
export SMTP_SECURE="none"
export SMTP_BIN="/usr/bin/python3"
export SMTP_TIMEOUT="30"
EOF
source $HOME/.bashrc

Enfin, exécutez la commande suivante pour activer la notification smtp pour votre Let’s Encrypt lorsqu’un certificat est ignoré, renouvelé ou erroné.

acme.sh --set-notify --notify-hook smtp

Vous obtiendrez des informations d’erreur ou de succès à l’écran comme suit :

Et voici l’email de test :

Vérifications

Ports en écoute

Vérifier unbound en écoute sur le port 5353

ss -tlnp | grep :5353

LISTEN 0 256 127.0.0.1:5353 0.0.0.0:*

Vérifier des ports en écoute

ss -tlnp | grep -E ":(53|443|853|5353)"

LISTEN 0      4096         0.0.0.0:443        0.0.0.0:*          
LISTEN 0      256        127.0.0.1:5353       0.0.0.0:*          
LISTEN 0      4096         0.0.0.0:853        0.0.0.0:*          
LISTEN 0      4096         0.0.0.0:53         0.0.0.0:*          

Consultation des logs

# Logs DNSdist en temps réel
journalctl -u dnsdist -f

# Logs BIND9 en temps réel
journalctl -u unbound -f

# Logs des erreurs uniquement
journalctl -u dnsdist -u unbound | grep -i error

Statistiques dnsdist

# Affichage des statistiques
echo "showServers();" | dnsdist -c -k "secret"

Résultat

DNSdist configuration loaded - DoH on port 443, DoT on port 853
#   Name                 Address                                      State     Qps    Qlim        Ord         Wt    Queries   Drops Drate   Lat   TCP Outstanding Pools
0   Unbound (local)      127.0.0.1:5353                                  up     0.0       0          1          1          7       0   0.0   1.2   0.7           0 
All                                                                             0.0                                        7       0                               

Test DNS DOT DOH avec kdig

Article original

kdig est un utilitaire en ligne de commande issu de la suite Knot DNS, développé par le registre CZ.NIC. Il se présente comme une alternative moderne au traditionnel dig (issu de BIND9). Son intérêt principal réside dans la prise en charge des protocoles DNS sécurisés (DNSSEC, DoT, DoH) et une sortie en JSON facilitant l’automatisation.

Info	dig	kdig
Présentation	Outil historique issu de BIND9, répandu et fiable.	Outil moderne fourni par Knot DNS (CZ.NIC).
Fonctionnalités	Résolution classique (A, AAAA, MX, etc.), support DNSSEC basique.	Support avancé DNSSEC, sortie JSON (+json), ergonomie moderne.
Protocoles supportés	DNS (UDP/TCP).	DNS + DNSSEC + DoT (DNS over TLS) + DoH (DNS over HTTPS).
Installation	Souvent installé par défaut avec BIND utils.	Nécessite le paquet knot-dnsutils (Debian/Ubuntu) ou knot (Arch/Fedora).
Usage conseillé	Dépannage DNS quotidien, documentation universelle.	Tests avancés de DNSSEC et DNS chiffrés, automatisation (JSON).

Installation

sudo apt install knot-dnsutils

Exemples d’utilisation

# Requête classique
kdig A example.com
# Résolution AAAA avec sortie JSON
kdig +json example.com AAAA
#Tester un résolveur DoH (DNS over HTTPS)
kdig +https @dns.quad9.net#443 example.com A
# Tester un résolveur DoT (DNS over TLS)
kdig +tls @9.9.9.9 example.com AAAA

Test DNS-over-TLS

kdig +tls @dot.iceyan.xyz yannir.xyz A

;; TLS session (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP384R1-SHA384)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 11048
;; Flags: qr rd ra ad; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1232 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; yannir.xyz.         		IN	A

;; ANSWER SECTION:
yannir.xyz.         	3600	IN	A	144.91.89.149

;; Received 55 B
;; Time 2026-01-19 13:56:36 CET
;; From 185.112.146.46@853(TLS) in 391.3 ms

Test DNS-over-HTTPS

kdig +https @doh.iceyan.xyz yannir.xyz A

;; TLS session (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP384R1-SHA384)-(AES-256-GCM)
;; HTTP session (HTTP/2-POST)-(doh.iceyan.xyz/dns-query)-(status: 200)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 0
;; Flags: qr rd ra ad; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1232 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; yannir.xyz.         		IN	A

;; ANSWER SECTION:
yannir.xyz.         	3592	IN	A	144.91.89.149

;; Received 55 B
;; Time 2026-01-19 13:56:45 CET
;; From 185.112.146.46@443(HTTPS) in 218.9 ms

Test DNS DOT DOH depuis un client (homer)

Pour s’assurer que le résolveur fonctionne de manière nominal, on va utiliser Homer.

Homer est un outil développé par l’Afnic, qui permet de tester et débugger un résolveur DoT/DoH en ligne de commande.

Homer est un logiciel libre et le code est disponible sur la forge logicielle Framagit.

L’outil nécessite python3, et certains modules associés :

sudo apt-get install python3 python3-pycurl python3-dnspython python3-openssl python3-netaddr  # debian
yay -S python-pycurl python-dnspython python-pyopenssl python-netaddr # archlinux

Il ne reste plus qu’à récupérer Homer

git clone https://framagit.org/bortzmeyer/homer
cd homer

et à le lancer

./remoh.py https://doh.iceyan.xyz afnic.fr

id 0
opcode QUERY
rcode NOERROR
flags QR RD RA AD
edns 0
payload 1232
option ECS 0.0.0.0/0 scope/0
;QUESTION
afnic.fr. IN AAAA
;ANSWER
afnic.fr. 600 IN AAAA 2001:41d0:404:200::2df6
;AUTHORITY
;ADDITIONAL

Total elapsed time: 0.60 seconds

./remoh.py --dot dot.iceyan.xyz framagit.org

id 17695
opcode QUERY
rcode NOERROR
flags QR RD RA AD
edns 0
payload 1232
option ECS 0.0.0.0/0 scope/0
;QUESTION
framagit.org. IN AAAA
;ANSWER
framagit.org. 3600 IN AAAA 2a01:4f8:231:4c99::75
;AUTHORITY
;ADDITIONAL

Total elapsed time: 0.73 seconds

Homer peut aussi être utilisé pour tester la bonne configuration du résolveur :

$ ./remoh.py --check --dot dot.iceyan.xyz framasoft.org
OK

$ ./remoh.py --check https://doh.iceyan.xyz chatons.org
OK

Dans le cas où votre résolveur est mal configuré, Homer s’arrête est affiche l’erreur rencontrée. Par exemple pour un certificat non configuré :

$ ./remoh.py --dot 198.51.100.19 framasoft.org
198.51.100.19: Certificate error: "198.51.100.19 is not in the certificate
Could not connect to "198.51.100.19"

On peut demander à Homer de ne pas vérifier le certificat avec l’option -k | --insecure :

$ ./remoh.py --insecure --dot 198.51.100.19 framasoft.org
id 35430
opcode QUERY
rcode NOERROR
flags QR RD RA
edns 0
payload 4096
option ECS ::/0 scope/0
;QUESTION
framasoft.org. IN AAAA
;ANSWER
framasoft.org. 3600 IN AAAA 2a01:4f8:141:3421::212
;AUTHORITY
;ADDITIONAL

Total elapsed time: 0.04 seconds (41.83 ms/request)

DnsDist - Configuration des clients

Firefox

1. Taper about:config dans la barre d’adresse
2. Chercher network.trr.mode et définisser à 2
3. Chercher network.trr.uri et définisser à https://doh.iceyan.xyz/dns-query

Chrome

# Lancement avec DoH
google-chrome --dns-over-https-server=https://dns.mondomaine.tld/dns-query

Android (DNS privé)

1. Paramètres → Réseau et Internet → Avancé → DNS privé
2. Sélectionner « Nom d’hôte du fournisseur DNS privé »
3. Entrer : dns.mondomaine.tld

Vpn Wireguard

WireGuard est un serveur VPN à code source ouvert, gratuit, moderne et rapide, doté d’un chiffrement de pointe. Il est plus rapide et plus simple que l’IPSec et l’OpenVPN

• Les procédures pour une installation complète : VPN wireguard

BorgBackup

Sauvegarde serveur sur une boîte de stockage

• BorgBackup VPS

Le fichier /root/.borg/borg-backup.sh

export BORG_RSH='ssh -i /root/.ssh/id_borg_ed25519'
export BORG_PASSPHRASE=$(cat /root/.borg/iceyan_xyz.passphrase)
BACKUP_DATE=`date +%Y-%m-%d-%Hh%M`
BORG_REPOSITORY=ssh://u326239@u326239.your-storagebox.de:23/./backup/borg/iceyan.xyz
borg create -v --progress --stats --exclude-from /root/.borg/exclusions-borg.txt ${BORG_REPOSITORY}::${BACKUP_DATE} /
borg prune -v --list --stats --keep-daily=7 --keep-weekly=4 --keep-monthly=6 $BORG_REPOSITORY

Ajouter ce qui suit à /root/.borg/borg-backup.sh pour envoi message via ntfy + email

# Message
curl \
-H "X-Email: ntfy@cinay.eu" \
-H "Title: VPS Islande iceyan.xyz" \
-H "Authorization: Bearer tk_jkrtwpoaqvgz2ic4nalzcfd447l5fzr" \
-H prio:low \
-H tags:information_source \
-d "Fin sauvegarde borgbackup `date +%d/%m/%Y-%Hh%M`" \
https://noti.rnmkcy.eu/yan_infos

Modifier la valeur Bearer tk_...

Maintenance

Mises à jour automatiques sur debian

Mises à jour automatiques sur Debian