Passage de Unbound et Dnscrypt en IPv6 sous Windows
1 juin 2017
Comme l’IPv6 est prioritaire par rapport à l’IPv4, j’ai décidé de basculer mes DNS en IPv6 ! Sur Windows, j’utilise depuis plusieurs années DNScrypt couplé à Unbound. Pour rappel, DNScrypt permet de chiffrer vos requêtes vers un DNS public de votre choix. Unbound, quant à lui, est un cache DNS qui évite de solliciter en permanence les serveurs publics accessibles par DNScrypt. Sans Unbound, votre résolution DNS risque d’être extrêmement lente !
Configuration du cache DNS Unbound
J’ai pris le parti de faire écouter Unbound sur le port Udp/53 et de le renvoyer vers le port Udp/54 de DNScrypt. Après avoir installé Unbound sous Windows, vous devez modifier le fichier C:\Program Files (x86)\Unbound\service.conf. Dans l’exemple ci-dessous, l’adresse fe80::c536:bdf2:418e:2639 est celle de ma machine locale !
server: verbosity: 0 interface: fe80::c536:bdf2:418e:2639 num-threads: 4 outgoing-interface: fe80::c536:bdf2:418e:2639 do-ip4: yes do-ip6: yes do-udp: yes do-tcp: no access-control: fe80::c536:bdf2:418e:2639/128 allow msg-cache-size: 8m rrset-cache-size: 8m key-cache-size: 8m cache-min-ttl: 14400 cache-max-ttl: 86400 forward-zone: name: "." forward-addr: fe80::c536:bdf2:418e:2639@54 forward-first: no
Un fois le fichier de configuration de Unbound modifié, vous devez relancer le service à l’aide des commandes :
sc stop unbound sc start unbound
Configuration de DNScrypt
Je vous recommande sous Windows d’installer le logiciel Simple DNScrypt. L’intérêt de ce logiciel est de proposer une interface graphique simple d’emploi.
Seul inconvénient : Simple DNSCrypt ne permet pas de saisir une adresse IPv6 au niveau des résolveurs primaire et secondaire dans son interface graphique. Du coup, pour ma part, je passe par la base de registre que j’édite avec la commande regedit.exe. Je modifie ensuite la valeur inscrite dans LocalAddress au niveau de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dnscrypt-proxy\Parameters en y saisissant l’adresse IPv6 de ma machine locale !
Il faut ensuite redémarrer le service :
sc stop dnscrypt-proxy sc start dnscrypt-proxy
Changement du serveur DNS utilisé au niveau du protocole Internet IPv6
Il faut désormais utiliser le cache DNS Unbound en lieu et place du DNS fourni par le serveur DHCP du FAI. Allez dans Protocole Internet version 6 (TCP/IPv6) proposé dans les propriétés de la la carte réseau de votre système Windows :
Test de résolution DNS avec nslookup
A l’aide de la commande nslookup, testez votre résolution DNS
C:\>nslookup www.dsfc.net Serveur : UnKnown Address: fe80::c536:bdf2:418e:2639 Réponse ne faisant pas autorité : Nom : dsfc.net Addresses: 2001:bc8:34b7:200::1 195.154.102.202 Aliases: www.dsfc.net
Réseau / Dns, Formateur IPv6, ipv6, Unbound