Passage de Unbound et Dnscrypt en IPv6 sous Windows

Comme l’IPv6 est prioritaire par rapport à l’IPv4, j’ai décidé de basculer mes DNS en IPv6 ! Sur Windows, j’utilise depuis plusieurs années DNScrypt couplé à Unbound. Pour rappel,  DNScrypt permet de chiffrer vos requêtes vers un DNS public de votre choix. Unbound, quant à lui, est un cache DNS qui évite de solliciter en permanence les serveurs publics accessibles par DNScrypt. Sans Unbound, votre résolution DNS risque d’être extrêmement lente !

Configuration du cache DNS Unbound

J’ai pris le parti de faire écouter Unbound sur le port Udp/53 et de le renvoyer vers le port Udp/54 de DNScrypt. Après avoir installé Unbound sous Windows, vous devez modifier le fichier C:\Program Files (x86)\Unbound\service.conf. Dans l’exemple ci-dessous, l’adresse fe80::c536:bdf2:418e:2639 est celle de ma machine locale !

server:
    verbosity: 0
    interface: fe80::c536:bdf2:418e:2639
  num-threads: 4
    outgoing-interface: fe80::c536:bdf2:418e:2639
    do-ip4: yes
    do-ip6: yes
    do-udp: yes
    do-tcp: no
    access-control: fe80::c536:bdf2:418e:2639/128 allow
    msg-cache-size: 8m
    rrset-cache-size: 8m
    key-cache-size: 8m
    cache-min-ttl: 14400
    cache-max-ttl: 86400

forward-zone:
     name: "."
     forward-addr: fe80::c536:bdf2:418e:2639@54
     forward-first: no

Un fois le fichier de configuration de Unbound modifié, vous devez relancer le service à l’aide des commandes :

sc stop unbound
sc start unbound

Configuration de DNScrypt

Je vous recommande sous Windows d’installer le logiciel Simple DNScrypt. L’intérêt de ce logiciel est de proposer une interface graphique simple d’emploi.

Configuration de DNScrypt

Seul inconvénient : Simple DNSCrypt ne permet pas de saisir une adresse IPv6 au niveau des résolveurs primaire et secondaire dans son interface graphique. Du coup, pour ma part, je passe par la base de registre que j’édite avec la commande regedit.exe. Je modifie ensuite la valeur inscrite dans LocalAddress au niveau de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dnscrypt-proxy\Parameters en y saisissant l’adresse IPv6 de ma machine locale !

Configuration de DNScrypt

Il faut ensuite redémarrer le service :

sc stop dnscrypt-proxy
sc start dnscrypt-proxy

Changement du serveur DNS utilisé au niveau du protocole Internet IPv6

Il faut désormais utiliser le cache DNS Unbound en lieu et place du DNS fourni par le serveur DHCP du FAI. Allez dans Protocole Internet version 6 (TCP/IPv6) proposé dans les propriétés de la la carte réseau de votre système Windows :

Changement du serveur DNS utilisé au niveau du protocole Internet IPv6

Test de résolution DNS avec nslookup

A l’aide de la commande nslookup, testez votre résolution DNS

C:\>nslookup www.dsfc.net
Serveur :   UnKnown
Address:  fe80::c536:bdf2:418e:2639

Réponse ne faisant pas autorité :
Nom :    dsfc.net
Addresses:  2001:bc8:34b7:200::1
          195.154.102.202
Aliases:  www.dsfc.net

Réseau  / Cache Dns Dns DNScrypt Formateur IPv6 ipv6 Unbound 

Commentaires

Pourquoi la resolution serait-il « tres lente » sans Unbound ?

Depuis la version 1.9.0, dnscrypt-proxy integre un cache.

@Frank

Essaie avec Unbound. Tu peux gérer le TTL. C’est beaucoup plus rapide !

Bonjour,

Merci pour le partage ! Je pensais que DNSSEC assurer aussi la confidentialité dans les échanges mais en fait il ne gère que l’authenticité :o

Bonjour,
Merci pour cet article instructif.
Existe-t-il un outil du même sous Lubuntu 14.04 ?
Et quelles conséquences entraînent le passage à l’IP V6 ?

@Thierry

1. Le protocole IPv6 est le 1er protocole traité au niveau de la pile IP s’il est activé.
2. Pour Ubuntu, il y a DNSCrypt Loader.

Bonjour,
Je ne comprends pas du tout ce qu’il faut faire dans la partie : Configuration du cache DNS Unbound…
faut-il faire un copier/coller du texte donné en modifiant quoi ? uniquement l’adresse dela machine locale ? et où la trouver…
merci de votre compréhension !
Cordialement.
JM Durand

@JMD

Oui, il faut le coller, tout en conservant l’original en faisant une sauvegarde du fichier.

Bonjour
Question : mais il faut que notre FAI soit passé en ipv6 non ?
quand je fais un test sur certains sites il apparaît : ipv6 non activé

@menard

L’IPv6 est dispo chez Orange, Free et Sfr.

Je me permets de déterrer votrer poste qui a retenu mon intérêt car à l’inverse de ce que vous indiquez je suis chez SFR en fibre et pas d’IPV6 alors que je l’avais en adsl. Donc cela signifie t’il que je suis coincé ?
Merci de votre aide.

Laisser un commentaire

(requis)

(requis)