Comprendre les tests de fuite DNS et dépannage DNS-DoT et DNS-DoH

l’Almanet doLys Gnu/Linux – Open Source – Entreprises Forums L’almanet doLys Open Source Comprendre les tests de fuite DNS et dépannage DNS-DoT et DNS-DoH

  • This topic is empty.
Log In Register Lost Password
Affichage de 1 message (sur 1 au total)
  • Auteur
    Articles
  • avril 15, 2025 à 6:21 pm #12856
    nam1962nam1962
    Keymaster

      À lire avant de tester vos fuites DNS

      Ce tuto sert à vérifier une configuration DNS déjà installée. Si vous n’avez pas encore mis en place votre pile DNS locale, commencez par l’un de ces guides :

      Ensuite seulement, utilisez les tests de fuite DNS : sinon vous risquez d’interpréter de travers un résultat qui vient en réalité du navigateur, du cache DNS, ou d’une stack qui n’est pas celle que vous pensiez utiliser.

      Après avoir configuré vos systèmes DNS sécurisés, vous voudrez naturellement vérifier qu’ils fonctionnent correctement. Voici quelques précisions importantes :

      1. Les tests de fuite DNS peuvent être trompeurs

      Si vous utilisez des outils comme dnsleaktest.com, ipleak.net ou browserleaks.com/dns, vous pourriez être surpris de voir apparaître Google, Cloudflare, Quad9, votre FAI ou un autre opérateur, même avec une configuration DoT ou DoH qui fonctionne.

      Explication technique : ces tests ne montrent pas toujours « le DNS que vous avez configuré » dans votre système. Ils montrent surtout les résolveurs récursifs qui interrogent les domaines uniques générés par le test.

      Autrement dit, si vous utilisez Pi-hole avec Unbound en récursif, le résultat ne sera pas le même que si Pi-hole transmet à Cloudflare, Google, Quad9 ou un autre résolveur. Et si votre navigateur utilise son propre DNS chiffré, il peut contourner complètement votre configuration locale.

      C’est particulièrement important avec Firefox, Chrome, Chromium, Brave, Edge, Vivaldi et autres navigateurs modernes : ils peuvent avoir une option « DNS sécurisé », « Secure DNS », « DNS via HTTPS » ou équivalent.

      2. Avant tout test : désactiver le DNS propre au navigateur

      Si vous voulez tester votre configuration locale (Pi-hole, Unbound, DNSCrypt-Proxy, DoT ou DoH local), commencez par désactiver le DNS chiffré intégré au navigateur. Sinon, le navigateur peut passer par son propre résolveur et fausser vos tests.

      Firefox

      Chemin :

      Paramètres → Vie privée et sécurité → DNS via HTTPS → Désactivé

      Selon les versions, l’option peut aussi apparaître sous le nom « Activer le DNS sécurisé avec » ou « DNS via HTTPS ». Le but est simple : Firefox ne doit pas choisir lui-même Cloudflare, NextDNS ou un autre fournisseur pendant que vous testez votre pile DNS locale.

      Google Chrome / Chromium

      Chemin :

      Paramètres → Confidentialité et sécurité → Sécurité → Utiliser le DNS sécurisé → Désactivé

      Chrome et Chromium peuvent utiliser un DNS sécurisé au niveau du navigateur. Si cette option est activée, votre test DNS reflète Chrome, pas forcément votre système.

      Microsoft Edge

      Chemin :

      Paramètres → Confidentialité, recherche et services → Sécurité → Utiliser le DNS sécurisé → Désactivé

      Edge étant basé sur Chromium, le comportement est proche de Chrome : si le DNS sécurisé est activé, Edge peut contourner votre résolution DNS locale.

      Brave

      Chemin rapide :

      brave://settings/security → Utiliser le DNS sécurisé → Désactivé

      Brave peut lui aussi utiliser son propre DNS sécurisé. Pour tester Pi-hole, Unbound ou DNSCrypt-Proxy, désactivez cette option.

      Vivaldi

      Chemin :

      Paramètres → Réseau → DNS Lookup Over HTTPS → Désactivé

      Vivaldi permet de choisir un fournisseur DoH. Pour un test local propre, désactivez cette fonction ou vérifiez qu’elle ne remplace pas votre résolveur système.

      Opera / Opera GX

      Opera étant basé sur Chromium, cherchez « DNS sécurisé », « Secure DNS » ou « DNS over HTTPS » dans les paramètres avancés de confidentialité ou de sécurité.

      Règle simple : si vous voulez tester votre DNS local, le navigateur ne doit pas utiliser son propre DoH.

      3. Comment vérifier que votre configuration fonctionne réellement

      La véritable confirmation est visible dans vos logs et dans vos tests locaux, pas uniquement dans les sites de fuite DNS.

      Pour voir ce qui se passe côté conteneurs :

      # Pour voir les requêtes côté Pi-hole
docker logs pihole

# Pour voir quels serveurs DNS sont utilisés par DNSCrypt-Proxy
docker logs dnscrypt-proxy

# Pour vérifier l'activité d'Unbound
docker logs unbound

      Pour tester directement la résolution DNS locale :

      # Tester le DNS local sur le port 53
dig @127.0.0.1 dolys.fr

# Tester Pi-hole depuis le réseau local
dig @IP_DE_VOTRE_PIHOLE dolys.fr

# Voir la réponse courte
dig @127.0.0.1 dolys.fr +short

      Si votre pile est Pi-hole → Unbound, les logs de Pi-hole doivent montrer les requêtes client, et Unbound doit montrer la résolution attendue selon votre configuration.

      Si votre pile est Pi-hole → DNSCrypt-Proxy, les logs DNSCrypt-Proxy doivent montrer les résolveurs effectivement utilisés.

      4. Outils de test recommandés

      Pour une vérification complète, utilisez plusieurs outils qui se complètent :

      Interprétez les résultats avec prudence : si le navigateur a son DNS sécurisé activé, le test reflète le navigateur, pas forcément votre système.

      5. Pour les puristes qui s’interrogent sur Docker

      Certains puristes pourraient questionner l’utilisation de Docker pour ces configurations DNS. Voici pourquoi c’est un choix pratique :

      • Isolation des dépendances : Unbound, Pi-hole ou DNSCrypt-Proxy ont leurs propres exigences qui restent isolées du système.
      • Portabilité : même configuration sur Debian, Arch, EndeavourOS, Xubuntu ou presque n’importe quelle distribution.
      • Mises à jour simplifiées : images maintenues par des équipes spécialisées.
      • Facilité de bascule : passer de DoT à DoH sans risquer de casser votre résolution DNS système.
      • Reconstruction rapide : en cas de problème, tout peut être rétabli en quelques minutes.

      L’overhead est négligeable pour ce type d’application, et les avantages pratiques l’emportent largement. Si vous préférez une installation native, les configurations peuvent être adaptées : seuls les chemins et le mode de service devront changer.

      Conclusion

      Avant de conclure à une fuite DNS, vérifiez trois choses :

      • le DNS sécurisé du navigateur est-il désactivé ?
      • les logs de vos conteneurs confirment-ils le passage par votre pile DNS ?
      • les tests donnent-ils les mêmes résultats sur plusieurs navigateurs ?

      Bonne navigation, libre et privée !

      Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc

    • Auteur
      Articles
    Log In Register Lost Password
    Affichage de 1 message (sur 1 au total)
    • Vous devez être connecté pour répondre à ce sujet.