Hello vous deux,
Je vous prie de m'excuser si mon retour complet vous a dissuadé d'expérimenter, ce n'était pas le but. Je voulais simplement mettre en garde sur l'apparente simplicité mise en avant sur le site et le côté très "logiciel libre = protecteur de vie privée = ça sent bon des cheveux". La réalité est un peu plus complexe
Charlinux a écrit : ↑17 juil. 2022 01:07
Je suis allé quelquefois sur des forums logiciel libre poser bêtement une question basique, et j'ai clairement l'impression qu'on arrive dans un milieu privé pour initiés où ne domine que l'entre-soi: les quelques réponses qui arrivent sont plusieurs lignes de code (en anglais de surcroit) sans aucune explication de la part de gens très imbus de leur personne
!
Oui c'est très frustrant ! Et ça ne fait pas progresser le libre, entre ça et les guerres de chapelles puériles. Après dans le cas de Pi-hole, je pense qu'ils n'ont pas trop le temps de tout expliquer. Mais on quand on lit partout "C'est simple", suffit de regarder la page :
https://Pi-hole.net/
On te donne 4 étapes : la 3ème "Configurer le DHCP de votre routeur pour utiliser Pi-hole en serveur DNS" me semble déjà perdre beaucoup de monde pour quelque chose censé être simple
Charlinux a écrit : ↑17 juil. 2022 01:07
En effet, Pi-hole est trop largement au dessus de mes capacités !
Glenic1 a écrit : ↑16 juil. 2022 23:45
Je vois que Pi-hole est au dessus de mon niveau informatique => inatteignable pour l'instant
Je tiens à vous rassurer, je pense que vous pouvez tout à fait expérimenter et puis vous savez où aller pour qu'on vous guide. Comme je le dis dans mon poste, l'installation et la configuration basique sont relativement accessibles même pour des profanes. Par ailleurs, je sais que notre Glenic1 est souvent bien trop modeste sur son niveau réel. Il sait en faire des choses avec son linux bien plus qu'il ne le croit !
On trouve aussi des tutos en français assez détaillés sur l'installation, mais bien souvent l'étape "DNS / DHCP" se résume à "Aller dans votre box, désactiver le DHCP" comme si tout le monde savait faire ça !
Quelques explications :
1. Le DNS
- Pi-hole est un serveur DNS, mais qu'est-ce qu'un serveur DNS ? DNS = Domain Name System (Système de noms de domaines). En fait tout simplement, nos machines ne savent pas communiquer sur un réseau (que ce soit local LAN ou mondial Internet/WAN) autrement qu'en allant interroger des adresses IP. Par exemple quand tu tapes
https://cenabumix.org/ dans ton navigateur, ton ordinateur va en fait se connecter à l'adresse IP 154.41.66.26. C'est parce que retenir des adresses IP différentes (qui en plus peuvent changer) pour chaque site est bien compliqué que l'on a inventé le système de noms de domaines.
Concrètement, lorsque l'on possède un serveur, on va demander à une société qu'on appelle « bureau d'enregistrement » (c'est payant) de réserver un nom de domaine qui sera associé à l'adresse IP publique du serveur. Ces enregistrements sont ensuite publiés mondialement (serveur racine). Un serveur DNS c'est donc en fait un annuaire de l'ensemble de ces enregistrements.
Par exemple chez toi sur ton réseau local, quand tu as une box Internet d'un FAI. Tes appareils connectés localement auront en serveur DNS l'adresse IP de ta box. Ta box interroge ensuite le DNS national de l'opérateur (qui connaît les enregistrements internationaux).
Tu veux aller sur cenabumix.org ça donne ça :
1. Ton ordinateur ne connaît à ce stade que des IP, comme tu as demandé d'interroger un nom de domaine il passe par le protocole DNS, il va donc interroger l'IP du serveur DNS qu'il connaît donc ici l'IP de ta box.
2. Le serveur DNS va répondre à ton ordinateur la traduction du nom de domaine en adresse IP (c'est transparent pour l'utilisateur) = Il va donc indiquer à ta machine « si tu veux aller sur cenabumix.org => il faut te rendre sur 154.41.66.26 »
Le DNS c'est donc un peu le GPS et répertoire téléphonique d'Internet ! Typiquement, quand la justice ordonne le blocage d'accès à un site web, la plupart des FAI se contentent de modifier leur serveur DNS en indiquant que le domaine n'est plus attribué. Changer de serveur DNS suffit à contourner...
On peut utiliser le serveur DNS que l'on veut, rien n'oblige à utiliser celui du FAI. On peut très bien utiliser DNS publics comme ceux de Cloudflare, Google, OpenDNS, NextDNS etc. On peut donc très bien avoir son propre serveur DNS à la maison sur son réseau local. C'est ce qui est proposé avec un Pi-hole.
Pour que ça fonctionne, il faut donc que les appareils passent leurs requêtes DNS par Pi-hole donc les envoient sur l'adresse IP du Pi-hole et non pas sur la box. En revanche, comme je l'expliquais Pi-hole n'est pas un serveur DNS complet, pour fonctionner il fait du relais DNS. Pi-hole va donc servir uniquement à gérer les enregistrements interdits. En gros on lui communique une liste de domaines non autorisés (typiquement ceux dédiés à la publicité/tracking), et lorsqu'un appareil du réseau (via un site ou une appli) voudra communiquer avec ces domaines, Pi-hole répondra que ça n'existe pas. En revanche si le domaine n'est pas interdit, Pi-hole a besoin d'un vrai serveur DNS pour pouvoir l'acheminer correctement et connaître l'IP associée à ce domaine.
Dans une configuration basique le chemin sera :
Avec un domaine interdit par Pi-hole
Ton appareil => requête DNS vers Pi-hole => Domaine interdit => Pi-hole répond ça n'existe pas
Avec un domaine autorisé par Pi-hole
Ton appareil => requête DNS vers Pi-hole => Domaine autorisé => Pi-hole transfert à un serveur DNS classique (celui du FAI ou autre) => Pi-hole répond avec l'adresse IP associée au domaine.
Voilà quelques explications que j'espère compréhensibles (avec de gros raccourcis qui vexeront les experts
).
(Hé oui, le DNS c'est très sensible, donc toujours se méfier quand on se connecte sur un réseau que l'on ne connaît pas, l'admin du DNS peut très bien rediriger localement le domaine de ta banque ou de ton cloud perso vers une IP à lui...Bon heureusement y'a des sécurité contre ça, mais c'est pas parfait
)
2. Le DHCP
DHCP pour « Dynamic Host Configuration Protocol » c'est un protocole réseau qui permet de faire en sorte que les appareils connectés à un même routeur reçoivent directement la bonne configuration sans intervention manuelle de l'utilisateur.
Dans le cas de ta box Internet à la maison, tu te contentes donc de brancher un câble ou de connecter l'appareil au WiFi et via le DHCP de la box il va recevoir automatiquement les informations lui permettant de communiquer sur ce réseau et d'accéder à Internet.
- Adresse IP à utiliser pour lui (son IP sur le réseau) ;
- L'adresse IP de la box (passerelle) ;
- L'adresse IP des serveurs DNS à utiliser.
Sans DHCP tu devrais rentrer ces informations manuellement sur chaque appareil. Avec le risque d'ailleurs d'attribuer une IP déjà occupée, ce qui n'arrive donc jamais en DHCP.
Si tu montes un Pi-hole sur ton réseau, ça ne suffira pas car via le DHCP de la box, les appareils reçoivent l'instruction d'utiliser le DNS de la box (celui du FAI). Il faut donc soit pouvoir modifier la configuration DHCP de la box pour que soit envoyée automatiquement aux appareils l'adresse IP du Pi-hole en tant que serveur DNS. Si cela n'est pas possible car la box ne le permet pas, alors il faudra utiliser un autre serveur DHCP que celui de la box.
Heureusement, les développeurs de Pi-hole ont tout prévu, ils ont inclut un paramètre qui permet à Pi-hole de faire DHCP et tout se fait automatiquement, suffit de cocher la case.
Attention ! Il ne peut jamais y avoir deux serveurs DHCP qui fonctionnent en même temps sur un même sous-réseau, il faudra donc désactiver le DHCP de la box, si on active celui de Pi-hole
Dans cette configuration où Pi-hole fait DHCP, il faut avoir conscience qu'en cas de panne de Pi-hole ou de l'appareil qui l'héberge il n'y aura plus de DHCP sur le réseau : plus aucun équipement ne pourra aller sur Internet ou utiliser le réseau local. Pour dépanner ça, il faudra savoir remettre une IP manuelle temporairement sur un appareil et réactiver le DHCP de la box par exemple
3. L'installation de Pi-hole
Une fois que l'on connaît ces deux notions fondamentales que sont DNS et DHCP, installer et faire fonctionner Pi-hole correctement n'a plus rien de sorcier pour un utilisateur habitué de GNU/Linux.
Idéalement, il faut un appareil dédié à ça, comme un Raspberry Pi, pouvoir le connecter à la box. De préférence, on utilisera une base Debian/Ubuntu.
Sur le Raspberry Pi, on utilisera Raspberry Pi OS qu'il faudra installer au préalable. Ensuite, l'installation de Pi-hole se fait en exécutant un script et tout est guidé. On trouve un tuto en français qui l'explique assez bien
https://raspberrytips.fr/installer-pihole-raspberry-pi/
En espérant vous avoir démystifié le truc et que ça vous donnera l'envie d'essayer. On peut aussi se faire ça en live à l'occasion d'une réunion Re-Boot