Comment utiliser Unbound ( dns local ) sur différents supports

[laliche]

Unbound est un résolveur DNS récursif, validant et performant qui permet de résoudre les noms de domaine localement, améliorant ainsi la confidentialité, la sécurité via DNSSEC et la vitesse de réponse grâce à la mise en cache. Il peut être configuré pour fonctionner en mode résolveur local sur Linux ou Windows, avec ou sans chiffrement DNS-over-TLS (DoT).

Révélation

Prérequis

Un serveur ou une machine locale (Linux ou Windows)

Accès root/administrateur

Connexion Internet pour télécharger les fichiers de configuration et les ancres DNSSEC

Ports DNS (53 UDP/TCP) et DNS-over-TLS (853 TCP) ouverts si utilisé sur le réseau local

Instructions étape par étape
1.Installation et configuration de base sur Linux

Sur Debian/Ubuntu : apt-get install unbound unbound-anchor dnsutils

Sur CentOS/RHEL : dnf install unbound bind-utils

Télécharger les indices racine et initialiser DNSSEC :

mkdir -p /var/lib/unbound /var/log/unbound
curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.root
unbound-anchor -a /var/lib/unbound/root.key
chown -R unbound:unbound /var/lib/unbound /var/log/unbound

Configurer /etc/unbound/unbound.conf :

server:
interface: 127.0.0.1
port: 5335
access-control: 127.0.0.0/8 allow
auto-trust-anchor-file: "/var/lib/unbound/root.key"
root-hints: "/var/lib/unbound/root.hints"
prefetch: yes
cache-max-ttl: 86400
cache-min-ttl: 60
hide-version: yes
hide-identity: yes
verbosity: 1
logfile: "/var/log/unbound/unbound.log"
remote-control:
control-enable: yes

Configurer le système pour utiliser Unbound :

Modifier /etc/systemd/resolved.conf :

[Resolve]
DNS=127.0.0.1:5335
DNSStubListener=yes

Redémarrer systemd-resolved : systemctl restart systemd-resolved

Vérifier et démarrer le service :

unbound-checkconf
systemctl enable unbound
systemctl start unbound

Tester la résolution :

dig @127.0.0.1 -p 5335 google.com
dig google.com # via systemd-resolved

2.Installation et Configuration Unbound sur Windows

Télécharger l'installateur Unbound depuis le site officiel.

Lancer l'installation avec les paramètres par défaut.

Vérifier que le service Unbound est démarré et configuré en démarrage automatique via services.msc.

Configurer la carte réseau pour utiliser 127.0.0.1 comme serveur DNS principal.

Tester avec nslookup ou dig si installé.

Activer DNS-over-TLS (optionnel, pour plus de confidentialité)

Dans unbound.conf, ajouter des forwarders avec DoT :

forward-zone:
name: "."
forward-addr: 9.9.9.9@853
forward-addr: 1.1.1.1@853

Ouvrir les ports 53 et 853 dans le firewall local si nécessaire.

Ajouter des zones locales (pour un réseau interne)

Dans unbound.conf :

local-zone: "internal.example.com." static
local-data: "server1.internal.example.com. IN A 10.20.0.10"
local-data-ptr: "10.20.0.10 server1.internal.example.com"

Recharger la configuration : unbound-control reload

Comment Utiliser Unbound Sans Ordinateur:

Il est tout à fait possible d'utiliser Unbound sans ordinateur traditionnel (PC/Mac) en le déployant sur des appareils légers, des routeurs ou des appliances réseau dédiées. Ces solutions consomment peu d'énergie et fonctionnent 24h/24.

Solutions Matérielles Alternatives
3. Installation Unbound sur Raspberry Pi et Nano-ordinateurs

C'est la méthode la plus courante pour un usage domestique. Un Raspberry Pi (modèles 3, 4, 5 ou Zero) suffit amplement.

Avantages : Coût très faible (35-80 ), consommation électrique minime, communauté active.

Unbound s'installe nativement sur Raspberry Pi OS ou via Docker.

Il peut tourner en parallèle d'autres services comme Pi-hole pour le filtrage publicitaire.

Configuration clé : Il est souvent nécessaire de désactiver le résolveur par défaut (systemd-resolved ou dnsmasq) pour libérer le port 53.

4. Installation Unbound Routeurs Compatibles (OpenWrt, Asuswrt-Merlin)

De nombreux routeurs grand public peuvent exécuter Unbound directement, transformant l'appareil en résolveur récursif pour tout le réseau sans matériel supplémentaire.

OpenWrt : Le paquet unbound est disponible officiellement.

Il remplace souvent dnsmasq ou fonctionne en tandem avec odhcpd pour le DHCP. Cela permet une validation DNSSEC native et le chiffrement DNS-over-TLS (DoT) vers les racines.

Asuswrt-Merlin : Des scripts comme unbound_manager permettent une installation facile sur les routeurs Asus compatibles, avec des options pour le blocage de publicités et l'intégration VPN.

Avantages : Centralisation totale, pas de boîtier supplémentaire, protection DNS pour tous les appareils connectés (IoT, mobiles).

5. Unbound sur Appliances Firewall (pfSense, OPNsense)

Les firewalls logiciels installés sur du matériel dédié ou des machines virtuelles intègrent souvent Unbound nativement.

pfSense / OPNsense : Le service "DNS Resolver" est basé sur Unbound.

Il est configurables via une interface graphique complète.

Fonctionnalités : Support natif de DNS-over-TLS, DNSSEC, listes de blocage et forwarding conditionnel.

Usage : Idéal pour les réseaux d'entreprise ou les utilisateurs avancés souhaitant une sécurité périmétrique forte.

6. Unbound surConteneurs et NAS

Si vous disposez d'un NAS (Synology, QNAP) ou d'un serveur domestique léger :

Docker : Unbound est disponible comme image Docker légère (basée sur Alpine).

Elle peut être déployée sur n'importe quel hôte supportant Docker (ARM ou x86).

Avantages : Isolation du service, facilité de sauvegarde et de migration de la configuration.

7.Unbound et Android :

Il n'est pas possible d'exécuter le logiciel Unbound directement sur un appareil Android standard sans modification profonde du système (root), car Android bloque par défaut les applications tierces de la fonction de résolveur DNS système (port 53).

Cependant, vous pouvez utiliser une instance Unbound déployée ailleurs depuis votre appareil Android de deux manières principales :
1. Connexion à un Unbound distant (Recommandé)

C'est la méthode la plus fiable. Vous configurez Unbound sur un autre appareil (Raspberry Pi, routeur, VPS, NAS) comme vu précédemment, puis vous configurez Android pour l'utiliser.

Via DNS-over-TLS (DoT) : Android 9 et supérieur supporte nativement le chiffrement DNS.

Allez dans Paramètres > Réseau et Internet > DNS privé.

Sélectionnez "Nom d'hôte du fournisseur de DNS privé".

Entrez le nom de domaine ou l'IP publique de votre serveur Unbound (ex: dns.votredomaine.com).

Prérequis : Votre serveur Unbound doit avoir un certificat TLS valide (ex: Let's Encrypt) et être accessible depuis l'extérieur.

Via DNS standard (Non chiffré sur le WAN) :

Allez dans Paramètres > Wi-Fi, appuyez longuement sur votre réseau > Modifier le réseau.

Passez les paramètres IP en "Statique" et définissez le DNS 1 sur l'adresse IP locale de votre serveur Unbound (ex: 192.168.1.50).

Note : Cela ne fonctionne que sur le Wi-Fi local, pas en 4G/5G.

2. Exécution locale sur Android (Avancé / Root requis)

Si vous souhaitez absolument faire tourner le processus Unbound sur le téléphone lui-même :

Avec Root : Vous pouvez installer un terminal (comme Termux avec accès root) et compiler/installer Unbound directement. Vous devrez ensuite configurer iptables pour rediriger le trafic DNS système (port 53) vers l'instance Unbound. C'est complexe et peut instabiliser la connexion mobile.

Sans Root (Limité) : Il n'existe pas d'application "Unbound" officielle sur le Play Store qui agit comme résolveur système complet sans root. Les applications comme Intra ou 1.1.1.1 utilisent leurs propres résolveurs ou du DNS-over-HTTPS/TLS, mais n'hébergent pas Unbound localement.

Alternative locale (Termux + VPN) : Dans l'application Termux, vous pouvez installer Unbound (pkg install unbound), le lancer, puis utiliser une application de tunneling local (comme WireGuard ou un script VPN local) pour forcer le trafic DNS vers 127.0.0.1. Cette méthode est technique et consomme plus de batterie.

Résumé de la faisabilité sur Android: