wiki/HowtoUnbound.md

---
categories: openbsd network DNS
title: Howto Unbound
---

* Documentation : <https://www.unbound.net/documentation/>
* Rôle Ansible : <https://forge.evolix.org/projects/ansible-roles/repository/show/unbound>
* Man pages : <https://man.openbsd.org/unbound> ou <https://manpages.debian.org/stretch/unbound/unbound.8.en.html>

[Unbound](https://www.unbound.net/) est un serveur DNS récursif. Il gère notamment du cache et la validation DNSSEC. Par rapport à [Bind](HowtoBind) il est léger et sécurisé, mais il ne sait pas faire autorité pour un nom de domaine. Il a été écrit et est maintenu par [NLnet Labs](https://www.nlnetlabs.nl/).

## Installation

### Debian

~~~
# apt install unbound

$ /usr/sbin/unbound -h | tail -5
Version 1.6.0
linked libs: libevent 2.0.21-stable (it uses epoll), OpenSSL 1.1.0f  25 May 2017
linked modules: dns64 python validator iterator
BSD licensed, see LICENSE in source package for details.
Report bugs to unbound-bugs@nlnetlabs.nl
~~~

### OpenBSD

Unbound est intégré dans la base d'OpenBSD, il est donc déjà présent.


## Configuration

<https://manpages.debian.org/stretch/unbound/unbound.conf.5.en.html> ou <https://man.openbsd.org/unbound.conf>

Fichiers de configuration sous Debian :

~~~
/etc/unbound/
├── unbound.conf
├── unbound.conf.d
│   ├── qname-minimisation.conf
│   └── root-auto-trust-anchor-file.conf
├── unbound_control.key
├── unbound_control.pem
├── unbound_server.key
└── unbound_server.pem
~~~

Fichiers de configuration sous OpenBSD (Unbound est dans un chroot) :

~~~
/var/unbound/etc/
└── unbound.conf
~~~

Par défaut, Unbound écoute uniquement sur _localhost_, la configuration minimale consiste surtout à le sécuriser :

~~~
server:
  hide-identity: yes
  hide-version: yes
  auto-trust-anchor-file: "/var/unbound/db/root.key"
~~~

Si l'on veut le faire écouter sur un réseau local, il faut ajuster les directives `interface` et `access-control` :

~~~
server:
  interface: 192.0.2.254
  interface: 127.0.0.1
  interface: ::1

  access-control: 0.0.0.0/0 refuse
  access-control: 127.0.0.0/8 allow
  access-control: 192.0.2.0/24 allow
  access-control: ::0/0 refuse
  access-control: ::1 allow
~~~

### Configuration spécifique sous OpenBSD

Avant d'activer Unbound sous OpenBSD, il faut configurer le nombre maximum de file descriptor qu'il peut ouvrir.
En effet, 2 fd sont ouverts pour chaque IP sur laquelle Unbound écoute, puis 1 fd est ouvert pour chaque requête active.
Dans le cas d'une instabilité réseau, les fd ouverts peuvent s'accumuler et atteindre la limite, bloquant toute nouvelle requête :

~~~
unbound: [12503:0] error: can't create socket: Too many open files
~~~

Par défaut, cette limite est configurée à 512 dans `/etc/login.conf`. Nous conseillons de l'augmenter à 2048 :

~~~
unbound:\
    :openfiles=2048:\
    :tc=daemon:
~~~

Si cette modification est faite alors qu'unbound est déjà démarré, il faudra le redémarrer pour que la modification soit prise en compte.

Si nécessaire, augmenter également le nombre de file descriptor pouvant être ouverts globalement au système :

~~~
# sysctl kern.maxfiles                                                                                                                                                                                                                                                                                         
kern.maxfiles=7030
# sysctl kern.maxfiles=20480
# echo kern.maxfiles=20480 >> /etc/sysctl.conf
~~~

### Activation sous OpenBSD

On active Unbound dans `rc.conf.local` et on démarre le daemon :

~~~
# rcctl enable unbound
# rcctl start unbound
~~~

## Monitoring

### Avoir des statistiques

On peut accéder à des statistiques avec [unbound-control(8)](https://man.openbsd.org/unbound-control).

Pour cela, le `remote-control` doit être activé :

~~~
remote-control:
    control-enable: yes
    control-use-cert: no
    control-interface: /var/run/unbound.sock
~~~

Sous Debian :

~~~
# unbound-control stats
~~~

Sous OpenBSD :

~~~
$ doas -u _unbound unbound-control stats
~~~

Si l'on veut avoir des statistiques plus détaillées, avec notamment le type de requêtes, on peut ajouter à la configuration :

~~~
extended-statistics: yes
~~~

Enfin, les statistiques peuvent régulièrement être affichées dans les logs avec cette configuration :

~~~
statistics-interval: 300
~~~

### dnstop

Voir [HowtoBind#dnstop]()

## FAQ

### Vider le cache pour un domaine particulier

~~~
unbound-control flush_zone foo.local
~~~

### Utiliser un serveur DNS particulier pour un nom de domaine

On pourra forwarder certaines requêtes vers un serveur différent en rajoutant les directives ci-dessous :

~~~
forward-zone:
  name: "foo.local."
  forward-addr: 192.0.2.1
  forward-first: yes
~~~

Dans le cas présent, les requêtes concernent une zone locale, ainsi afin d'éviter une vérification DNSSEC pour ces dernières on ajoutera la directive suivante dans la configuration de unbound :

~~~
domain-insecure: "foo.local."
~~~

### Rajouter / modifier un enregistrement DNS

Parfois on veut pouvoir modifier un enregistrement DNS, par exemple
quand on a un VPN. On peut utiliser `/etc/hosts` pour les champs A
mais pas pour les MX. On peut donc utiliser unbound pour mentir :

~~~
  local-zone: "example.com." typetransparent
  local-data: "example.com. IN MX 10 fakemx.example.com."
  local-data: "fakemx.example.com. IN A 192.168.1.3"
~~~

### Configuration sur un routeur

Il NE faut JAMAIS mettre une configuration de type :

~~~
  interface: 0.0.0.0
~~~

…car Unbound ne va pas forcément répondre avec la bonne interface et on peut avoir des erreurs du type :

~~~
$ dig @IP-routeur
;; reply from unexpected source: autre.ip.du.routeur#53, expected ipdurouteur#53
~~~

Il faut lister explicitement toutes les interfaces sur lesquelles on souhaite qu'Unbound écoute.

### dig +trace ne fonctionne pas

C'est certainement parce que le client a une autorisation insuffisante
pour ce type de requête particulière. Il faut donc remplacer dans la
directive `access-control:` le mot-clé `allow` par `allow_snoop`.

### Mentir sur le TTL

On peut vouloir mettre un TTL minimum pour ne pas respecter le TTL quand il est mis à des valeurs anormalement basses. Pour mettre le TTL minimum à 600 :

~~~
cache-min-ttl: 600
~~~

### Diminuer le cache des réponses négatives

Si on veut diminuer à 30s la durée de mise en cache des résolutions n'ayant pas de réponse :

~~~
cache-max-negative-ttl: 30
~~~
OpenBSD: corrections de syntaxe 2017-01-20 11:17:20 +01:00			`---`
relecture [1/N] 2017-07-27 01:53:00 +02:00			`categories: openbsd network DNS`
			`title: Howto Unbound`
OpenBSD: corrections de syntaxe 2017-01-20 11:17:20 +01:00			`---`
Import automatique du Trac 2016-12-29 11:25:39 +01:00
corrections mineures 2017-07-27 17:49:30 +02:00			`* Documentation : <https://www.unbound.net/documentation/>`
rajout de presentation 2017-07-25 15:20:52 +02:00			`* Rôle Ansible : <https://forge.evolix.org/projects/ansible-roles/repository/show/unbound>`
Relecture finale 2017-07-31 17:25:14 +02:00			`* Man pages : <https://man.openbsd.org/unbound> ou <https://manpages.debian.org/stretch/unbound/unbound.8.en.html>`
rajout de presentation 2017-07-25 15:20:52 +02:00
corrections mineures 2017-07-27 17:49:30 +02:00			`[Unbound](https://www.unbound.net/) est un serveur DNS récursif. Il gère notamment du cache et la validation DNSSEC. Par rapport à [Bind](HowtoBind) il est léger et sécurisé, mais il ne sait pas faire autorité pour un nom de domaine. Il a été écrit et est maintenu par [NLnet Labs](https://www.nlnetlabs.nl/).`
rajout de prosel 2017-07-25 15:36:12 +02:00
relecture [1/N] 2017-07-27 01:53:00 +02:00			`## Installation`
rajout de presentation 2017-07-25 15:20:52 +02:00
relecture [1/N] 2017-07-27 01:53:00 +02:00			`### Debian`
rajout Debian 2017-07-25 17:36:30 +02:00
			`~~~`
			`# apt install unbound`
relecture [1/N] 2017-07-27 01:53:00 +02:00
			`$ /usr/sbin/unbound -h \| tail -5`
			`Version 1.6.0`
			`linked libs: libevent 2.0.21-stable (it uses epoll), OpenSSL 1.1.0f 25 May 2017`
			`linked modules: dns64 python validator iterator`
			`BSD licensed, see LICENSE in source package for details.`
			`Report bugs to unbound-bugs@nlnetlabs.nl`
rajout Debian 2017-07-25 17:36:30 +02:00			`~~~`

relecture [1/N] 2017-07-27 01:53:00 +02:00			`### OpenBSD`
rajout Debian 2017-07-25 17:36:30 +02:00
relecture [1/N] 2017-07-27 01:53:00 +02:00			`Unbound est intégré dans la base d'OpenBSD, il est donc déjà présent.`
rajout section installation 2017-07-25 16:11:33 +02:00

relecture [1/N] 2017-07-27 01:53:00 +02:00			`## Configuration`
rajout de presentation 2017-07-25 15:20:52 +02:00
Relecture finale 2017-07-31 17:25:14 +02:00			`<https://manpages.debian.org/stretch/unbound/unbound.conf.5.en.html> ou <https://man.openbsd.org/unbound.conf>`

			`Fichiers de configuration sous Debian :`

			`~~~`
			`/etc/unbound/`
			`├── unbound.conf`
			`├── unbound.conf.d`
			`│ ├── qname-minimisation.conf`
			`│ └── root-auto-trust-anchor-file.conf`
			`├── unbound_control.key`
			`├── unbound_control.pem`
			`├── unbound_server.key`
			`└── unbound_server.pem`
			`~~~`

			`Fichiers de configuration sous OpenBSD (Unbound est dans un chroot) :`

			`~~~`
			`/var/unbound/etc/`
			`└── unbound.conf`
			`~~~`

			`Par défaut, Unbound écoute uniquement sur _localhost_, la configuration minimale consiste surtout à le sécuriser :`

			`~~~`
			`server:`
			`hide-identity: yes`
			`hide-version: yes`
			`auto-trust-anchor-file: "/var/unbound/db/root.key"`
			`~~~`

			Si l'on veut le faire écouter sur un réseau local, il faut ajuster les directives `interface` et `access-control` :
Import automatique du Trac 2016-12-29 11:25:39 +01:00
			`~~~`
			`server:`
Relecture finale 2017-07-31 17:25:14 +02:00			`interface: 192.0.2.254`
OpenBSD: corrections de syntaxe 2017-01-20 11:17:20 +01:00			`interface: 127.0.0.1`
			`interface: ::1`
Import automatique du Trac 2016-12-29 11:25:39 +01:00
OpenBSD: corrections de syntaxe 2017-01-20 11:17:20 +01:00			`access-control: 0.0.0.0/0 refuse`
			`access-control: 127.0.0.0/8 allow`
Relecture finale 2017-07-31 17:25:14 +02:00			`access-control: 192.0.2.0/24 allow`
OpenBSD: corrections de syntaxe 2017-01-20 11:17:20 +01:00			`access-control: ::0/0 refuse`
			`access-control: ::1 allow`
Import automatique du Trac 2016-12-29 11:25:39 +01:00			`~~~`

Augmenter le nombre de file descriptor pouvant être ouvert 2020-08-24 15:57:49 +02:00			`### Configuration spécifique sous OpenBSD`

			`Avant d'activer Unbound sous OpenBSD, il faut configurer le nombre maximum de file descriptor qu'il peut ouvrir.`
			`En effet, 2 fd sont ouverts pour chaque IP sur laquelle Unbound écoute, puis 1 fd est ouvert pour chaque requête active.`
			`Dans le cas d'une instabilité réseau, les fd ouverts peuvent s'accumuler et atteindre la limite, bloquant toute nouvelle requête :`

			`~~~`
			`unbound: [12503:0] error: can't create socket: Too many open files`
			`~~~`

			Par défaut, cette limite est configurée à 512 dans `/etc/login.conf`. Nous conseillons de l'augmenter à 2048 :

			`~~~`
			`unbound:\`
			`:openfiles=2048:\`
			`:tc=daemon:`
			`~~~`

Redémarrer unbound pour prendre en compte le nombre max de fd si déjà démarré 2020-08-24 15:58:50 +02:00			`Si cette modification est faite alors qu'unbound est déjà démarré, il faudra le redémarrer pour que la modification soit prise en compte.`

Augmenter le nombre de file descriptor pouvant être ouvert 2020-08-24 15:57:49 +02:00			`Si nécessaire, augmenter également le nombre de file descriptor pouvant être ouverts globalement au système :`

			`~~~`
			`# sysctl kern.maxfiles`
			`kern.maxfiles=7030`
			`# sysctl kern.maxfiles=20480`
			`# echo kern.maxfiles=20480 >> /etc/sysctl.conf`
			`~~~`

Relecture finale 2017-07-31 17:25:14 +02:00			`### Activation sous OpenBSD`
rajout Debian 2017-07-25 17:36:30 +02:00
Relecture finale 2017-07-31 17:25:14 +02:00			On active Unbound dans `rc.conf.local` et on démarre le daemon :
Import automatique du Trac 2016-12-29 11:25:39 +01:00
			`~~~`
page relue 2017-01-10 17:26:23 +01:00			`# rcctl enable unbound`
			`# rcctl start unbound`
Import automatique du Trac 2016-12-29 11:25:39 +01:00			`~~~`
Ajout forward-zone + précision dans le cas d'une zone locale 2017-01-24 15:50:56 +01:00
Monitoring 2019-03-12 11:38:03 +01:00			`## Monitoring`

			`### Avoir des statistiques`

			`On peut accéder à des statistiques avec [unbound-control(8)](https://man.openbsd.org/unbound-control).`

Plus d'information sur les statistiques 2020-02-12 12:33:04 +01:00			Pour cela, le `remote-control` doit être activé :

			`~~~`
			`remote-control:`
			`control-enable: yes`
			`control-use-cert: no`
			`control-interface: /var/run/unbound.sock`
			`~~~`

Monitoring 2019-03-12 11:38:03 +01:00			`Sous Debian :`

			`~~~`
			`# unbound-control stats`
			`~~~`

			`Sous OpenBSD :`

			`~~~`
			`$ doas -u _unbound unbound-control stats`
			`~~~`

			`Si l'on veut avoir des statistiques plus détaillées, avec notamment le type de requêtes, on peut ajouter à la configuration :`

			`~~~`
			`extended-statistics: yes`
			`~~~`

Afficher les statistiques dans les logs 2020-02-12 12:35:56 +01:00			`Enfin, les statistiques peuvent régulièrement être affichées dans les logs avec cette configuration :`

			`~~~`
			`statistics-interval: 300`
			`~~~`

Monitoring 2019-03-12 11:38:03 +01:00			`### dnstop`

			`Voir [HowtoBind#dnstop]()`

relecture [1/N] 2017-07-27 01:53:00 +02:00			`## FAQ`
rajout header faq 2017-07-25 17:16:18 +02:00
Ajout partie flush cache pour un domaine 2019-05-23 10:28:58 +02:00			`### Vider le cache pour un domaine particulier`

			`~~~`
			`unbound-control flush_zone foo.local`
			`~~~`

Relecture finale 2017-07-31 17:25:14 +02:00			`### Utiliser un serveur DNS particulier pour un nom de domaine`
rajout d'un titre pour créer une section 2017-01-24 16:07:47 +01:00
Ajout forward-zone + précision dans le cas d'une zone locale 2017-01-24 15:50:56 +01:00			`On pourra forwarder certaines requêtes vers un serveur différent en rajoutant les directives ci-dessous :`

			`~~~`
			`forward-zone:`
Relecture finale 2017-07-31 17:25:14 +02:00			`name: "foo.local."`
			`forward-addr: 192.0.2.1`
			`forward-first: yes`
Ajout forward-zone + précision dans le cas d'une zone locale 2017-01-24 15:50:56 +01:00			`~~~`

			`Dans le cas présent, les requêtes concernent une zone locale, ainsi afin d'éviter une vérification DNSSEC pour ces dernières on ajoutera la directive suivante dans la configuration de unbound :`

			`~~~`
			`domain-insecure: "foo.local."`
rajout d'un titre pour créer une section 2017-01-24 16:07:47 +01:00			`~~~`
Comment mentir sur un champ mx 2017-01-24 16:13:44 +01:00
relecture [1/N] 2017-07-27 01:53:00 +02:00			`### Rajouter / modifier un enregistrement DNS`
Comment mentir sur un champ mx 2017-01-24 16:13:44 +01:00
			`Parfois on veut pouvoir modifier un enregistrement DNS, par exemple`
			quand on a un VPN. On peut utiliser `/etc/hosts` pour les champs A
			`mais pas pour les MX. On peut donc utiliser unbound pour mentir :`

			`~~~`
Relecture finale 2017-07-31 17:25:14 +02:00			`local-zone: "example.com." typetransparent`
			`local-data: "example.com. IN MX 10 fakemx.example.com."`
			`local-data: "fakemx.example.com. IN A 192.168.1.3"`
Comment mentir sur un champ mx 2017-01-24 16:13:44 +01:00			`~~~`
premier jet de documentation d'un piege unbound 2017-03-28 23:15:46 +02:00
relecture [1/N] 2017-07-27 01:53:00 +02:00			`### Configuration sur un routeur`
premier jet de documentation d'un piege unbound 2017-03-28 23:15:46 +02:00
Relecture finale 2017-07-31 17:25:14 +02:00			`Il NE faut JAMAIS mettre une configuration de type :`
premier jet de documentation d'un piege unbound 2017-03-28 23:15:46 +02:00
			`~~~`
Relecture finale 2017-07-31 17:25:14 +02:00			`interface: 0.0.0.0`
premier jet de documentation d'un piege unbound 2017-03-28 23:15:46 +02:00			`~~~`

Relecture finale 2017-07-31 17:25:14 +02:00			`…car Unbound ne va pas forcément répondre avec la bonne interface et on peut avoir des erreurs du type :`
premier jet de documentation d'un piege unbound 2017-03-28 23:15:46 +02:00
			`~~~`
Relecture finale 2017-07-31 17:25:14 +02:00			`$ dig @IP-routeur`
premier jet de documentation d'un piege unbound 2017-03-28 23:15:46 +02:00			`;; reply from unexpected source: autre.ip.du.routeur#53, expected ipdurouteur#53`
			`~~~`

Relecture finale 2017-07-31 17:25:14 +02:00			`Il faut lister explicitement toutes les interfaces sur lesquelles on souhaite qu'Unbound écoute.`
Snoopy 2017-07-25 15:44:11 +02:00
relecture [1/N] 2017-07-27 01:53:00 +02:00			`### dig +trace ne fonctionne pas`
Snoopy 2017-07-25 15:44:11 +02:00
			`C'est certainement parce que le client a une autorisation insuffisante`
corrections mineures 2017-07-27 17:49:30 +02:00			`pour ce type de requête particulière. Il faut donc remplacer dans la`
Snoopy 2017-07-25 15:44:11 +02:00			directive `access-control:` le mot-clé `allow` par `allow_snoop`.
rajout partie stats 2017-07-25 16:58:16 +02:00
+cache-min-ttl 2018-02-12 14:32:10 +01:00			`### Mentir sur le TTL`

			`On peut vouloir mettre un TTL minimum pour ne pas respecter le TTL quand il est mis à des valeurs anormalement basses. Pour mettre le TTL minimum à 600 :`

			`~~~`
			`cache-min-ttl: 600`
			`~~~`
Diminuer le cache des réponses négatives 2019-03-12 11:01:45 +01:00
			`### Diminuer le cache des réponses négatives`

			`Si on veut diminuer à 30s la durée de mise en cache des résolutions n'ayant pas de réponse :`

			`~~~`
			`cache-max-negative-ttl: 30`
Ajout partie flush cache pour un domaine 2019-05-23 10:28:58 +02:00			`~~~`