Unbound DNS vs Pi-hole et Reverse Proxy sur OPNsense

Bonjour, ce sujet me semble parfait. En plein dans la recherche actuelle.

Avant opnsense j'utilisais une vm avec pihole et npm en reverse proxy sur un nas .

Depuis j'ai donc installé opnsense sur un i300 avec 8 mo de ram. (vu le prix actuel)

Ma question est la suivante. Faut il continuer à utiliser un serveur de dns sur une autre machine ? Cela me semble un peu sac de noeuds mais .. si... . 

Je vous laisse argumenter . 

Salut ! 

Je suppose que tu as voulu dire 8Go de Ram 😂

Non, il n'est plus indispensable de conserver un serveur DNS séparé. Avec la puissance de ta nouvelle machine, tu as tout intérêt à rapatrier ce service sur OPNsense.

Pourquoi migrer le DNS sur OPNsense ?

Le principal argument est la résilience du réseau.

Actuellement, si ton NAS redémarre (pour une mise à jour, par exemple) ou si la VM Pi-hole plante, tout ton réseau local perd l'accès à internet, car la résolution DNS tombe en panne. En confiant le DNS et le blocage publicitaire à OPNsense, tu centralises le cœur de ton réseau sur la machine qui est déjà censée rester allumée 24h/24 et 7j/7.

Puisque tu viens de Pi-hole, voici les deux méthodes les plus populaires pour le remplacer directement sur ton routeur :

1. Unbound DNS (La solution native)

OPNsense intègre par défaut un serveur DNS très puissant appelé Unbound.

Avantage: Il est intégré nativement. Tu peux activer l'option "DNSBL" (DNS Blocklist) directement dans les menus d'OPNsense pour télécharger les mêmes listes de blocage que celles que tu utilisais sur Pi-hole (comme les listes StevenBlack).

Inconvenient : L'interface de statistiques est beaucoup moins jolie et détaillée que le tableau de bord de Pi-hole.

Il existe un dépôt communautaire très actif pour OPNsense qui permet d'installer AdGuard Home en quelques clics (le plugin s'appelle os-adguardhome).

Avantage : AdGuard Home est le concurrent direct de Pi-hole. Tu retrouveres une interface web magnifique, des statistiques détaillées par client, et une gestion très fine du blocage publicitaire/tracker.

Inconvenient : Demande un tout petit peu plus de configuration initiale (il faut changer le port du DNS d'OPNsense pour laisser AdGuard écouter sur le port 53).

Pour ton reverse proxy, la logique est un peu différente. Bien qu'OPNsense propose des plugins pour faire du reverse proxy (HAProxy, Nginx, ou l'excellent Caddy), garder NPM sur ton NAS/VM est un choix tout à fait valide. Si NPM gère l'accès externe à des services qui sont hébergés sur le NAS (comme Nextcloud, Plex, etc.), il est souvent plus logique et plus facile de laisser le reverse proxy au plus près des services qu'il expose. Il suffira de dire à OPNsense de transférer les ports 80 et 443 vers l'IP de ton NPM.

Merci beaucoup Alex de cette réponse claire et avisée.     (8go de ram effectivement)

Grace à ta réponse , j'ai commencé avec unbound dns, c'est parfait. 

Par contre le coté npm sur le nas , je ne sais pas . Pour moi ,  j'aime mieux considérer une machine qui gère le réseau. je vais tenter caddy comme tu le proposes. 

Il restera la haute disponibilité , mais  c'est un autre chapitre.