Environnement de test :

• OS : Debian Sid
• Logiciels : LACT ; OCCT
• Matériel : AMD Radeon RX 7600 XT

Pour faire fonctionner une carte AMD Radeon RX, il est nécessaire d’utiliser le pilote amdgpu ; ceci est d’ailleurs aussi valable si vous avez un APU AMD Ryzen.

Mais pour pouvoir utiliser les frameworks logiciels, tel OpenCL, il faut en plus installer le paquet logiciel rocm-opencl-icd qui se trouve être dans les dépôts officiels Debian depuis quelque temps.

Et, oui, bien que ne faisant par partie des matériels officiellement supportés, la carte RX 7600 XT utilise bien OpenCL.

Vous pouvez aussi ajouter l’utilitaire clinfo qui informe du support de votre matériel.

Configuration

Ajouter votre utilisateur aux groupes render et video, puis redémarrer la session.

#: usermod -a -G render,video $LOGNAME

Documentation

• La documentation de ROCm :

  • la page System requirements (Linux) qui permet de voir les requis matériels sous Linux, où le support est officiel à partir de la Radeon RX 7700, et ce depuis Debian 12 “Bookworm”.

• Le manpage logname(1) FR

Remerciements

• la page OpenCL with the open-source amdgpu kernel module

Enjoy-ID!
Enjoy-IT!

Transformer son routeur sous OpenWRT en point d’accès (répéteur) est assez simple en soit ; cela va impacter principalement trois des fichiers du système :

• /etc/config/network
• /etc/config/dhcp
• /etc/config/wireless

Configuration

Il est important de partir sur une base d’OpenWRT fraîchement installée, voire de réinitialiser les paramètres en mode usine par défaut.

La première chose à faire est de connecter physiquement par cable réseau le routeur qui sera répéteur wifi au routeur principal, puis ensuite de modifier la configuration du répéteur wifi. Ainsi, c’est le serveur DHCP du routeur principal qui enverra les paquets nécessaires pour permettre la connexion réseau wifi par le biais du point d’accès.

Comme bien souvent, sous OpenWRT, il est possible de le faire de manières différentes, en éditant en mode CLI les fichiers concernés, ou de passer par l’interface LUCI.

Cet article se focalise sur la manière CLI.

CLI

network

Editez en premier le fichier /etc/config/network pour que la configuration de l’interface lan soit le futur point d’accès dans votre réseau actuel, tel que pour l’exemple :

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.1.3'
    option netmask '255.255.255.0'
#    option ip6assign '60'
    option gateway '192.168.1.1'
    list dns '192.168.1.1'

La commande uci nous permet de la modifier directement :

uci batch << EOF
    set network.lan.dns='192.168.1.1'
    set network.lan.ipaddr='192.168.1.3'
    set network.lan.netmask='255.255.255.0'
    set network.lan.gateway='192.168.1.1'
    set network.lan.proto='static'
EOF
uci commit

wireless

Maintenant il faut éditer le fichier /etc/config/wireless la ou les sections wifi-device et wifi-iface pour changer les paramètres SSID, type de chiffrement, passphrase nécessaire, le code pays, puis pour finir par activer le module radio.

Voici pour l’exemple sur un routeur Xiaomi AX3000T, qui comporte deux modules radio :

# cat /etc/config/wireless

config wifi-device 'radio0'
    option type 'mac80211'
    option path 'platform/soc/18000000.wifi'
    option channel '1'
    option band '2g'
    option htmode 'HT20'
    option country 'FR'
    option cell_density '0'

config wifi-device 'radio1'
    option type 'mac80211'
    option path 'platform/soc/18000000.wifi+1'
    option channel '36'
    option band '5g'
    option htmode 'HE80'
    option country 'FR'
    option cell_density '0'

config wifi-iface 'wifinet0'
    option device 'radio0'
    option mode 'ap'
    option ssid '***'
    option encryption 'sae-mixed'
    option dtim_period '3'
    option key '***'
#   option ieee80211r '1'
#   option mobility_domain '4772'
    option ft_over_ds '0'
    option network 'lan'

config wifi-iface 'wifinet1'
    option device 'radio1'
    option mode 'ap'
    option ssid '***'
    option encryption 'sae'
    option dtim_period '3'
    option key '***'
#   option ieee80211r '1'
#   option mobility_domain '4772'
    option ft_over_ds '0'
    option wpa_disable_eapol_key_retries '1'
    option network 'lan'

• Remarquez dans les deux sections wifi-device l’option de pays paramétrée pour la france : option country 'FR'.

• Les deux sections wifi-iface concernant chacun des deux modules radio sont bien paramétrées en option mode 'ap' et cible bien le réseau lan : option network 'lan'.

  • Modifiez les option ssid, option encryption et option key selon les identifiants wifi du routeur Wifi principal, ainsi que l’algorythme de chiffrement utilisé et la clé paramétrée.

• Ici dans l’exemple, la section wifi-iface du module radio0 est configurée pour utiliser le chiffrement WPA2/WPA3 PSK, SAE (CCMP), soit option encryption 'sae-mixed', ce qui permet à des appareils un peu plus vieux ou nécessitant absolument l’usage de la bande 2G, tout en gardant un chiffrement WPA2 assez sécurisé, et en permettant que les périphériques wifi capables de se connecter en WPA3 choisiront ce chiffrement offert par défaut, alors que celle du module radio1 est configurée pour n’utiliser que le chiffrement WPA3.

La commande uci permet de modifier juste le nécessaire :

uci batch << EOF
    set.wireless.wifi_device[0].country='FR'
    set.wireless.wifi_device[1].country='FR'

    set.wireless.wifi_iface[0].mode='ap'
    set.wireless.wifi_iface[1].mode='ap'

    set.wireless.wifi_iface[0].network='lan'
    set.wireless.wifi_iface[1].network='lan'

    set.wireless.wifi_iface[0].encryption='sae-mixed'
    set.wireless.wifi_iface[1].encryption='sae'

    set wireless.wifi_iface[0].ssid='Votre_SSID'
    set.wireless.wifi_iface[1].ssid='Votre_SSID'

    set wireless.wifi_iface[0].key='Votre_Passphrase'
    set.wireless.wifi_iface[1].key='Votre_Passphrase'
EOF
uci commit

DHCP

Il est critique de désactiver l’utilisation du serveur DHCP interne au point d’accès, pour deux raisons :

• s’assurer que seul le serveur DHCP du routeur principal envoie les trames nécessaires à la connexion des périphériques wifi
• lors des mises-à-jours du point d’accès, le serveur DHCP du point d’accès va être réactivé !

1. Désactivez le serveur DHCP du point d’accès se fait, par le biais de LUCI, en cliquant sur le menu System > Startup puis de cliquer sur le bouton [ Enable ] relatif à dnsmaq (normalement en ligne 19) pour le désactiver puis appuyer sur le bouton [ Stop ].
2. Modifiez le fichier /etc/config/dhcp pour ajouter l’option suivante option ignore '1' dans la section config dhcp 'lan' ; supprimez aussi toutes les options relatives à IPv6 !

Exemple :

config dhcp 'lan'
    option interface 'lan'
    option start '100'
    option limit '150'
    option leasetime '12h'
    option ignore '1'
    option dhcpv4 'disabled'
    option dhcpv6 'disabled'
    option ndp 'disabled'
    option ra 'disabled'

L’utilisation de l’option ignore activée est le seul moyen actuel de permettre à ce que le routeur répéteur n’utilise absolument que les paquets envoyés par le serveur DHCP du routeur principal, même si son propre serveur DHCP est actif (ce qui sera malheureusement le cas lors des mises-à-jours d’OpenWRT).

L’utilisation de la commande uci :

uci batch << EOF
    set dhcp.lan.ignore='1'
EOF
uci commit

# Attention à bien assimiler qu'au prochain `sysupgrade`, le service sera à nouveau activé :
service dnsmasq stop
service dnsmasq disable

Maintenant que ces différentes configurations ont été faites, le plus simple reste de démarrer le répéteur et de profitez de l’usage du wifi.

WAN → LAN

Transformer le port WAN en port LAN est possible.

Par défaut, les ports WAN et WAN6 sont configurés dans OpenWRT ; il faut donc supprimer les configurations relatives dans le fichier /etc/config/network puis ajouter l’interface wan au pont br-lan, tel que :

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'lan1'
    list ports 'lan2'
    list ports 'lan3'
    list ports 'lan4'
    list ports 'wan'

Et supprimez dans le même fichier les informations relatives à WAN / WAN6 :

config interface 'wan'
    option device 'wan'
    option proto 'dhcp'

config interface 'wan6'
    option device 'wan'
    option proto 'dhcpv6'

Par le biais d’uci :

uci batch << EOF
    set network.@device[0].ports='lan2' 'lan3' 'lan4' 'wan'
    set network.wan.disabled='1'
    set network.wan6.disabled='1'
EOF
uci commit

TL;DR

À vous de modifier selon votre matériel, le résumé ci-dessous - pour mieux comprendre de quoi il s’agit, soit vous lisez l’ensemble de l’article, soit vous allez sur le documentation officielle !

uci batch << EOF
    set network.lan.dns='192.168.1.1'
    set network.lan.ipaddr='192.168.1.3'
    set network.lan.netmask='255.255.255.0'
    set network.lan.gateway='192.168.1.1'
    set network.lan.proto='static'

    set.wireless.wifi_device[0].country='FR'
    set.wireless.wifi_device[1].country='FR'

    set.wireless.wifi_iface[0].mode='ap'
    set.wireless.wifi_iface[1].mode='ap'

    set.wireless.wifi_iface[0].network='lan'
    set.wireless.wifi_iface[1].network='lan'

    set.wireless.wifi_iface[0].encryption='sae-mixed'
    set.wireless.wifi_iface[1].encryption='sae'

    set wireless.wifi_iface[0].ssid='Votre_SSID'
    set.wireless.wifi_iface[1].ssid='Votre_SSID'

    set wireless.wifi_iface[0].key='Votre_Passphrase'
    set.wireless.wifi_iface[1].key='Votre_Passphrase'

    set dhcp.lan.ignore='1'
    set dhcp.lan.dhcpv4='disabled'
    set dhcp.lan.dhcpv6='disabled'
    set dhcp.lan.ndp='disabled'
    set dhcp.lan.ra='disabled'

    set network.@device[0].ports='lan2' 'lan3' 'lan4' 'wan'
    set network.wan.disabled='1'
    set network.wan6.disabled='1'
EOF
uci commit

Remerciement

Je tiens à remercier @salim/jdh.net pour ses judicieuses remarques à-propos d’uci !

Documentation

• Le guide actuel, en anglais, se trouve sur : https://openwrt.org/docs/guide-user/network/wifi/wifiextenders/bridgedap

Le propos de cet article est d’ajouter unbound pour permettre les requêtes DNS (Domain Name Service) sur le protocole DoT (DNS-over-TCP) , tout en modifiant légèrement dnsmasq, installé par défaut.

Le but est de :

• chiffrer le trafic DNS afin d’améliorer la confidentialité de celui-ci.
• prévenir d’une fuite DNS et les détournements de votre trafic DNS
• bypasser les restrictions régionales ou celles du FAI (Fournisseur d'Accès Internet) .

Installation

Installons les paquets nécessaires : unbound unbound-control luci-app-unbound

:# opkg update
:# opkg install unbound unbound-control luci-app-unbound

Il peut être utile d’installer ces autres paquets liés à unbound :

• unbound-checkconf : qui permet de s’assurer de la conformité de la configuration
• unbound-control-setup : qui permet d’installer/créer les certificats nécessaires pour le contrôle de l’outil
• unbound-host : pour tester…

Configuration

dnsmasq

Éditons le fichier de configuration du serveur dnsmasq /etc/config/dhcp, pour s’assurer des deux options suivantes :

option noresolv '1'
list server '127.0.0.1#531'

• la première oblige à ne pas utiliser le fichier /etc/resolv.conf
• la seconde oblige à rediriger les requêtes DNS localement vers le port choisi, ici 531.

Bien-sûr, ces options peuvent être modifiées directement par LuCI :

• onglet ‘Resolv and Hosts Files’ > option Ignore resolv file, pour la première
• onglet ‘General Settings’ > option DNS forwardings, pour la seconde.

Quant à l’usage de la commande uci dans votre terminal :

uci set dhcp.@dnsmasq[0].noresolv='1'
uci set dhcp.@dnsmasq[0].server='127.0.0.1#531'
uci commit

Pensez à redémarrer le service dnsmasq !

unbound

La chose la plus simple est d’activer Unbound, et de cocher l’option Manual Conf pour modifier manuellement le fichier de configuration, au-travers de LuCI. Ajoutez vos réseaux dans l’option Trigger Networks, à-minima lan.

• Fichier de configuration : /var/lib/unbound/unbound.conf

Les changements minimum à faire correspondent aux variables suivantes :

server:
(…)
    port: 531
    do-ip4: yes
    do-ip6: yes
    do-tcp: yes
    hide-identity: yes
    hide-version: yes
    qname-minimisation: yes
    prefetch: yes
    rrset-roundrobin: yes
    minimal-responses: yes
    tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"
(…)

À-propos du numéro de port choisi, ici 531 : non, on ne choisit pas 5353 qui est réservé normalement au service mdns ; bien-sûr, vous pouvez le modifier, faites-le en conséquence dans la configuration de dnsmasq, mais veillez à le choisir dans le contexte des numéros de ports privilégiés, à savoir en deçà des 1024 premiers…

⇒ Pensez absolument à ajouter/modifier des variables access-control pour n’autoriser que :

    access-control: 0.0.0.0/0 refuse
    access-control: ::0/0 refuse
    access-control: 127.0.0.0/8 allow
    access-control: ::1 allow

Puis à déclarer l’adressage IPv(4|6) de votre LAN, voire de votre Wifi…

Il est nécessaire ensuite de modifier la section forward-zone :

forward-zone:
    name: "."
    forward-tls-upstream: yes

Puis d’ajouter toutes les adresses IP de serveurs concernés par DoT ; bien-sûr les deux protocoles IPv4 et IPv6 sont fonctionnels.

    forward-addr: 9.9.9.9@853       # Quad9
    forward-addr: 1.1.1.1@853       # Cloudflare
    forward-addr: 149.112.112.112@853       # Quad9 secondaire
    forward-addr: 1.0.0.1@853       # Cloudflare secondaire
    forward-addr: 2620:fe::fe@853       # Quad9 / IPv6
    forward-addr: 2606:4700:4700::1111@853  # Cloudflare / IPv6
    forward-addr: 2606:4700:4700::1001@853  # Cloudflare secondaire / IPv6

Cet exemple ci-dessus montre l’usage des “grands” de ce monde… Voici pour le propos des alternatives intéressantes :

    # FDN DoT
    forward-addr: 80.67.169.12@853
    forward-addr: 80.67.169.40@853
    forward-addr: 2001:910:800::12@853
    forward-addr: 2001:910:800::40@853
    # dns.sb
    forward-addr: 185.222.222.222@853
    forward-addr: 45.11.45.11@853
    forward-addr: 2a09::@853
    forward-addr: 2a11::@853
    # dns4eu
    forward-addr: 86.54.11.11@853
    forward-addr: 86.54.11.211@853
    forward-addr: 2a13:1001::86:54:11:11@853
    forward-addr: 2a13:1001::86:54:11:211@853
    # dot.bortzmeyer.fr
    forward-addr: 193.70.85.11@853
    forward-addr: 2001:41d0:302:2200::180@853
    # applied-privacy.net
    forward-addr: 146.255.56.98@853
    forward-addr: 2a02:1b8:10:234::2@853
    # cleanbrowsing.org: family filter https://cleanbrowsing.org/filters/
    forward-addr: 185.228.168.168@853
    forward-addr: 185.228.169.168@853
    forward-addr: 2a0d:2a00:1::@853
    forward-addr: 2a0d:2a00:2::@853
    # cz.nic
    #forward-addr: 193.17.47.1@853
    #forward-addr: 185.43.135.1@853
    #forward-addr: 2001:148f:ffff::1@853
    #forward-addr: 2001:148f:fffe::1@853
    # dnsforfamily.com
    forward-addr: 78.47.64.161@853
    forward-addr: 94.130.180.225@853
    forward-addr: 2a01:4f8:1c0c:40db::1@853
    forward-addr: 2a01:4f8:1c17:4df8::1@853
    # he.net
    #forward-addr: 74.82.42.42@853
    #forward-addr: 2001:470:20::2@853
    # libredns.gr
    forward-addr: 116.202.176.26@853
    forward-addr: 2a01:4f8:1c0c:8274::1@853
    # dns4all
    forward-addr: 194.0.5.3@853
    forward-addr: 194.0.5.64@853
    forward-addr: 2001:678:8::3@853
    forward-addr: 2001:678:8::64@853

Voilà pour la configuration de base, qui doit/devrait permettre d’utiliser unbound conjointement avec dnsmasq.

Pensez impérativement à redémarrer le service unbound !

Vérifications

Si vous avez eu l’idée d’installer l’outil unbound-checkconf, c’est le moment de l’exécuter pour vérifier que les modifications/écritures faites dans le fichier de configuration sont correctes. Si tout va bien, l’outil vous retournera ce message d’information :

:# unbound-checkconf
unbound-checkconf: no errors in /var/lib/unbound/unbound.conf

S’il y a des erreurs, il vous dira où !

Si vous avez eu l’idée d’installer l’outil unbound-host, il sera possible de tester la connexion qui devrait être sécurisée, de telle manière, par exemple :

:# unbound-host -vf /var/lib/unbound/root.key com.
com. has no address (secure)
com. has no IPv6 address (secure)
com. has no mail handler record (secure)

Faites de même pour les adresses www.ripe.net, www.afnic.fr, dnssec.cz. La mention (secure) assure de la connexion sécurisée.

Contrôler

Un petit laïus à-propos du fait de contrôler le fonctionnement d’unbound. Il est nécessaire d’initialiser le paramètrage :

:# unbound-control-setup
setup in directory /var/lib/unbound/
generating unbound_server.key
Generating RSA private key, 3072 bit long modulus
...............................................................................................................++
............................................................++
e is 65537 (0x10001)
generating unbound_control.key
Generating RSA private key, 3072 bit long modulus
........................................................................++
..................++
e is 65537 (0x10001)
create unbound_server.pem (self signed certificate)
create unbound_control.pem (signed client certificate)
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Puis de modifier le fichier de configuration d’unbound, pour ajouter/décommenter la section remote-control, tel que :

remote-control:
    control-enable: yes
    control-interface: 127.0.0.1
    control-interface: ::1
    control-port: 8953
    control-use-cert: no
    server-key-file: "/var/lib/unbound/unbound_server.key"
    server-cert-file: "/var/lib/unbound/unbound_server.pem"
    control-key-file: "/var/lib/unbound/unbound_control.key"
    control-cert-file: "/var/lib/unbound/unbound_control.pem"

Après avoir redémarré le service, il ne reste plus qu’à tester avec l’outil unbound-control, tel que pour l’exemple :

:# unbound-control -s ::1 status
version: 1.17.0
verbosity: 1
threads: 4
modules: 2 [ validator iterator ]
uptime: 3482 seconds
options: reuseport control
unbound (pid 32307) is running...

Il est ainsi possible de connaître la valeur de toute option par l’usage de l’option get_option suivie du nom de l’option. De même, il reste possible de faire un dump du cache pour analyse du flux, par le biais de l’option dump_cache redirigé vers un nom de fichier.

Voilà, c’est terminé.

Documentation

• Et sinon, OpenWRT peut aussi agir en tant que proxy DoH (DNS-over-HTTPS) ; n’hésitez pas à lire : OpenWRT : proxy DNS DoH

Enjoy-ID!
Enjoy-IT!

La virtualisation de machine virtuelle sous OpenBSD est officiellement disponible nativement dans le système de base depuis OpenBSD 5.9.

• Version : native
• OS : OpenBSD 7.0 → 7.2

Pour rappel : utiliser le virtualisateur vmd d’OpenBSD a quelques restrictions, dont celles de ne pas pouvoir utiliser d’interface graphique, …

Pré-requis

Il est nécessaire que votre machine sur laquelle vous souhaitez virtualiser ait un CPU compatible avec les fonctions adéquates. Pour le vérifier, tapez dans votre terminal/console la commande suivante :

:$ dmesg | egrep '(VMX/EPT|SVM/RVI)'

La réponse du système doit être :

⇒ pour CPU Intel :

vmm0 at mainbus0: VMX/EPT

⇒ pour CPU Amd :

vmm0 at mainbus0: SVM/RVI

Si aucune ligne n’apparaît, aucune virtualisation ne sera possible. Par acquis de conscience, vérifiez votre BIOS|UEFI que celle-ci ne soit pas désactivée.

Il est nécessaire d’installer le firmware vmm pour que le kernel gère.

:# fw_update vmm

Par convention, créons un répertoire ‘‘vm’’ dans notre répertoire personnel, et nous travaillerons à partir de celui-ci :
:$ mkdir vm && cd vm

Précisions réseaux

• L’interface vether0 de l’hôte aura pour adresse IPv4 : 192.168.0.1, cette adresse IP sera l’adresse de la passerelle pour l’interface réseau de la VM.
• L’interface enp0s3 de la VM Debian aura pour adresse IPv4 : 192.168.0.2
• Dans les deux cas, le masque de réseau est de 24 bits.
• La passerelle de la VM sera l’adresse IP de l’interface vether ;)
• Les serveurs DNS renseignés dans le fichier /etc/resolv.conf de la VM sont les serveurs publics de la FDN, respectueux de la confidentialité…
• Ces même serveurs DNS peuvent être renseignés dans la règle PF de redirection de flux DNS vers la VM.
• Cet article ne montre rien concernant, ou si peu, le fonctionnement avec le protocole IPv6, mais les principes ci-dessus s’appliquent, pourvu que vous comprenez ce que vous faites.

Création de l’image qcow2

Dans les deux cas présentés, nous commencerons par créer la VM, très simplement avec l’outil natif à OpenBSD, nommé vmctl :

:$ vmctl create -s 50G ~/vm/bullseye.qcow2

Téléchargement de l’iso Debian

Téléchargeons l’iso Debian :

:$ ftp https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/{debian-11.5.0-amd64-netinst.iso,SHA512SUMS}

Une fois téléchargée, vérifions sa somme de contrôle : \

:$ sha512 -C SHA512SUMS debian-10.1.0-amd64-netinst.iso
(SHA512) debian-10.1.0-amd64-netinst.iso: OK

Si OK, alors c’est bon… sinon, re-téléchargez !

Configuration

• Le fichier de configuration : /etc/vm.conf.

switch "sw" {
    interface bridge0
}

vm "bullseye" {
    disable
    memory 1G
    cdrom /home/id/vm/debian-11.5.0-amd64-netinst.iso
    disk /home/id/vm/bullseye.qcow2
    interface { switch "sw" }
    owner votre-identifiant
}

Bien sûr, remplacez :

• /home/id par votre répertoire home
• votre-identifiant par votre identifiant de session

Vérifiez la configuration à l’aide de l’option -n de vmd :

:$ vmd -n

Après avoir configuré les interfaces réseaux, il faut maintenant démarrer le service de gestion des VMs :
:# rcctl enable vmd && rcctl start vmd

puis il faut s’occuper de la traduction d’adresses réseaux, et aussi des règles du parefeu…

Interfaces réseaux

Créons les interfaces réseaux nécessaires que sont vether0 et bridge0 qui permettront un contrôle fin de l’adressage IP et des règles PF.

bridge0

Le fichier relatif est /etc/hostname.bridge0 :

:# echo "add vether0" > /etc/hostname.bridge0

vether0

Le fichier relatif est /etc/hostname.vether0 :

:# echo "inet 192.168.0.1 255.255.255.0" > /etc/hostname.vether0

Une fois les fichiers d’interfaces créés, donnez des droits 0600 dessus, puis démarrez les deux interfaces :

:# chmod 0600 /etc/hostname.{bridge,vether}0
:# sh /etc/netstart {bridge,vether}0

NAT

Dans ce contexte où la VM invitée est sur un segment réseau différent de l’hôte, il faut autoriser la redirection des paquets IP, pour que la VM puisse communiquer sur Internet - ne serait-ce que pour faire les mises à jour…

:# sysctl net.inet.ip.forwarding=1
:# sysctl net.inet6.ip6.forwarding=1

La première ligne est pour IPv4, la seconde pour IPv6.

Puis, pour garder les paramètres au redémarrage, modifiez le fichier /etc/sysctl.conf pour ajouter :
net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1

PF

• le fichier de configuration /etc/pf.conf

Ajouter au moins les règles suivantes :

(…)
domain = "80.67.169.12 80.67.169.40"

match out on egress from (vether0:network) to any nat-to (egress)

(…)

pass in quick proto { udp tcp } from (vether0:network) to any port domain rdr-to { $domain } port domain
pass on vether0 from 127.0.0.1 to any
pass on vether0 from (vether0:network) to any

(…)

• La première règle indique que tout ce qui vient du réseau lié à l’interface vether0 doit être traduit (NATé) vers les adresses IP faisant partie du groupe egress.
• La deuxième règle demande à ce que tout flux entrant qui vient du service domain (port 53) sur les protocoles udp et tcp depuis le réseau lié à l’interface vether0 soit redirigée vers le service en question.
  Les adresses IPv4 80.67.169.12 et 80.67.169.40 sont celles des serveurs DNS publics de la FDN. Elles peuvent être très bien celle de tout autre serveur DNS.
• La troisième règle autorise tout ce qui passe en entrée et en sortie sur l’interface vether0 depuis l’interface locale vers ailleurs…
• Quant à la quatrième, elle autorise tout du réseau, en entrée et en sortie, lié à l’interface vether0 vers partout !

Installation

• Démarrer la VM pour l’installation :
  :$ vmctl start -c bullseye

• Choisir le menu “Install” - NE PAS APPUYEZ sur la touche ENTRÉE ; appuyez sur la touche TAB pour éditer le menu. Il va falloir corriger la ligne :
  > /install.amd/vmlinuz vga=788 initrd=/install.amd/initrd.gz --- quiet en
  > /install.amd/vmlinuz vga=off initrd=/install.amd/initrd.gz --- quiet console=ttyS0,115200n8 ;
  une fois, transformée, appuyez sur la touche ENTRÉE !

Le reste de l’installation de Debian se fait comme tout autre installation…

Lors de la configuration réseau, pensez bien à paramétrer la VM correctement, si nécessaire, revoyez le chapitre sur les précisions réseaux.

Une fois l’installation terminée, ne redémarrez pas par le biais de l’installateur, choisissez d’exécuter le shell, puis écrivez la commande :
:# halt afin d’arrêter la VM proprement !

Pour finir

Une fois que vous avez fini l’installation de Debian dans votre VM, que vous avez fait les derniers réglages nécessaires pour son bon fonctionnement, pensez à éditer à nouveau le fichier /etc/vm.conf :

• Supprimer/commenter toute écriture relative à la déclaration cdrom…
• Remplacer le mot clé disable par enable pour la VM Debian - si vous désirez que la VM correspondante démarre, soit lors du démarrage de votre machine, si et seulement si le service vmd est bien actif et démarré lors du processus de démarrage machine, soit lorsque vous redémarrez le service vmd par vos soins.

Voilà !

Dépannage

vmctl vmm bios firmware not found

Vous n’avez tout simplement pas installé le firmware vmm !

vmx_fault_page: uvm_fault returns 14, GPA=0xffffca78, rip=0xfbd49

Si vous avez ce message d’erreur ou similaire dans dmesg, de fait malheureusement, vous ne pourrez pas faire de la virtualisation ! :(

Voici un exemple - en anglais - de CPU Intel patché L1TF où le média de démarrage n’était pas trouvé.

Documentations

FAQ

• Merci de lire la documentation officielle FAQ Virtualisation (EN), ou sa traduction officieuse FR.

manpage

• vmctl(8) , vmd(8) , vm.conf(5) , vmm(4)

VM guest sur le même réseau que l’hôte.

Oui, il est possible que la VM invitée fasse partie du même segment IP que celui de votre hôte.

J’explique le propos dans cet article : [OpenBSD :: Virtualisation] Hôte et invité(s) sont sur le même bateau

Si jamais vous vous y essayer après cet article, comprenez bien :

• le fonctionnement réseau, IP, les interfaces virtuelles bridge, vether, mais aussi et surtout tap.
• que les règles du parefeu sont de fait différentes et son fonctionnement, aussi !
• et que non, dans ce cas, il n’y a pas besoin de la redirection NAT, donc il vous faudra supprimer/commenter les modifications sysctl.

Mais tout est fait dans l’article, pour que vous compreniez bien le propos.

Enjoy-IT!
Enjoy-ID!

En 2018, je me suis posé la question de la gestion des enregistrements TLSA, selon le protocole DANE, lié au protocole de sécurité DNSSEC, dans mes zones DNS. (cf: DNS: Générer un enregistrement TLSA) - je vous invite à le lire…

Certains vont utiliser l’outil knot, fourni en tant que paquet sous OpenBSD, car ils trouvent complexe à gérer. Mais nous verrons avec un peu d’astuces comment gérer cela de manière automatisé en shell, sous OpenBSD.

Pour rappel, mon service DNS fonctionne depuis plus de 4 ans, sous OpenBSD grâce au logiciel natif nsd. La gestion des enregistrements DNSSEC se fait grâce aux outils ldns à installer en tant que paquet tiers. J’utilise dans les faits l’outil ldnscript qui permet de gérer la création des clés nécessaires puis s’occupe de gérer les enregistrements DNSSEC adéquats.

⇒ En Juin 2022, j’ai décidé de basculer du chiffrement RSA par l’utilisation de l’algorithme à courbes elliptiques nommés ECDSA.

Avant d’aller plus loin en ce sens, passons à l’installation des prérequis nécessaires :

Installation

ldnscript

Pour me rappeler comment faire, je me suis fait le petit mémo suivant :

1. installer les binaires nécessaires :
   $ doas pkg_add ldns-utils git
   

2. télécharger et installer ldnscripts

$ cd /usr/local/src/
$ doas mkdir ldnscripts
$ doas chown $USER ldnscripts
$ git clone https://framagit.org/22decembre/ldnscripts.git
$ cd ldnscripts
$ doas make install

3. configurer le fichier /etc/ns/ldnscript.conf

; SHA256 est largement suffisant et sécuritaire
ALG=ECDSAP256SHA256 
NSEC3_ALG=SHA-256

4. initialisation du domaine
   $ doas ldnscript init domain.tld

5. nécessité de créer un lien symbolique /usr/bin/dig vers /usr/sbin/dig :
   $ doas ln -sf /usr/bin/dig /usr/sbin/dig
   (sans ce dernier point, l’outil ldnscript ne pourra trouver le binaire dig et donc refusera de fonctionner en se mettant en erreur).

Configuration

/etc/monthly.local

Tous les mois, je crée le rollover nécessaire des clés en intégrant dans le script /etc/monthly.local, le code shell suivant :

### ldnscript
printf '%s\n' "=> ldnscript rollover"
/usr/local/sbin/ldnscript rollover all

Let’s Encrypt

Dans la foulée, du rollover des clés DNSSEC, mon script interroge les services Let’s Encrypt pour savoir s’il faut un renouvellement des certificats pour les noms de domaines que j’utilise.

Normalement, on utiliserait le client acme natif sous OpenBSD, mais ayant eu certains déboires, j’ai décidé de basculer sur l’usage de certbot.

Une simple écriture shell suffit pour le renouvellement :
/usr/local/bin/certbot renew --pre-hook "rcctl stop nginx" --post-hook "rcctl start nginx"

(en effet, j’utilise aussi le serveur nginx, en lieu et place du serveur web natif httpd - mais il suffit de remplacer le nom du service, si jamais c’est votre cas).

Bien-sûr, cette partie n’entre pas directement en ligne de compte de la gestion DNS. Néanmoins, c’est important à prendre en compte car lors du renouvellement de certificat, il est nécessaire de regénérer les enregistrements TLSA - nous verrons ce point plus tard.

Exemple zone DNS

Voici pour l’exemple une zone DNS minimaliste, gérée par le serveur ns :

$TTL 1H
$ORIGIN domain.tld.
@   IN  SOA domain.tld. dns.domain.tld. (
    2022090101 ;
    3H ; refresh
    1H ; retry
    2W ; expire
    1H ; negative
)
                    
@   IN NS   ns1.domain.tld.
@   IN NS   ns2.domain.tld.

@   IN A    46.23.90.29
    IN AAAA 2a03:6000:6e65:619::29

; enregistrement CAA
@    IN CAA  0 iodef "mailto:mail@domain.tld"
@    IN CAA  0 issue "letsencrypt.org"
@    IN CAA  0 issuewild "letsencrypt.org"

www IN A    46.23.90.29
    IN AAAA 2a03:6000:6e65:619::29

; TLSA
_443._tcp.domain.tld. IN TLSA 3 1 2 5c8fdd68178ce4cd8d88bd90b82a96df41674d555340b88283c24a0b3416aa375144cd6c16a58160ba3b168e59f5003bff656ce67cb24931b462fe4910bd62f5

shell

Générer un Enregistrement TLSA

En shell, générer un enregistrement TLSA n’est pas compliqué :

openssl x509 -noout -pubkey -in "${cert}" | openssl "${command}" -pubin -outform der 2>/dev/null | "${algo}" | tr "a-z" "A-Z"

Explications :

⇒ La commande ci-dessus nous permet de générer une variable intermédiaire nommée tlsa_cert_associated où :

• la variable $cert est le nom du chemin absolu du certificat TLS serveur, dans le système de fichier du serveur, lié au domaine cible.
• la variable $command est le nom de la commande utilisée par OpenSSL, soit rsa ou ec (réciproquement pour les enregistrements selon le chiffrement RSA ou ECDSA).
• et, où la variable $algo est le nom de l’utilitaire sha256, ou sha512, au choix personnel et restituera un condensé de message lié à l’algorithme choisi.

⇒ l’écriture relative à l’enregistrement TLSA est aussi simple :

tlsa_record="_${tls_port}._${tls_proto}.${domain}. IN TLSA ${tlsa_usage} ${tlsa_selector} ${tlsa_method} ${tlsa_cert_associated}"

où :

• ${tls_port} est le numéro de port du serveur web utilisé, ici 443
• ${tls_proto} est le nom du protocole utilisé, ici tls
• ${domain} est le nom de domaine cible
• ${tlsa_usage} est le chiffre correspondant à la contrainte utilisée, ici 3, correspondant à la contrainte DANE-EE, et recommandée par Let’s Encrypt.
• ${tlsa_selector} est le chiffre correspondant au nom de sélecteur utilisé, ici 1, correspondant au sélecteur SPKI, là aussi recommandé par Let’s Encrypt.
• ${tlsa_method} étant la méthode utilisant l’algorithme de chiffrement choisi ; ici SHA256, qui offre un niveau actuel de chiffrement dit sécurisé et tout autant recommandé par Let’s Encrypt.
• et pour finir la variable tlsa_cert_associated précédemment créée.

Vérifier un Enregistrement TLSA

Vérifier un enregistrement TLSA est un poil plus compliqué ; il faut :

1. 1/ interroger le serveur DNS pour connaître l’enregistrement TLSA actuel par le biais de l’outil dig, pour l’exemple.
2. 2/ le comparer avec la sortie fournie par l’outil openssl qui va interroger le certificat installé sur le serveur web utilisé, lié au nom de domaine en question.

• interroger le serveur DNS se fait ainsi :

tlsa="$(dig TLSA _443._tcp."${domain}" +short)"
d_tlsa="$(echo "${tlsa}" | awk '{ for(i=4;i<=NF;++i) printf "%s", tolower($i); print "" }')"

• utiliser openssl pour interroger le certificat TLS utilisé sur le serveur web :

tlsa="$(echo | openssl s_client -servername "${domain}" -showcerts -connect "${domain}":443 2>/dev/null | openssl x509 -noout -pubkey | openssl pkey -outform der -pubin 2>/dev/null | openssl dgst -"${algo}" 2>/dev/null )"
o_tlsa="$(echo "${tlsa}" | awk -F'=' '{ print $2 }' | tr -d ' ')"

Pour finir, il suffit vraiment de comparer les deux variables shell d_tlsa et o_tlsa pour savoir si elles correspondent, ce qui en temps normal doit être le cas. Sauf en cas, de renouvellement de certificat TLS, qui nécessitera donc de renouveller l’enregistrement TLSA, dans la zone du nom de domaine en question, sur le serveur DNS.

Pour rappel, si cela n’est pas fait, une interrogation du serveur DNS sur le protocole DNSSEC générera une erreur puisque l’enregistrement TLSA ne correspondra pas un certificat web fraîchement utilisé, ou renouvellé, ce qui va entraîner cette conséquence : l’accès au serveur, lié au nom de domaine cible, sera impossible.

Il faudra donc générer un nouvel enregistrement TLSA correspondant au renouvellement du certificat TLS, puis régénerer la signature des enregistrements DNSSEC liés à la zone DNS du domaine cible.

Scripts Shell

Pour info, les scripts shell tlsa.sh, dns.conf, dns.ksh sont écrits dans un répertoire nommé dns-tools dans le répertoire personnel. À vous de voir où vous désirez les mettre, et modifier le script mensuel.

monthly.local

Voici la teneur de mon script shell monthly.local :

#!/bin/sh

### ldnscript
printf '%s\n' "=> ldnscript rollover"
/usr/local/sbin/ldnscript rollover all

### renew ssl by certbot
printf '%s\n' "=> renew letsencrypt certs"
/usr/local/bin/certbot renew --pre-hook "rcctl stop nginx" --post-hook "rcctl start nginx"

### check tlsa records for domain; only for tcp:443
for domain in "sub.domain.tld" "domain.tld" "www.domain.tld" "sub.domain2.tld" "domain2.tld" "www.domain2.tld"; do
	printf '%s\n' "=> Test TLSA for ${domain}"
	/home/-your-user-/dns-tools/tlsa.sh "${domain}"
done

(…)

tlsa.sh

Voici mon script shell nommé tlsa.sh :

#!/bin/sh
set -e
#set -x

########################################################################
#
# Author: Stéphane HUC
# mail: devs@stephane-huc.net
# gpg:fingerprint: CE2C CF7C AB68 0329 0D20  5F49 6135 D440 4D44 BD58
#
# License: BSD Simplified
#
# Github: 
#
# Date: 2022/07/01 06:45
#
########################################################################
#
# Purpose: tool  to test TLSA record
#  - for the geek: DANE-TLSA...
#
# Needed tools: dig, openssl
#
# OS: Tested on OpenBSD, Devuan
#
########################################################################
###
##
# see: https://www.bortzmeyer.org/monitor-dane.html
##
###
########################################################################

ROOT="$(dirname "$(readlink -f -- "$0")")"

. "${ROOT}/dns.conf"

dir_admin="/home/-your-user-/dns-tools"
domain="$1"
### DO NOT TOUCH!
d_tlsa=''	# TLSA record by dig
o_tlsa=''	# TLSA record by openssl
tlsa_record=''	# TLSA record 
tlsa_method=2

########################################################################
####
##
#   All needed functions! DO NOT TOUCH-IT!
##
###
########################################################################

byebye() {

    mssg "KO" "Script stop here!"
    mssg "KO" "Please, search to understand reasons."
    exit 1

}

check_uid() {

    if [ "$(id -u)" -ne 0 ]; then

        mssg "KO" "ERROR: Script not launch with rights admin!"
        byebye

    fi

}

_dig() {
	
	tlsa="$(dig TLSA _443._tcp."${domain}" +short)"
	d_tlsa="$(echo $tlsa | awk '{ for(i=4;i<=NF;++i) printf "%s", tolower($i); print "" }')"
	
}

_openssl() {
	
	tlsa="$(echo | openssl s_client -servername "${domain}" -showcerts -connect "${domain}":443 2>/dev/null | openssl x509 -noout -pubkey | openssl pkey -outform der -pubin 2>/dev/null | openssl dgst -"${algo}" 2>/dev/null )"
	o_tlsa="$(echo $tlsa | awk -F'=' '{ print $2 }' | tr -d ' ')"
	
}

mssg() {

    typeset statut info text
    statut="$1" info="$2"

    case "${statut}" in
        "KO") text="[ ${red}${statut}${neutral} ]    ${info}" ;;
        "OK") text="[ ${green}${statut}${neutral} ]   ${info}" ;;
        #*) mssg="${text}" ;;
    esac

    printf "%s \n" "${text}"

    unset info statut text

}

new_tlsa() {
	
	cert="/etc/letsencrypt/live/${domain}/cert.pem"
	
	case "${le_key_type}" in 
		"ecdsa")
			tlsa_cert_associated="$(openssl x509 -noout -pubkey -in "${cert}" | openssl ec -pubin -outform der 2>/dev/null | "${algo}")"
		;;
		"rsa")
			tlsa_cert_associated="$(openssl x509 -noout -pubkey -in "${cert}" | openssl rsa -pubin -outform der 2>/dev/null | "${algo}")"
		;;
	esac
	
	tlsa_record="_${tls_port}._${tls_proto}.${domain}. IN TLSA ${tlsa_usage} ${tlsa_selector} ${tlsa_method} ${tlsa_cert_associated}"
	unset tlsa_cert_associated
	
}


########################################################################
####
##
#   Execution
##
###
########################################################################

if [ -z "${domain}" ]; then printf '%s\n' "[ KO ] Script stops here; no domain!"; exit; fi

_dig
_openssl

if [ "${d_tlsa}" = "${o_tlsa}" ]; then
	mssg "OK" "Similar TLSA records! :D"
else
	mssg "KO" "There seems to be a problem with the TLSA records of the domain: ${domain}!"
	printf '%s\n' "Have you renew recently the TLS certs for the domain? If yes, change the TLSA record into the DNS zone relevent!"
	printf '%s\n%s\n' "⇒ Perhaps, the dns.sh script shell can help you. ;-)"
	
	check_uid
	
	printf '%s\n' "⇒ Display new TLSA record:"
	new_tlsa
	printf '%s\n%s\n' "Add/modify tlsa into your DNS zone for ${domain}: " "${tlsa_record}"
	
	printf '%s\n' "⇒ Modify TLSA record into the domain zone for ${domain}"
	"${dir_admin}"/dns.ksh tlsa "${domain}"
	
fi

Modifiez la valeur de la variable dir_admin !

Comme vous pouvez le remarquer :

• il fait appel au fichier de configuration dns.conf, publié ci-dessous
• et si la correspondance des enregistrements TLSA ne se fait pas, il appelle le script pdksh dns.ksh avec l’argument tlsa suivi du nom de domaine à cibler

dns.conf

Voici le fichier de configuration qui sert à la fois pour le script shell tlsa.sh et le script pdksh dns.ksh.

########################################################################
#
# Author: Stéphane HUC
# mail: devs@stephane-huc.net
# gpg:fingerprint: CE2C CF7C AB68 0329 0D20  5F49 6135 D440 4D44 BD58
#
# License: BSD Simplified
#
# Github: https://framagit.org/hucste/AH.git
#
# Date: 2022/06/01 07:20
#
########################################################################
###
##
# Config file to dns.ksh script
##
###
########################################################################

### Algorithm
## values: sha256, sha512; choose-it segun TLSA Method
algo="sha256"
### SOA Serial type
## values: date, timestamp
## DNS recommandation: prefer date
SOA_serial_type="date"
### Port number
tls_port=443
### Protocols
## values: stcp, tcp, udp
tls_proto="tcp"

### TLSA 
## Lets Encrypt Recommandation; 
## 	see: https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022
## usage: Lets Encrypt recommands 3, at least 2
## values: 0 => 3; or (PKIX-TA, PKIX-EE, DANE-TA, DANE-EE; respectivly: 0 -> 3)
tlsa_usage=3
## selector: Lets Encrypt recommands 1
## values: 0 or 1; or (CERT, SPKI; respectively: O or 1)
tlsa_selector=1
## method: Lets Encrypt recommands 1
## values: 0 => 2; or (FULL, SHA256, SHA512; respectively: 0 -> 2)
# this change segun algo
tlsa_method=1

### Key Type Letsencrypt
## rsa or ecdsa
## if ecdsa, specify elliptic curve: secp256r1, secp384r1, secp512r1 (256 is enough)
le_key_type=ecdsa
le_curve=secp256r1

Personnellement, je fais le choix d’utiliser :

• l’algorithme sha512.
• le type de clé ecdsa qui déclenche l’utilisation de la commande ec lors de l’utilisation d’openssl, par les scripts dns.ksh ou tlsa.sh. Il est bien sûr possible d’utiliser rsa ; dans ce cas, les scripts shell n’utiliseront pas la variable le_curve.

dns.ksh

Ce script long et complexe est capable de :

• générer les signatures DNSSEC pour la zone DNS d’un domaine cible.
• modifier l’enregistrement TLSA puis regénérer les signatures DNSSEC ; dans ce cas :
  • récupèrer l’enregistrement de numéro de série SOA en cours dans la zone DNS du domaine cible
  • créer un nouveau fichier de zone DNS et sauvegarder l’actuel
  • si le nouveau fichier de zone DNS est accessible, le script écrit :
    • un nouveau numéro de série SOA
    • remplace l’ancien enregistrement TLSA par le nouveau
    • essaye de signer à nouveau la zone DNS à l’aide du protocole DNSSEC
      • s’il réussit, il supprime l’ancien fichier de zone DNS
      • s’il échoue, il avertit, arrête son exécution et dans ce cas, il faudra renommer à la main la sauvegarde de la zone DNS pour en faire à nouveau l’actuelle, puis chercher à comprendre pourquoi le script à échouer - dans ce cas-là, il est intéressant de positionner la variable debug à 1, ce qui activera la journalisation des différentes étapes, et pourra aider à l’analyse, lors d’une exécution manuelle.

Un petit coup de ./dns.ksh help vous en dira peut-être plus sur son utilisation. ;)

#!/bin/ksh
set -e
#set -x

################################################################################
#
# Author: Stéphane HUC
# mail: devs@stephane-huc.net
# gpg:fingerprint: CE2C CF7C AB68 0329 0D20  5F49 6135 D440 4D44 BD58
#
# License: BSD Simplified
#
# Github: 
#
# Date: 2022/06/01 07:25
#
################################################################################
#
# Purpose: to add a TLSA Record into DNS zone, segun your cert TLS (LE)
#  - for the geek: DANE-TLSA...
#### IMPORTANT: recreate your TLSA Record after (re?)new cert...
#
# Needed tools: nsd* and ldnscript
## ldnscript is a tool to sign dns zone. (DNSSEC)
## https://framagit.org/22decembre/ldnscripts.git
#
# OS: Tested on OpenBSD
#
################################################################################

ROOT="$(dirname "$(readlink -f -- "$0")")"

. "${ROOT}/dns.conf"

################################################################################
###
##
#   DONT TOUCH THOSES VARIABLES!
##
###
################################################################################

debug=0
dir_le="/etc/letsencrypt/live"
dir_ns_cfg="/etc/ns"    # folder config ns
dir_sbin="/usr/local/sbin"
log="${ROOT}/dns-script.log"
nsd_cfg="/var/nsd/etc/nsd.conf"

timestamp="$(date +%s)"
today="$(date +"%Y%m%d")"

server="nsd"

SOA_ns=""

tlsa_record=""
set -A tlsa_records	# if X509 DNS Alternative Names > 1

set -A tlsa_method_names -- "FULL" "SHA256" "SHA512"
set -A tlsa_selector_names -- "CERT" "SPKI"
set -A tlsa_usage_names -- "PKIX-TA" "PKIX-EE" "DANE-TA" "DANE-EE"

NB_PARAMS="$#"
set -A PARAMS -- "$@"

ROOT="$(dirname "$(readlink -f -- "$0")")"

if [ -z "${PARAMS[0]}" ]; then MENU_CHOICE="help"
else
    PARAMS[0]="$(printf '%s' "${PARAMS[0]}" | tr -s "[:upper:]" "[:lower:]")"

    MENU_CHOICE=${PARAMS[0]}
fi

[ -n "${PARAMS[1]}" ] && domain="$(printf '%s' "${PARAMS[1]}" | tr -s "[:upper:]" "[:lower:]")"

################################################################################
####
##
#   All needed functions! DO NOT TOUCH-IT!
##
###
################################################################################

_add_tlsa() {
	
	check_var_algo
	check_var_soa_serial_type
	check_var_tls_port
	check_var_tls_proto
	
	check_tlsa_methods
	check_tlsa_selectors
	check_tlsa_usages
	
	get_soa_ns
	
	danefile="${zonefile}.dane"
	newzonefile="${zonefile}.${today}"
	oldzonefile="${zonefile}.${OLD_SOA_sn}"
	
    create_new_filezone
    
    if [ -f "${newzonefile}" ]; then

		write_soa_serial_number
		
		build_tlsa_record
		write_tlsa_record

		mv_new_file_zone

		if _resign; then del_old_zonefile; fi
		
	fi
	
	unset danefile newzonefile oldzonefile
}

build_needed_variables() {
	
    check_var_domain
    
    printf '%s\n' "*** Build needed variables:"

    # build cert variable if menu 'tlsa'
    if [ "${MENU_CHOICE}" = "tlsa" ]; then
        cert="${dir_le}/${domain}/cert.pem"
        
        if [ ! -f "${cert}" ]; then
			display_mssg "KO" "*** It seems cert file not exists!"
			byebye
		else
			printf '%s\n' "cert: ${cert}"
		fi
    fi

    # build zonedir and zonefile variables
    zonedir="$(awk -F '"' '/zonesdir/ { print substr($2,-1) }' "${nsd_cfg}")"
    if [ -z "${zonedir}" ]; then zonedir="/var/nsd/zones/"; fi
    printf '%s\n' "zonedir: ${zonedir}"

    #zonefile="$(awk -F '"' '/zonefile: "[a-z]*\/'"${domain}"'"/ { print substr($2, -1) }' "${nsd_cfg}")"    
    #if [ "$(printf '%s' "${zonefile}" | awk -F'/' '{ print $1}')" == "signed" ]; then
        ##zonefilesigned=$zonefile        
        #zonefile="$(find "${dir_ns_cfg}" -name "${domain}")"
        #if [ -z "${zonefile}" ]; then zonefile="$(find "${zonedir}" -name "${domain}")"; fi
        #if [ -z "${zonefile}" ]; then
            #display_mssg "KO" "ERROR: It seems zonefile for domain: '${domain}' not exists!"
            #byebye
        #fi
    #else
        #zonefile="${zonedir}${zonefile}"
    #fi
    zonefile="${dir_ns_cfg}/${domain}"
    printf '%s\n' "zonefile: ${zonefile}"
	
}

build_tlsa_record() {

	# get TLSA by reading cert pem
	case "${le_key_type}" in 
		"ecdsa")
			command="ec"
		;;
		"rsa")
			command="rsa"
		;;
	esac
	
	tlsa_cert_associated="$(openssl x509 -noout -pubkey -in "${cert}" | openssl "${command}" -pubin -outform der 2>/dev/null | "${algo}")"
    _log "TLSA Cert Associated: ${tlsa_cert_associated}"
    unset command

    if [ -z "${tlsa_cert_associated}" ]; then
        display_mssg "KO" "ERROR: TLSA Cert Associated could not generated!"
        byebye

    else
        # rebuild tlsa method segun algo choosed; possible: 0 (no match), 1 (sha256), 2 (sha512)
        case "${algo}" in
            "sha256") tlsa_method=1 ;;
            "sha512") tlsa_method=2 ;;
            *) tlsa_method=0 ;;
        esac

		if [ "${tls_port}" = "443" ] && [ "${tls_proto}" = "tcp" ]; then
			get_dns_alternative_names
			count="${#domains[@]}"
			
			if [ "${count}" -eq 1 ]; then
				set_tlsa_record			
			else
				set_tlsa_records
			fi
			
        fi
    fi

    unset tlsa_cert_associated

}

byebye() {

    display_mssg "KO" "Script stop here!"
    display_mssg "KO" "Please, search to understand reasons."
    exit 1

}

check_domain_name() {

    pattern="^(([a-zA-Z0-9]|[a-zA-Z0-9][a-zA-Z0-9\-]*[a-zA-Z0-9])\.)*([A-Za-z0-9]|[A-Za-z0-9][A-Za-z0-9\-]*[A-Za-z0-9])$" # like RFC 1123

    if [ ${#domain} -gt 67 ]; then    # Larg domain name <= 67
        display_mssg "KO" "Error: Domain Length: ${domain}; >= 67 carachters!"
        byebye
    fi

    if printf '%s\n' "${domain}" | grep -Eio "${pattern}"; then
        display_mssg "OK" "Domain Name: ${domain} is valid!"
        sleep 1

    else
        display_mssg "KO" "Error: Bad Domain Name: ${domain}"
        byebye

    fi

    unset pattern

    }

check_tlsa_methods() {

	case "${tlsa_method}" in 
		0|"FULL") 	tlsa_method=0 ;; 
		1|"SHA256") tlsa_method=1 ;;
		2|"SHA512")	tlsa_method=2 ;;
		*)
			display_mssg "KO" "/!\  The TLSA Method: not correctly configurated!"
			byebye
		::
	esac

	_log "TLSA Method: ${tlsa_method}"
	
}

check_tlsa_selectors() {

	case "${tlsa_selector}" in 
		0|"CERT") 	tlsa_selector=0 ;; 
		1|"SPKI") 	tlsa_selector=1 ;;
		*)
			display_mssg "KO" "/!\  The TLSA Selector: not correctly configurated!"
			byebye
		;;
	esac
	_log "TLSA Selector: ${tlsa_selector}"
	
}

check_tlsa_usages() {
	
	case "${tlsa_usage}" in 
		0|"PKIX-TA") 	tlsa_usage=0 ;; 
		1|"PKIX-EE") 	tlsa_usage=1 ;;
		2|"DANE-TA")	tlsa_usage=2 ;;
		3|"DANE-EE")	tlsa_usage=3 ;;
		*)
			display_mssg "KO" "/!\  The TLSA Usage: not correctly configurated!"
			byebye
		;;
	esac
	_log "TLSA Usage: ${tlsa_usage}"
	
}

check_uid() {

    if [ "$(id -u)" -ne 0 ]; then

        display_mssg "KO" "ERROR: Script not launch with rights admin!"
        byebye

    fi

}

check_var_algo () {
	
	if [ "${algo}" != "sha256" ] && [ "${algo}" != "sha512" ]; then
			display_mssg "KO" "/!\ Algorythm: not correctly configurated!"
			byebye
	fi
	_log "Algo: ${algo}"
	
}

check_var_domain() {
	
	if [ -z "${domain}" ]; then
        display_mssg "KO" "*** It seems fault informations!"
        help
        byebye
    fi
    _log "Domain: ${domain}"
	
}

check_var_soa_serial_type() {
	
	if [ "${SOA_serial_type}" != "date" ] && [ "${SOA_serial_type}" != "timestamp" ]; then
			display_mssg "KO" "/!\ SOA Serial Type: not correctly configurated!"
			byebye
	fi
	_log "SOA Serial Type: ${SOA_serial_type}"
	
}

check_var_tls_port(){
	
	if [ "${tls_port}" -lt 0 ]; then
		display_mssg "KO" "/!\ TLS port: not correctly configurated!"
		byebye
	fi 
	_log "TLS port: ${tls_port}"
	
}

check_var_tls_proto() {
	
	if [ "${tls_proto}" != "sctp" ] && [ "${tls_proto}" != "tcp" ] && [ "${tls_proto}" != "tcp" ]; then
			display_mssg "KO" "/!\ TLS proto: not correctly configurated!"
			byebye
	fi
	_log "TLS proto: ${tls_proto}"
	
}

checkconf() {

    nsd-checkconf "${nsd_cfg}"

}

checkzone() {

    nsd-checkzone "${domain}" "${zonefile}"

}

confirm () {

    read -r response?"${1} [y|n] "
    case "${response}" in
        # 'o', 'O': Oui and not 0!
        y|Y|o|O|1)  true ;;
        *)          false ;;
    esac
    unset response

}

create_new_filezone() {
	
	cp "${zonefile}" "${newzonefile}"
	
}

del_old_zonefile() {

    if [ -f "${oldzonefile}" ]; then
        rm -fP "${oldzonefile}"
    fi

}

display_mssg() {

    typeset statut info text
    statut="$1" info="$2"

    case "${statut}" in
        "KO") text="[ ${red}${statut}${neutral} ]    ${info}" ;;
        "OK") text="[ ${green}${statut}${neutral} ]   ${info}" ;;
        #*) mssg="${text}" ;;
    esac

    printf "%s \n" "${text}"

    unset info statut text

}

get_dns_alternative_names() {
	
	# get "X509 DNS Alternative Names" characters
	domains="$(echo | openssl x509 -text -noout -in "${cert}" | awk -F ',' '/DNS:/ { for(i=1;i<NF;i++) { p=match($i,":"); print substr($i,p+1) }}')"
	# convert into array; no double-quotes, else not run!
	set -A domains -- ${domains[@]}
	printf '%s\n' "domains: ${domains[*]}"
	_log "domains: ${domains[*]}"
	
}

get_soa_ns() {
	
	OLD_SOA_sn="$(grep -A1 "SOA" "${zonefile}" | tail -n1 | awk -F ' ' '{ print $1 }')"
	_log "Old SOA Serial Number: ${OLD_SOA_sn}!"
	
}

get_soa_serial_number() {

    OLD_SOA_sn="$(printf '%s\n' "${line}" | awk -F ' ' '{ print $1 }')"
	_log "OLD SOA Serial Number: ${OLD_SOA_sn}"
	
}

help() {

    printf '%s\n' "
    $0 sign domain      # to sign a domain
    $0 tlsa domain      # to add a tlsa record into domain zone
    ----
    when use tlsa, this script will resign the domain zone...
    "

}

init_zone() {

    "${dir_sbin}"/ldnscript init "${domain}"

}

in_array() {
    
    local i=0 need="$1" IFS=" "; shift; set -A array -- $*
    count="${#array[@]}"
    while [ $i -le $count ]; do
        if [ "${array[$i]}" = "${need}" ]; then return 0; fi # true
        #let "i=$i+1"
        (( i=i+1 ))
    done
    return 1
    unset i need IFS array

}

_log() {
	
	if [ "${debug}" -eq 1 ]; then printf '%s\n' "$1" >> "${log}"; fi
	
}

main() {
		
	check_uid
	verify_need_softs
	
	build_needed_variables
	
    check_domain_name

    case "${MENU_CHOICE}" in
        "help") help ;;
        "sign") _resign ;;
        "tlsa") _add_tlsa ;;
        *)
            display_mssg "KO" "ERROR: this option ${MENU_CHOICE} is not exists!"
            help
            byebye
        ;;
    esac

}

mv_new_file_zone() {

    if [ -f "${newzonefile}" ]; then
        mv "${zonefile}" "${oldzonefile}"
        mv "${newzonefile}" "${zonefile}"
    fi

}

_resign() {

    if checkzone && checkconf; then

        display_mssg "OK" "file config nsd and zone ${domain} are good! :D"
        sign_zone

    else

        display_mssg "KO" "ERROR: it exists a problem with file config nsd or zone ${domain}"
        byebye

    fi

}

restart_server() {
    printf '%s\n' "=> Restart Server: "

    stop_server

    start_server

    status_server
}

set_soa_serial_number() {

    case "${SOA_serial_type}" in
        "date")
            SOA_date="$(printf '%s' "${OLD_SOA_sn}" | awk '{print substr($0, 0, 8)}')";
            SOA_number="$(printf '%s' "${OLD_SOA_sn}" | awk '{print substr($0, 9)}')";

            if [ "${SOA_date}" == "${today}" ]; then
                #let SOA_number=$SOA_number+1
                (( SOA_number=${SOA_number}+1 )) || true
                if [ "${SOA_number}" -lt 10 ]; then SOA_number="0${SOA_number}"; fi
                SOA_sn="${SOA_date}${SOA_number}"
            else
                SOA_sn="${today}01"
            fi
        ;;
        "timestamp")
            SOA_sn="${timestamp}"
        ;;
        *)
			display_mssg "KO" "Invalid SOA Serial Type!"
			byebye
        ;;
    esac
    _log "New SOA Serial Number: ${SOA_sn}!"
    
}

set_tlsa_record() {
	
	# build tlsa record
	tlsa_records[0]="_${tls_port}._${tls_proto}.${domains[0]}. IN TLSA ${tlsa_usage} ${tlsa_selector} ${tlsa_method} ${tlsa_cert_associated}"
	_log "TLSA Record: ${tlsa_records[0]}"
	
}

set_tlsa_records() {

	# do not use domain variable here
	i=0
	for dom in "${domains[@]}"; do 
		tlsa_records[$i]="_${tls_port}._${tls_proto}.${dom}. IN TLSA ${tlsa_usage} ${tlsa_selector} ${tlsa_method} ${tlsa_cert_associated}"
		(( i=i+1 ))
	done
	unset i dom
	_log "TLSA Records: ${tlsa_records[*]}"
	
}

sign_zone() {

    "${dir_sbin}"/ldnscript signing "${domain}"

}

start_server() {
    printf '%s\n' "Start serveur: ${server}"
    rcctl start "${server}"
    sleep 1s
}

status_server() {

    printf '%s\n' "Check serveur: ${server}"
    rcctl check "${server}"

}

stop_server() {

    printf '%s\n' "Stop serveur: ${server}"
    rcctl stop "${server}"
    sleep 1s

}

verify_need_softs() {

    if [ ! -f "${dir_sbin}/ldnscript" ]; then
        display_mssg "KO" "ERROR: ldnscript seems not install!"
        byebye
    elif [ ! -x "${dir_sbin}/ldnscript" ]; then
        display_mssg "KO" "ERROR: ldnscript is not executable!"
        byebye
    fi

}

write_soa_serial_number() {

	set_soa_serial_number
	
	if sed -i -e "s#\(.*\)${OLD_SOA_sn} \;#\1${SOA_sn} \;#" "${newzonefile}"; then
		_log "SOA serial number changed!"
	
	else 
		display_mssg "KO" "/!\  Script cant change SOA serial number!"
	fi

}

write_tlsa_record() {
	
	if [ ! -f "${danefile}" ]; then touch "${danefile}"; fi
	
	i=0
    # add tlsa records into dns zone
    for tlsa_record in "${tlsa_records[@]}"; do
		dom="${domains[$i]}"
		_log "domain: $dom"
		### /!\ ERROR with $domain /!\ 
		if sed -i -e "s#_${tls_port}._${tls_proto}.${dom}. IN TLSA\(.*\)#${tlsa_record}#" "${newzonefile}"; then
			_log "TLSA Record rewrited!"
						
		else
			printf '%s\n' "${tlsa_record}" >> "${newzonefile}"
			_log "TLSA Record added!"
		fi
		
		(( i=i+1 ))
		# add record in first line into dane file
		printf '%s\n' "${timestamp}:${tlsa_record}" >> "${danefile}"
		_log "${timestamp}:${tlsa_record}"
		unset dom
    done
    unset i tlsa_record

}

################################################################################

main