DNS est l’un des systemes les plus importants d’un reseau, et l’un des moins visibles.
La plupart des utilisateurs ne le touchent jamais directement. Leur ordinateur, telephone, routeur ou resolver du fournisseur internet fait le travail en arriere-plan. Cette simplicite est utile, mais elle signifie aussi qu’un resolver externe peut voir, influencer, bloquer, rediriger ou journaliser une partie tres revelatrice de l’activite reseau : les domaines demandes.
Technitium DNS Server est interessant parce qu’il redonne cette couche a l’operateur. C’est un serveur DNS open source et multiplateforme qui peut fonctionner comme resolver recursif et serveur autoritatif, avec console d’administration web, forwarders DNS chiffres, blocage publicite et malware au niveau DNS, DNSSEC, DHCP, clustering, logs, statistiques et API HTTP.
Pour un home lab, un petit bureau, une ecole, un foyer sensible a la confidentialite ou une equipe engineering, c’est la difference entre “le DNS vient du routeur” et “le DNS est un plan de controle observable et configurable”.
Ce qu’est Technitium DNS Server
Technitium DNS Server est un serveur DNS open source de TechnitiumSoftware. Le depot le presente comme un serveur DNS a la fois autoritatif et recursif pour auto-heberger le DNS avec un objectif de confidentialite et de securite.
Ce double role compte. Un resolver recursif repond aux clients en resolvant les noms ou en les transmettant en amont. Un serveur autoritatif heberge des zones et repond pour les domaines qu’il controle. Beaucoup d’outils DNS maison se concentrent uniquement sur le filtrage. Technitium est plus large : resolver, serveur autoritatif, moteur de blocklist, serveur DHCP, console d’administration, API HTTP et plateforme d’applications DNS.
Il fonctionne sur Windows, Linux, macOS, Raspberry Pi et Docker. Le projet est implemente en .NET 10 et publie sous licence GPL-3.0.
Pourquoi auto-heberger le DNS ?
DNS est une couche de confidentialite et de controle.
Quand un appareil demande example.com, cette requete peut reveler quels services, applications, fournisseurs, plateformes analytics et systemes internes sont utilises. HTTPS protege le contenu en transit, mais ne fait pas disparaitre automatiquement les metadonnees DNS.
Auto-heberger le DNS donne trois benefices pratiques :
- Visibilite : les logs et statistiques montrent ce que les appareils demandent.
- Controle : blocklists, zones locales et politiques de forwarding modifient la resolution.
- Confidentialite : les protocoles chiffres vers l’amont reduisent l’exposition entre votre resolver et les fournisseurs.
C’est pour cela que Technitium est utile au-dela du home lab. C’est un petit plan de controle reseau.
Les fonctions qui comptent
Technitium DNS Server a une longue liste de fonctions, mais les groupes importants sont faciles a separer.
DNS recursif et autoritatif
Technitium peut fonctionner comme resolver recursif pour les clients et comme serveur DNS autoritatif pour les zones que vous hebergez. Il supporte les zones primaires, secondaires, stub et conditional forwarder, ainsi que les transferts de zone comme AXFR et IXFR.
Cela le rend utile pour les reseaux internes, labs, DNS split-horizon, domaines locaux et domaines publics auto-heberges quand la configuration est correcte.
Forwarders DNS chiffres
Le projet supporte les forwarders DNS-over-TLS, DNS-over-HTTPS et DNS-over-QUIC. Il peut utiliser des resolvers publics comme Cloudflare, Google, Quad9 ou AdGuard via des protocoles chiffres.
Cela ne rend pas le DNS magique ou anonyme. Le resolver amont voit encore les requetes qu’il recoit. Mais cela protege le transport contre l’interception locale et la visibilite UDP en clair cote fournisseur internet.
Blocage au niveau DNS
Technitium supporte des URLs de blocklists mises a jour automatiquement. Cela permet un blocage reseau pour publicite, malware, telemetrie ou politique interne sans installer un client sur chaque appareil.
Le blocage DNS n’est pas parfait. Il ne remplace pas les protections navigateur, la securite endpoint ou les controles applicatifs. Mais il est centralise, efficace, et fonctionne pour les appareils qui ne supportent pas les extensions.
DNSSEC et records modernes
Le serveur supporte la validation DNSSEC et les zones signees DNSSEC, avec RSA, ECDSA et EdDSA. Il supporte aussi des records et fonctions modernes comme SVCB, HTTPS, DANE TLSA, SSHFP, DNAME, ANAME, EDNS Client Subnet, Extended DNS Errors, DNS64 et plus.
Le detail compte pour les operateurs. DNS est ancien, mais les operations DNS modernes ne sont pas simples. Un bon serveur auto-heberge doit faire plus que A records et CNAMEs.
Console web et API HTTP
La console d’administration web est l’un des grands avantages pratiques de Technitium. Administrer DNS peut etre intimidant ; une bonne interface abaisse la barriere pour home labs et petites equipes.
L’API HTTP compte pour la raison inverse : l’automatisation. Le projet indique que les actions disponibles dans la console web peuvent aussi etre effectuees via l’API. Cela permet d’integrer les changements DNS avec scripts, plateformes internes, workflows de deploiement ou outils maison.
DHCP, logs, statistiques et clustering
Technitium inclut un serveur DHCP, des logs systeme, des logs de requetes et des statistiques. Il inclut aussi du clustering pour gerer plusieurs instances DNS Server depuis une seule console.
Pour un reseau domestique, c’est deja beaucoup. Pour une petite organisation ou un lab, cela commence a ressembler a une vraie couche de gestion.
Installation et deploiement
Le site officiel liste plusieurs chemins de deploiement :
- installeur Windows,
- application portable multiplateforme avec runtime .NET 10,
- installeur automatise Linux et Raspberry Pi,
- image Docker officielle.
Cette diversite est un bon signe. DNS est de l’infrastructure, et l’infrastructure demande des options. Certains veulent un Raspberry Pi. D’autres veulent une VM Linux, un service Docker Compose ou une machine Windows dans un petit bureau.
Le detail operationnel a retenir : si Technitium devient votre resolver, votre reseau depend de lui. Traitez-le comme de l’infrastructure. Sauvegardez la configuration, surveillez la disponibilite, evitez les changements risqués pendant les heures de travail et comprenez le comportement de fallback si le resolver tombe.
Securite et direction recente
Le projet est maintenu activement depuis des annees. Les versions recentes ont migre vers des runtimes .NET plus recents, ajoute le support OpenID Connect SSO, ajoute des metriques Prometheus, ameliore le comportement des listeners et modifie les installations de service pour reduire les privileges.
Le changelog montre aussi un travail securite specifique a DNS : rate limiting, correctifs DNSSEC, mitigations de cache poisoning, correctifs de downgrade DNSSEC et durcissement du resolver.
C’est important parce qu’un serveur DNS est un service de confiance elevee. S’il est empoisonne, indisponible ou mal configure, l’impact touche tous les clients qui l’utilisent.
Ou Technitium s’insere
Technitium DNS Server est fort pour :
- home labs et foyers sensibles a la confidentialite,
- petits bureaux qui veulent DNS local et blocage,
- labs engineering avec zones internes,
- ecoles ou organisations qui veulent filtrage reseau,
- equipes qui veulent logs DNS et stats sans appliance enterprise lourde,
- operateurs qui veulent DNS amont chiffre avec politique locale.
Il peut etre trop large si vous voulez seulement bloquer quelques pubs sur un appareil. Il peut etre trop petit si vous avez besoin de DNS/IPAM enterprise complet, ownership par equipe, reporting compliance et gouvernance multi-region.
Mais il existe un grand milieu ou il correspond bien : assez serieux pour un vrai controle reseau, assez leger pour tourner a la maison ou dans une petite VM.
Recommandations pratiques
Si vous essayez Technitium, commencez avec un scope reduit.
Lancez-le sur une machine non critique. Pointez un seul appareil de test dessus. Activez les logs de requetes. Configurez des forwarders chiffres. Ajoutez une blocklist. Testez des zones locales. Regardez ce qui casse. Ensuite seulement, basculez le DHCP du routeur ou les clients reseau quand vous comprenez le comportement.
Pour un usage proche production :
- lancez au moins deux resolvers,
- gardez des sauvegardes de configuration,
- restreignez l’acces a la console admin,
- changez immediatement les identifiants par defaut,
- utilisez 2FA ou SSO quand pertinent,
- surveillez logs et metriques,
- documentez les resolvers de secours,
- testez les mises a jour avant un deploiement large.
Les changements DNS peuvent etre deceptivement perturbateurs. Un mauvais parametre de resolver peut donner l’impression que tout internet est casse alors que les services sont sains.
Le signal plus large
Technitium DNS Server rappelle que l’auto-hebergement ne concerne pas seulement les applications. Parfois, le systeme auto-heberge le plus utile est une infrastructure qui donne visibilite et controle sur tout le reste.
DNS arrive avant presque chaque requete web, lancement d’application, mise a jour logicielle et appel API. Posseder cette couche donne du levier : confidentialite, filtrage, noms locaux, forwarding chiffre, logs et politique.
Ce levier vient avec responsabilite. Un serveur DNS local doit etre mis a jour, surveille, sauvegarde et protege comme tout autre service central.
Pour les utilisateurs techniques et petites equipes, Technitium trouve un bon equilibre. Il est assez accessible pour etre installe vite, assez profond pour grandir vers des operations DNS serieuses, et assez ouvert pour etre inspecte, automatise et auto-heberge.