The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound
По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который
не поддерживает  DNS-over-TLS. Для включения шифрования DNS-трафика заменим
Dnsmasq на Unbound и odhcpd:

   opkg update
   opkg install unbound odhcpd unbound-control
   opkg remove dnsmasq

Для настройки через GUI опционально можно установить модуль:

   opkg install luci-app-unbound

Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS
(например, 1.1.1.1 и 1.0.0.1):

   forward-zone:
     name: "."
     forward-addr: 1.1.1.1@853                   
     forward-addr: 1.0.0.1@853                             
     forward-addr: 2606:4700:4700::1111@853
     forward-addr: 2606:4700:4700::1001@853
     forward-ssl-upstream: yes   



Корректируем настройки /etc/config/unbound в соответствии с 
официальными рекомендациями по настройке связки unbound+odhcpd.

Проверяем /etc/config/unbound:

   config unbound
     option add_local_fqdn '1'
     option add_wan_fqdn '1'
     option dhcp_link 'odhcpd'
     option dhcp4_slaac6 '1'
     option domain 'lan'
     option domain_type 'static'
     option listen_port '53'
     option rebind_protection '1'
     option unbound_control '1'

Аналогично проверяем настройки /etc/config/dhcp:

   config dhcp 'lan'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option interface 'lan'
        option leasetime '12h'
        option ra 'server'
        option ra_management '1'

   config odhcpd 'odhcpd'
        option maindhcp '1'
        option leasefile '/var/lib/odhcpd/dhcp.leases'
        option leasetrigger '/usr/lib/unbound/odhcpd.sh'
  
Перезапускаем unbound:

   service unbound enable
   service unbound start
 
14.04.2018 , Источник: https://blog.cloudflare.com/dns-ove...
Ключи: unbound, dns, tls, crypt / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / FTP, Bittorrent

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Аноним (-), 12:21, 16/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
     
     
  • 2.2, xm (ok), 00:56, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.
     
  • 2.3, Аноним (-), 11:27, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

    А кому сейчас можно доверять?

     
  • 2.6, Аноним (-), 12:08, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

    Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они.

    Caveat: некоторые ISP зачем-то от большого ума ресольвят в 1.1.1.1 ошибки/captive protal/кончилсябаланс и проч и роутят его соответственно в свой интранет. И это будет не тот 1.1.1.1, который вы ожидаете. Правда, они совсем не умеют DNS over TLS, так что вы заметите.

     
     
  • 3.13, 1 (??), 16:36, 13/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Правда, они совсем не умеют DNS over TLS, так что вы заметите.

    А даже если бы умели, сертификата-то нет.

     
  • 2.9, Аноним (-), 16:00, 23/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо. Продолжайте дальше предпочитать других без шифрования, с заменой результата резолвинга и тотальнм логированием.
     

  • 1.4, Аноним (-), 15:14, 17/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На freebsd системный unbound устарел (v. 1.5.10) и про forward-ssl-upstream не в курсе, так что придется поднимать свежий из портов. А так спасибо, будем пользоваться.
     
     
  • 2.5, xm (ok), 19:39, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поставьте из портов
     

  • 1.7, Emma Charlotte Duerre Watson (?), 18:43, 18/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем DNS-over-TLS отличается от DNScrypt?
     
     
  • 2.8, Аноним (-), 01:44, 20/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    default:
    запрос 127.168.0.1 opennet.ru 8.8.8.8;
    ответ 8.8.8.8 94.142.141.14 opennet.ru 127.168.0.1
    DNScrypt:
    запрос 127.168.0.1 b3Blbm5ldC5ydQ== 8.8.8.8;
    ответ 8.8.8.8 OTQuMTQyLjE0MS4xNCBvcGVubmV0LnJ1 127.168.0.1
    DNS-over-TLS:
    запрос MTI3LjE2OC4wLjEgb3Blbm5ldC5ydSA4LjguOC44Ow==
    ответ OC44LjguOCA5NC4xNDIuMTQxLjE0IG9wZW5uZXQucnUgMTI3LjE2OC4wLjE=
     
  • 2.10, Аноним (-), 16:02, 23/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем DNS-over-TLS отличается от DNScrypt?

    Второе не шифрует, а только подписывает результат для предотвращений подмены.

     
     
  • 3.11, spectrumist (ok), 01:38, 28/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вы путаете с DNSSEC
     

  • 1.12, Телемастер (?), 11:22, 22/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package

    Пример конфигурации:
    server:
            tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
    forward-zone:
            name: "."
            forward-addr: 1.1.1.1#cloudflare-dns.com
            forward-addr: 1.0.0.1#cloudflare-dns.com
            forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
            forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
            forward-tls-upstream: yes

     
     
  • 2.14, ABATAPA (ok), 11:39, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Пример конфигурации:

    В примере путь не для OpenWRT. В OpenWRT ca-certificates.crt лежит в /etc/ssl/certs/ca-certificates.crt (ставится 'opkg update; opkg install ca-bundle')

    Оставлю тут ссылку на форум OpenWRT, где приведён более полный вариант настроек:
    https://forum.openwrt.org/t/adding-dns-over-tls-support-to-openwrt-lede-with-u

     
  • 2.15, blackrooty (ok), 00:17, 02/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > Пример конфигурации:
    > server:
    >         tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
    > forward-zone:
    >         name: "."
    >         forward-addr: 1.1.1.1#cloudflare-dns.com
    >         forward-addr: 1.0.0.1#cloudflare-dns.com
    >         forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
    >         forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
    >         forward-tls-upstream: yes

    Точно

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру