The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound
По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который
не поддерживает  DNS-over-TLS. Для включения шифрования DNS-трафика заменим
Dnsmasq на Unbound и odhcpd:

   opkg update
   opkg install unbound odhcpd unbound-control
   opkg remove dnsmasq

Для настройки через GUI опционально можно установить модуль:

   opkg install luci-app-unbound

Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS
(например, 1.1.1.1 и 1.0.0.1):

   forward-zone:
     name: "."
     forward-addr: 1.1.1.1@853                   
     forward-addr: 1.0.0.1@853                             
     forward-addr: 2606:4700:4700::1111@853
     forward-addr: 2606:4700:4700::1001@853
     forward-ssl-upstream: yes   



Корректируем настройки /etc/config/unbound в соответствии с 
официальными рекомендациями по настройке связки unbound+odhcpd.

Проверяем /etc/config/unbound:

   config unbound
     option add_local_fqdn '1'
     option add_wan_fqdn '1'
     option dhcp_link 'odhcpd'
     option dhcp4_slaac6 '1'
     option domain 'lan'
     option domain_type 'static'
     option listen_port '53'
     option rebind_protection '1'
     option unbound_control '1'

Аналогично проверяем настройки /etc/config/dhcp:

   config dhcp 'lan'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option interface 'lan'
        option leasetime '12h'
        option ra 'server'
        option ra_management '1'

   config odhcpd 'odhcpd'
        option maindhcp '1'
        option leasefile '/var/lib/odhcpd/dhcp.leases'
        option leasetrigger '/usr/lib/unbound/odhcpd.sh'
  
Перезапускаем unbound:

   service unbound enable
   service unbound start
 
14.04.2018 , Источник: https://blog.cloudflare.com/dns-ove...
Ключи: unbound, dns, tls, crypt / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / FTP, Bittorrent



Обсуждение [ RSS ]
 
  • 1.1, Аноним, 12:21, 16/04/2018 [ответить] [смотреть все]    [к модератору]
  • –1 +/
    и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
     
     
  • 2.2, xm, 00:56, 17/04/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.
     
  • 2.3, Аноним, 11:27, 17/04/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    А кому сейчас можно доверять ... весь текст скрыт [показать]
     
  • 2.6, Аноним, 12:08, 18/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они Caveat... весь текст скрыт [показать]
     
  • 1.4, Аноним, 15:14, 17/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    На freebsd системный unbound устарел v 1 5 10 и про forward-ssl-upstream не в... весь текст скрыт [показать]
     
     
  • 2.5, xm, 19:39, 17/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Поставьте из портов
     
  • 1.7, Emma Charlotte Duerre Watson, 18:43, 18/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Чем DNS-over-TLS отличается от DNScrypt?
     
     
  • 2.8, Аноним, 01:44, 20/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    default запрос 127 168 0 1 opennet ru 8 8 8 8 ответ 8 8 8 8 94 142 141 14 open... весь текст скрыт [показать]
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor