The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound
По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который
не поддерживает  DNS-over-TLS. Для включения шифрования DNS-трафика заменим
Dnsmasq на Unbound и odhcpd:

   opkg update
   opkg install unbound odhcpd unbound-control
   opkg remove dnsmasq

Для настройки через GUI опционально можно установить модуль:

   opkg install luci-app-unbound

Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS
(например, 1.1.1.1 и 1.0.0.1):

   forward-zone:
     name: "."
     forward-addr: 1.1.1.1@853                   
     forward-addr: 1.0.0.1@853                             
     forward-addr: 2606:4700:4700::1111@853
     forward-addr: 2606:4700:4700::1001@853
     forward-ssl-upstream: yes   



Корректируем настройки /etc/config/unbound в соответствии с 
официальными рекомендациями по настройке связки unbound+odhcpd.

Проверяем /etc/config/unbound:

   config unbound
     option add_local_fqdn '1'
     option add_wan_fqdn '1'
     option dhcp_link 'odhcpd'
     option dhcp4_slaac6 '1'
     option domain 'lan'
     option domain_type 'static'
     option listen_port '53'
     option rebind_protection '1'
     option unbound_control '1'

Аналогично проверяем настройки /etc/config/dhcp:

   config dhcp 'lan'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option interface 'lan'
        option leasetime '12h'
        option ra 'server'
        option ra_management '1'

   config odhcpd 'odhcpd'
        option maindhcp '1'
        option leasefile '/var/lib/odhcpd/dhcp.leases'
        option leasetrigger '/usr/lib/unbound/odhcpd.sh'
  
Перезапускаем unbound:

   service unbound enable
   service unbound start
 
14.04.2018 , Источник: https://blog.cloudflare.com/dns-ove...
Ключи: unbound, dns, tls, crypt / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / FTP, Bittorrent

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Аноним, 12:21, 16/04/2018 [ответить] [смотреть все]    [к модератору]
  • –2 +/
    и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
     
     
  • 2.2, xm, 00:56, 17/04/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.
     
  • 2.3, Аноним, 11:27, 17/04/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    А кому сейчас можно доверять ... весь текст скрыт [показать]
     
  • 2.6, Аноним, 12:08, 18/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они Caveat... весь текст скрыт [показать]
     
  • 2.9, Аноним, 16:00, 23/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Хорошо Продолжайте дальше предпочитать других без шифрования, с заменой результ... весь текст скрыт [показать]
     
  • 1.4, Аноним, 15:14, 17/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    На freebsd системный unbound устарел v 1 5 10 и про forward-ssl-upstream не в... весь текст скрыт [показать]
     
     
  • 2.5, xm, 19:39, 17/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Поставьте из портов
     
  • 1.7, Emma Charlotte Duerre Watson, 18:43, 18/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Чем DNS-over-TLS отличается от DNScrypt?
     
     
  • 2.8, Аноним, 01:44, 20/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    default запрос 127 168 0 1 opennet ru 8 8 8 8 ответ 8 8 8 8 94 142 141 14 open... весь текст скрыт [показать]
     
  • 2.10, Аноним, 16:02, 23/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Второе не шифрует, а только подписывает результат для предотвращений подмены ... весь текст скрыт [показать]
     
     
  • 3.11, spectrumist, 01:38, 28/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    вы путаете с DNSSEC
     
  • 1.12, Телемастер, 11:22, 22/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package

    Пример конфигурации:
    server:
            tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
    forward-zone:
            name: "."
            forward-addr: 1.1.1.1#cloudflare-dns.com
            forward-addr: 1.0.0.1#cloudflare-dns.com
            forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
            forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
            forward-tls-upstream: yes

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor