OpenForum RSS: Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW... https://opennet.ru/openforum/vsluhforumID3/114087.html По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который не поддерживает DNS-over-TLS. Для включения шифрования DNS-трафика заменим Dnsmasq на Unbound и odhcpd:<br><br> opkg update<br> opkg install unbound odhcpd unbound-control<br> opkg remove dnsmasq<br><br>Для настройки через GUI опционально можно установить модуль:<br><br> opkg install luci-app-unbound<br><br>Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS (например, 1.1.1.1 и 1.0.0.1):<br><br> forward-zone:<br> name: "."<br> forward-addr: 1.1.1.1@853 <br> forward-addr: 1.0.0.1@853 <br> forward-addr: 2606:4700:4700::1111@853<br> forward-addr: 2606:4700:4700::1001@853<br> forward-ssl-upstream: yes <br><br><br><br>Корректируем настройки /etc/config/unbound в соответствии с <br>официальными [[https://github.com/openwrt/packages/tree/master/net/unbound/files рекомендациями]] по настройке связки unbound+odhcpd. <br><br>Проверяем /etc/config/unbound:<br><br> config unbound<br> option a Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound (blackrooty) https://opennet.ru/openforum/vsluhforumID3/114087.html#15 Sat, 01 Oct 2022 21:17:35 GMT &gt;[оверквотинг удален]<br>&gt; Пример конфигурации: <br>&gt; server: <br>&gt; tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" <br>&gt; forward-zone: <br>&gt; name: "." <br>&gt; forward-addr: 1.1.1.1#cloudflare-dns.com <br>&gt; forward-addr: 1.0.0.1#cloudflare-dns.com <br>&gt; forward-addr: 2606:4700:4700::1111#cloudflare-dns.com <br>&gt; forward-addr: 2606:4700:4700::1001#cloudflare-dns.com <br>&gt; forward-tls-upstream: yes <br><br>Точно<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера... (ABATAPA) https://opennet.ru/openforum/vsluhforumID3/114087.html#14 Fri, 24 Aug 2018 08:39:20 GMT &gt; Пример конфигурации: <br><br>В примере путь не для OpenWRT. В OpenWRT ca-certificates.crt лежит в /etc/ssl/certs/ca-certificates.crt (ставится 'opkg update; opkg install ca-bundle')<br><br>Оставлю тут ссылку на форум OpenWRT, где приведён более полный вариант настроек:<br>https://forum.openwrt.org/t/adding-dns-over-tls-support-to-openwrt-lede-with-unbound/13765<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера... (1) https://opennet.ru/openforum/vsluhforumID3/114087.html#13 Fri, 13 Jul 2018 13:36:58 GMT &gt;Правда, они совсем не умеют DNS over TLS, так что вы заметите.<br><br>А даже если бы умели, сертификата-то нет.<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound (Телемастер) https://opennet.ru/openforum/vsluhforumID3/114087.html#12 Tue, 22 May 2018 08:22:53 GMT Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package<br><br>Пример конфигурации:<br>server:<br> tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"<br>forward-zone:<br> name: "."<br> forward-addr: 1.1.1.1#cloudflare-dns.com<br> forward-addr: 1.0.0.1#cloudflare-dns.com<br> forward-addr: 2606:4700:4700::1111#cloudflare-dns.com<br> forward-addr: 2606:4700:4700::1001#cloudflare-dns.com<br> forward-tls-upstream: yes<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера... (spectrumist) https://opennet.ru/openforum/vsluhforumID3/114087.html#11 Fri, 27 Apr 2018 22:38:45 GMT вы путаете с DNSSEC<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114087.html#10 Mon, 23 Apr 2018 13:02:27 GMT &gt; Чем DNS-over-TLS отличается от DNScrypt?<br><br>Второе не шифрует, а только подписывает результат для предотвращений подмены.<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114087.html#9 Mon, 23 Apr 2018 13:00:14 GMT Хорошо. Продолжайте дальше предпочитать других без шифрования, с заменой результата резолвинга и тотальнм логированием.<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114087.html#8 Thu, 19 Apr 2018 22:44:32 GMT default:<br>запрос 127.168.0.1 opennet.ru 8.8.8.8;<br>ответ 8.8.8.8 94.142.141.14 opennet.ru 127.168.0.1<br>DNScrypt: <br>запрос 127.168.0.1 b3Blbm5ldC5ydQ== 8.8.8.8;<br>ответ 8.8.8.8 OTQuMTQyLjE0MS4xNCBvcGVubmV0LnJ1 127.168.0.1<br>DNS-over-TLS:<br>запрос MTI3LjE2OC4wLjEgb3Blbm5ldC5ydSA4LjguOC44Ow==<br>ответ OC44LjguOCA5NC4xNDIuMTQxLjE0IG9wZW5uZXQucnUgMTI3LjE2OC4wLjE=<br> Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound (Emma Charlotte Duerre Watson) https://opennet.ru/openforum/vsluhforumID3/114087.html#7 Wed, 18 Apr 2018 15:43:38 GMT Чем DNS-over-TLS отличается от DNScrypt?<br>