The OpenNET Project: Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound

Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound	[исправить]
По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который не поддерживает DNS-over-TLS. Для включения шифрования DNS-трафика заменим Dnsmasq на Unbound и odhcpd: opkg update opkg install unbound odhcpd unbound-control opkg remove dnsmasq Для настройки через GUI опционально можно установить модуль: opkg install luci-app-unbound Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS (например, 1.1.1.1 и 1.0.0.1): forward-zone: name: "." forward-addr: 1.1.1.1@853 forward-addr: 1.0.0.1@853 forward-addr: 2606:4700:4700::1111@853 forward-addr: 2606:4700:4700::1001@853 forward-ssl-upstream: yes Корректируем настройки /etc/config/unbound в соответствии с официальными рекомендациями по настройке связки unbound+odhcpd. Проверяем /etc/config/unbound: config unbound option add_local_fqdn '1' option add_wan_fqdn '1' option dhcp_link 'odhcpd' option dhcp4_slaac6 '1' option domain 'lan' option domain_type 'static' option listen_port '53' option rebind_protection '1' option unbound_control '1' Аналогично проверяем настройки /etc/config/dhcp: config dhcp 'lan' option dhcpv4 'server' option dhcpv6 'server' option interface 'lan' option leasetime '12h' option ra 'server' option ra_management '1' config odhcpd 'odhcpd' option maindhcp '1' option leasefile '/var/lib/odhcpd/dhcp.leases' option leasetrigger '/usr/lib/unbound/odhcpd.sh' Перезапускаем unbound: service unbound enable service unbound start


14.04.2018 , Источник: https://blog.cloudflare.com/dns-ove... Ключи: unbound, dns, tls, crypt / Лицензия: CC-BY
Раздел: Корень / Администратору / Сетевые сервисы / FTP, Bittorrent

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, Аноним (-), 12:21, 16/04/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

2.2, xm (ok), 00:56, 17/04/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.

2.3, Аноним (-), 11:27, 17/04/2018 [^] [^^] [^^^] [ответить]

+/–

> и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

А кому сейчас можно доверять?

2.6, Аноним (-), 12:08, 18/04/2018 [^] [^^] [^^^] [ответить]

+/–

> и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они.

Caveat: некоторые ISP зачем-то от большого ума ресольвят в 1.1.1.1 ошибки/captive protal/кончилсябаланс и проч и роутят его соответственно в свой интранет. И это будет не тот 1.1.1.1, который вы ожидаете. Правда, они совсем не умеют DNS over TLS, так что вы заметите.

3.13, 1 (??), 16:36, 13/07/2018 [^] [^^] [^^^] [ответить]	+/–
>Правда, они совсем не умеют DNS over TLS, так что вы заметите. А даже если бы умели, сертификата-то нет.

2.9, Аноним (-), 16:00, 23/04/2018 [^] [^^] [^^^] [ответить]	+/–
Хорошо. Продолжайте дальше предпочитать других без шифрования, с заменой результата резолвинга и тотальнм логированием.

1.4, Аноним (-), 15:14, 17/04/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На freebsd системный unbound устарел (v. 1.5.10) и про forward-ssl-upstream не в курсе, так что придется поднимать свежий из портов. А так спасибо, будем пользоваться.

2.5, xm (ok), 19:39, 17/04/2018 [^] [^^] [^^^] [ответить]	+/–
Поставьте из портов

1.7, Emma Charlotte Duerre Watson (?), 18:43, 18/04/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чем DNS-over-TLS отличается от DNScrypt?

2.8, Аноним (-), 01:44, 20/04/2018 [^] [^^] [^^^] [ответить]	+2 +/–
default: запрос 127.168.0.1 opennet.ru 8.8.8.8; ответ 8.8.8.8 94.142.141.14 opennet.ru 127.168.0.1 DNScrypt: запрос 127.168.0.1 b3Blbm5ldC5ydQ== 8.8.8.8; ответ 8.8.8.8 OTQuMTQyLjE0MS4xNCBvcGVubmV0LnJ1 127.168.0.1 DNS-over-TLS: запрос MTI3LjE2OC4wLjEgb3Blbm5ldC5ydSA4LjguOC44Ow== ответ OC44LjguOCA5NC4xNDIuMTQxLjE0IG9wZW5uZXQucnUgMTI3LjE2OC4wLjE=

2.10, Аноним (-), 16:02, 23/04/2018 [^] [^^] [^^^] [ответить]	+/–
> Чем DNS-over-TLS отличается от DNScrypt? Второе не шифрует, а только подписывает результат для предотвращений подмены.

3.11, spectrumist (ok), 01:38, 28/04/2018 [^] [^^] [^^^] [ответить]	+/–
вы путаете с DNSSEC

1.12, Телемастер (?), 11:22, 22/05/2018 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package Пример конфигурации: server: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" forward-zone: name: "." forward-addr: 1.1.1.1#cloudflare-dns.com forward-addr: 1.0.0.1#cloudflare-dns.com forward-addr: 2606:4700:4700::1111#cloudflare-dns.com forward-addr: 2606:4700:4700::1001#cloudflare-dns.com forward-tls-upstream: yes

2.14, ABATAPA (ok), 11:39, 24/08/2018 [^] [^^] [^^^] [ответить]

+/–

> Пример конфигурации:

В примере путь не для OpenWRT. В OpenWRT ca-certificates.crt лежит в /etc/ssl/certs/ca-certificates.crt (ставится 'opkg update; opkg install ca-bundle')

Оставлю тут ссылку на форум OpenWRT, где приведён более полный вариант настроек:
https://forum.openwrt.org/t/adding-dns-over-tls-support-to-openwrt-lede-with-u

2.15, blackrooty (ok), 00:17, 02/10/2022 [^] [^^] [^^^] [ответить]	+/–
>[оверквотинг удален] > Пример конфигурации: > server: > tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" > forward-zone: > name: "." > forward-addr: 1.1.1.1#cloudflare-dns.com > forward-addr: 1.0.0.1#cloudflare-dns.com > forward-addr: 2606:4700:4700::1111#cloudflare-dns.com > forward-addr: 2606:4700:4700::1001#cloudflare-dns.com > forward-tls-upstream: yes Точно

Добавить комментарий