The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW..."  +1 +/
Сообщение от auto_tips (??), 16-Апр-18, 12:21 
По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который не поддерживает  DNS-over-TLS. Для включения шифрования DNS-трафика заменим Dnsmasq на Unbound и odhcpd:

   opkg update
   opkg install unbound odhcpd unbound-control
   opkg remove dnsmasq

Для настройки через GUI опционально можно установить модуль:

   opkg install luci-app-unbound

Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS (например, 1.1.1.1 и 1.0.0.1):

   forward-zone:
     name: "."
     forward-addr: 1.1.1.1@853                  
     forward-addr: 1.0.0.1@853                            
     forward-addr: 2606:4700:4700::1111@853
     forward-addr: 2606:4700:4700::1001@853
     forward-ssl-upstream: yes  

Корректируем настройки /etc/config/unbound в соответствии с
официальными [[https://github.com/openwrt/packages/tree/master/net/unbound/... рекомендациями]] по настройке связки unbound+odhcpd.

Проверяем /etc/config/unbound:

   config unbound
     option add_local_fqdn '1'
     option add_wan_fqdn '1'
     option dhcp_link 'odhcpd'
     option dhcp4_slaac6 '1'
     option domain 'lan'
     option domain_type 'static'
     option listen_port '53'
     option rebind_protection '1'
     option unbound_control '1'

Аналогично проверяем настройки /etc/config/dhcp:

   config dhcp 'lan'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option interface 'lan'
        option leasetime '12h'
        option ra 'server'
        option ra_management '1'

   config odhcpd 'odhcpd'
        option maindhcp '1'
        option leasefile '/var/lib/odhcpd/dhcp.leases'
        option leasetrigger '/usr/lib/unbound/odhcpd.sh'
  
Перезапускаем unbound:

   service unbound enable
   service unbound start


URL: https://blog.cloudflare.com/dns-over-tls-for-openwrt/
Обсуждается: http://www.opennet.dev/tips/info/3061.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 16-Апр-18, 12:21   –2 +/
и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #6, #9

2. Сообщение от xm (ok), 17-Апр-18, 00:56   +1 +/
Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (-), 17-Апр-18, 11:27   +/
> и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

А кому сейчас можно доверять?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (-), 17-Апр-18, 15:14   +/
На freebsd системный unbound устарел (v. 1.5.10) и про forward-ssl-upstream не в курсе, так что придется поднимать свежий из портов. А так спасибо, будем пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от xm (ok), 17-Апр-18, 19:39   +/
Поставьте из портов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (-), 18-Апр-18, 12:08   +/
>  и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они.

Caveat: некоторые ISP зачем-то от большого ума ресольвят в 1.1.1.1 ошибки/captive protal/кончилсябаланс и проч и роутят его соответственно в свой интранет. И это будет не тот 1.1.1.1, который вы ожидаете. Правда, они совсем не умеют DNS over TLS, так что вы заметите.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

7. Сообщение от Emma Charlotte Duerre Watson (?), 18-Апр-18, 18:43   +/
Чем DNS-over-TLS отличается от DNScrypt?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10

8. Сообщение от Аноним (-), 20-Апр-18, 01:44   +2 +/
default:
запрос 127.168.0.1 opennet.ru 8.8.8.8;
ответ 8.8.8.8 94.142.141.14 opennet.ru 127.168.0.1
DNScrypt:
запрос 127.168.0.1 b3Blbm5ldC5ydQ== 8.8.8.8;
ответ 8.8.8.8 OTQuMTQyLjE0MS4xNCBvcGVubmV0LnJ1 127.168.0.1
DNS-over-TLS:
запрос MTI3LjE2OC4wLjEgb3Blbm5ldC5ydSA4LjguOC44Ow==
ответ OC44LjguOCA5NC4xNDIuMTQxLjE0IG9wZW5uZXQucnUgMTI3LjE2OC4wLjE=
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Аноним (-), 23-Апр-18, 16:00   +/
Хорошо. Продолжайте дальше предпочитать других без шифрования, с заменой результата резолвинга и тотальнм логированием.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

10. Сообщение от Аноним (-), 23-Апр-18, 16:02   +/
> Чем DNS-over-TLS отличается от DNScrypt?

Второе не шифрует, а только подписывает результат для предотвращений подмены.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от spectrumist (ok), 28-Апр-18, 01:38   +/
вы путаете с DNSSEC
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Телемастер (?), 22-Май-18, 11:22   +2 +/
Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package

Пример конфигурации:
server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #15

13. Сообщение от 1 (??), 13-Июл-18, 16:36   +/
>Правда, они совсем не умеют DNS over TLS, так что вы заметите.

А даже если бы умели, сертификата-то нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от ABATAPAemail (ok), 24-Авг-18, 11:39   +/
> Пример конфигурации:

В примере путь не для OpenWRT. В OpenWRT ca-certificates.crt лежит в /etc/ssl/certs/ca-certificates.crt (ставится 'opkg update; opkg install ca-bundle')

Оставлю тут ссылку на форум OpenWRT, где приведён более полный вариант настроек:
https://forum.openwrt.org/t/adding-dns-over-tls-support-to-o...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от blackrooty (ok), 02-Окт-22, 00:17   +/
>[оверквотинг удален]
> Пример конфигурации:
> server:
>         tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
> forward-zone:
>         name: "."
>         forward-addr: 1.1.1.1#cloudflare-dns.com
>         forward-addr: 1.0.0.1#cloudflare-dns.com
>         forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
>         forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
>         forward-tls-upstream: yes

Точно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру