The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW..."  +1 +/
Сообщение от auto_tips (??), 16-Апр-18, 12:21 
По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который не поддерживает  DNS-over-TLS. Для включения шифрования DNS-трафика заменим Dnsmasq на Unbound и odhcpd:

   opkg update
   opkg install unbound odhcpd unbound-control
   opkg remove dnsmasq

Для настройки через GUI опционально можно установить модуль:

   opkg install luci-app-unbound

Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS (например, 1.1.1.1 и 1.0.0.1):

   forward-zone:
     name: "."
     forward-addr: 1.1.1.1@853                  
     forward-addr: 1.0.0.1@853                            
     forward-addr: 2606:4700:4700::1111@853
     forward-addr: 2606:4700:4700::1001@853
     forward-ssl-upstream: yes  

Корректируем настройки /etc/config/unbound в соответствии с
официальными [[https://github.com/openwrt/packages/tree/master/net/unbound/... рекомендациями]] по настройке связки unbound+odhcpd.

Проверяем /etc/config/unbound:

   config unbound
     option add_local_fqdn '1'
     option add_wan_fqdn '1'
     option dhcp_link 'odhcpd'
     option dhcp4_slaac6 '1'
     option domain 'lan'
     option domain_type 'static'
     option listen_port '53'
     option rebind_protection '1'
     option unbound_control '1'

Аналогично проверяем настройки /etc/config/dhcp:

   config dhcp 'lan'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option interface 'lan'
        option leasetime '12h'
        option ra 'server'
        option ra_management '1'

   config odhcpd 'odhcpd'
        option maindhcp '1'
        option leasefile '/var/lib/odhcpd/dhcp.leases'
        option leasetrigger '/usr/lib/unbound/odhcpd.sh'
  
Перезапускаем unbound:

   service unbound enable
   service unbound start


URL: https://blog.cloudflare.com/dns-over-tls-for-openwrt/
Обсуждается: http://www.opennet.ru/tips/info/3061.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound"  –2 +/
Сообщение от Аноним (-), 16-Апр-18, 12:21 
и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
Ответить | Правка | Наверх | Cообщить модератору

2. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +1 +/
Сообщение от xm (ok), 17-Апр-18, 00:56 
Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.
Ответить | Правка | Наверх | Cообщить модератору

3. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от Аноним (-), 17-Апр-18, 11:27 
> и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

А кому сейчас можно доверять?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от Аноним (-), 18-Апр-18, 12:08 
>  и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они.

Caveat: некоторые ISP зачем-то от большого ума ресольвят в 1.1.1.1 ошибки/captive protal/кончилсябаланс и проч и роутят его соответственно в свой интранет. И это будет не тот 1.1.1.1, который вы ожидаете. Правда, они совсем не умеют DNS over TLS, так что вы заметите.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

13. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от 1 (??), 13-Июл-18, 16:36 
>Правда, они совсем не умеют DNS over TLS, так что вы заметите.

А даже если бы умели, сертификата-то нет.

Ответить | Правка | Наверх | Cообщить модератору

9. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от Аноним (-), 23-Апр-18, 16:00 
Хорошо. Продолжайте дальше предпочитать других без шифрования, с заменой результата резолвинга и тотальнм логированием.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound"  +/
Сообщение от Аноним (-), 17-Апр-18, 15:14 
На freebsd системный unbound устарел (v. 1.5.10) и про forward-ssl-upstream не в курсе, так что придется поднимать свежий из портов. А так спасибо, будем пользоваться.
Ответить | Правка | Наверх | Cообщить модератору

5. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от xm (ok), 17-Апр-18, 19:39 
Поставьте из портов
Ответить | Правка | Наверх | Cообщить модератору

7. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound"  +/
Сообщение от Emma Charlotte Duerre Watson (?), 18-Апр-18, 18:43 
Чем DNS-over-TLS отличается от DNScrypt?
Ответить | Правка | Наверх | Cообщить модератору

8. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +2 +/
Сообщение от Аноним (-), 20-Апр-18, 01:44 
default:
запрос 127.168.0.1 opennet.ru 8.8.8.8;
ответ 8.8.8.8 94.142.141.14 opennet.ru 127.168.0.1
DNScrypt:
запрос 127.168.0.1 b3Blbm5ldC5ydQ== 8.8.8.8;
ответ 8.8.8.8 OTQuMTQyLjE0MS4xNCBvcGVubmV0LnJ1 127.168.0.1
DNS-over-TLS:
запрос MTI3LjE2OC4wLjEgb3Blbm5ldC5ydSA4LjguOC44Ow==
ответ OC44LjguOCA5NC4xNDIuMTQxLjE0IG9wZW5uZXQucnUgMTI3LjE2OC4wLjE=
Ответить | Правка | Наверх | Cообщить модератору

10. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от Аноним (-), 23-Апр-18, 16:02 
> Чем DNS-over-TLS отличается от DNScrypt?

Второе не шифрует, а только подписывает результат для предотвращений подмены.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от spectrumist (ok), 28-Апр-18, 01:38 
вы путаете с DNSSEC
Ответить | Правка | Наверх | Cообщить модератору

12. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound"  +2 +/
Сообщение от Телемастер (?), 22-Май-18, 11:22 
Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package

Пример конфигурации:
server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Ответить | Правка | Наверх | Cообщить модератору

14. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера..."  +/
Сообщение от ABATAPAemail (ok), 24-Авг-18, 11:39 
> Пример конфигурации:

В примере путь не для OpenWRT. В OpenWRT ca-certificates.crt лежит в /etc/ssl/certs/ca-certificates.crt (ставится 'opkg update; opkg install ca-bundle')

Оставлю тут ссылку на форум OpenWRT, где приведён более полный вариант настроек:
https://forum.openwrt.org/t/adding-dns-over-tls-support-to-o...

Ответить | Правка | Наверх | Cообщить модератору

15. "Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound"  +/
Сообщение от blackrooty (ok), 02-Окт-22, 00:17 
>[оверквотинг удален]
> Пример конфигурации:
> server:
>         tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
> forward-zone:
>         name: "."
>         forward-addr: 1.1.1.1#cloudflare-dns.com
>         forward-addr: 1.0.0.1#cloudflare-dns.com
>         forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
>         forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
>         forward-tls-upstream: yes

Точно

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру