DNSCrypt-Proxy

Плагин os-dnscrypt-proxy представляет собой гибкий DNS прокси-сервер с поддержкой современных шифрованых DNS протоколов DNSCrypt v2, DNS-over-HTTPS и Anonymized DNSCrypt.

Также плагин os-dnscrypt-proxy может выступать в роли самостоятельного DNS резолвера.

Установка плагина.

Перейдите в раздел Система -> Прошивка -> Плагины

На вкладке Плагины нажмите на кнопку + напротив плагина os-dnscrypt-proxy для его установки.

Настройка плагина

Перейдите в раздел Службы -> DNSCrypt-Proxy -> Конфигурация

Закладка Общие:

Выполните основные настройки плагина:

_images/common_settings_1.png
  • Включить прокси DNSCrypt - Включение плагина.

  • Адрес для прослушивания -Задайте комбинации IP-адресов и портов, которые должна прослушивать эта служба в формате IPv4 адрес:порт и/или [IPv6 адрес]:порт ( к примеру 127.0.0.1:5353 и/или [:: 1]:53 )

  • Разрешить привилегированные порты - Установите, чтоб разрешить службе работать на порту 53. [1]

  • Максимум Клиентских Подключений - Установите максимальное число одновременных клиентских подключений.

  • Использовать сервера IPv4 - Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv4. [2]

  • Использовать сервера IPv6 - Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv6. [2]

  • Использовать сервера DNSCrypt - Разрешить DNSCrypt-Proxy использовать серверы с включенным протоколом DNSCrypt. [2]

  • Использование серверов DNS-over-HTTPS - Разрешить DNSCrypt-Proxy использовать серверы с включенным протоколом DNS-over-HTTPS. [2]

  • Требовать DNSSEC - Используйте только DNS-сервер с включенным DNSSEC. [2]

  • Требовать NoLog - Используйте только DNS-сервер без журналирования запросов пользователей. [2]

  • Требовать NoFilter - Используйте только DNS-сервер без собственного черного списка. ( есть много серверов, удаляющих рекламу или с включенным родительским контролем.) [2]

  • Принудительно TCP - Всегда использовать TCP для подключения к вышестоящим серверам.

  • Прокси - Использовать для маршрутизации всех TCP-соединений на локальный узел Tor, формат должен быть 127.0.0.1:9050

  • Тайм-аут - Как долго DNS-запрос будет ждать ответа в миллисекундах.

  • Постоянное соединение - Длительность keepalive (сек.) для запросов HTTP (HTTPS, HTTP/2) в секундах.

  • Задержка обновления сертификата - Задержка в минутах, после чего сертификаты перезагружаются.

_images/common_settings_2.png
  • Ключи Ephemeral - Создайте новый уникальный ключ для каждого DNS-запроса ( это может улучшить конфиденциальность, но также может оказать значительное влияние на использование ЦП )

  • TLS отключить тикеты сеанса - Отключить тикеты сеанса TLS ( увеличивает конфиденциальность, но и задержку ).

  • Резервный резолвер - Адрес DNS сервера, который будет использоваться только для первоначальных запросов при получении исходного списка шифрованых DNS серверов и только если конфигурация DNS системы не работает. Формат IP адрес:порт ( к примеру 9.9.9.9:53 ).

  • Блокировка IPv6 - Отвечать на запросы, связанные с IPv6, пустым ответом ( обработка будет быстрее, когда не используется IPv6).

  • Кэш - Включить кэш DNS для уменьшения задержки и экономии исходящего трафика.

  • Размер кэша - Задайте размер DNS кэша.

  • Кэш минимальное значение TTL - Минимальный TTL для кэшированных записей.

  • Кэш максимальное значение TTL - Максимальный TTL для кэшированных записей.

  • Кэш минимальное значение отрицательного TTL - Минимальный TTL для отрицательных кэшированных записей.

  • Кэш максимальное значение отрицательного TTL - Максимальный TTL для отрицательных кэшированных записей.

  • Список серверов - Установите список серверов, которые будут использоваться для запросов. [2]

После внесения всех изменений нажмите Сохранить

Закладка Пересылки:

Иногда возникает необходимость часть запросов пересылать на определенные DNS сервера (к примеру, локальные).

В таком случае вам необходимо создать описание такой пересылки (форвардинга).

Для этого нажмите + и добавьте описание пересылки:

_images/forwarding.png
  • Включен - включить данный форвардинг.

  • Домен - имя домена, для которого необходимо использовать конкретный DNS сервер.

  • DNS-сервер - IP адрес DNS сервера, на который будут пересылаться запросы. Можно использовать список адресов, разделенный запятой.

Закладка Переопределение:

На данной закладке вы можете создать записи переопределения доменов в определенные IP адреса (аналог файла hosts). В случае совпадения записи, плагин os-dnscrypt-proxy не будет пересылать запрос вышестоящим серверам, а сразу вернет ответ клиенту.

Для этого нажмите + и добавьте описание переопределения:

_images/cloaking.png
  • Включен - включить данное переопределение.

  • Имя - имя домена, для котрого необходимо выполнять переопределение. [3]

  • Получатель - адрес, который будет возвращен клиенту в случае совпадения. [4]

*.example.com
=example.com
*.example.*
example.*
example[0-9]*

Закладка Серверы:

При отсутствии сервера, необходимого для обработки ваших запросов, вы можете самостоятельно добавить его описание и использовать его в дальнейшем.

Для этого на закладке Серверы нажмите + и добавьте описание необходимого вам сервера.

_images/servers_descr.png
  • Имя - название сервера, которое используется в списке серверов.

  • SDNS Stamp - Штамп сервера, в котором закодирован адрес сервера и его свойства. [*]

Закладка DNSBL:

На данной закладке вы можете задать списки DNSBL фильтров, с помощью которых можно ограничивать запросы пользователей (черный список).

_images/dnsbl.png

Для этого вам необходимо Включить данную настройку и в выпадающем списке отметь необходимые списки.

Закладка Белый список:

В случае, если необходимый домен попадает в черный список, вы можете создать исключение для него.

Для этого нажмите + и добавьте необходимую запись. []

_images/whitelist.png

Настройка работы в качестве кеширующего сервера DNS:

Для настройки плагина os-dnscrypt-proxy в качестве проксирующего резолвера необходимо выполнить следующие настройки:

  1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту, кроме Unbound DNS.

  2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

  3. Убедитесь, что сняты галочки с настроек
    • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

    • Не используйте локальную службу DNS в качестве сервера имен для этой системы

  4. В общих настройках плагина os-dnscrypt-proxy:
  5. Перейти в настройку сервера Unbound DNS (Службы -> Unbound DNS -> Общие)

  6. Выключите параметр Переадресация DNS-запросов.

  7. В секцию Пользовательские настройки внесите следующий код:

    do-not-query-localhost: no
    forward-zone:
        name: "."
            forward-addr: 127.0.0.1@5353
    

    Адрес и порт должны совпадать с введенными ранее в П.4

  8. Нажмите кнопку Сохранить, а затем Применить изменения

Настройка в качестве основного резолвера DNS:

Для настройки плагина os-dnscrypt-proxy в качестве основного резолвера необходимо выполнить следующие настройки:

  1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту (Unbound DNS, Dnsmasq DNS).

  2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

  3. Убедитесь, что сняты галочки с настроек
    • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

    • Не используйте локальную службу DNS в качестве сервера имен для этой системы

  4. В общих настройках плагина os-dnscrypt-proxy:

Журналы:

В данном разделе вы можете просмотреть журналы работы плагина и выполненных запросов.