====== DNSCrypt на Pi-hole ====== DNSCrypt - это сетевой протокол, реализующий шифрование DNS-запросов между компьютером пользователя и специальными DNS-серверами. Шифрование DNS запросов позволяет защитить себя от некоторых видов сетевых атак, скрывает от посторонних глаз ваш трафик по протоколу DNS и позволяет обойти блокировки на уровне DNS-запросов. Для использования DNSCrypt на клиентских машинах (или на локальном DNS-сервере) необходимо установить DNSCrypt-proxy, код которого открыт и размещен на [[https://github.com/DNSCrypt/dnscrypt-proxy/|GitHub]]. В качестве DNSCrypt-сервера (резолвера) могут использоваться публичные сервера (сразу несколько), либо собственный сервер на базе [[https://github.com/DNSCrypt/dnscrypt-server-docker|dnscrypt-server]]. ===== Установка DNSCrypt-proxy ===== Со [[https://github.com/DNSCrypt/dnscrypt-proxy/releases|страницы релизов]] скачиваем архив для нашей системы: <code>cd ~ && wget https://github.com/DNSCrypt/dnscrypt-proxy/releases/download/2.0.45/dnscrypt-proxy-linux_arm-2.0.45.tar.gz</code> Распаковываем и удаляем архив: <code>tar -xvzf dnscrypt-proxy-linux_arm-2.0.45.tar.gz && rm -f dnscrypt-proxy-linux_arm-2.0.45.tar.gz</code> Переходим в распакованный каталог, создаем конфигурационный файл, путем копирования файла из поставки: <code>mv linux-arm dnscrypt-proxy && cd dnscrypt-proxy && cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml</code> ==== Настройка DNSCrypt-proxy ==== Редактируем файл: <code>nano dnscrypt-proxy.toml</code> Указываем адрес и порт, на котором будет работать сервис: <code>listen_addresses = ['127.0.0.1:5053']</code> Параметру cache можно присвоить значение false, для того, чтобы dnscrypt-proxy не использовала собственный кэш, т.к., у нас будет использоваться кэш pi-hole. <code>cache = true</code> По-умолчанию, в качестве резолверов будут использоваться публичные сервера, содержащиеся в списках на GitHub. Адреса этих списков перечислены в разделе [sources] конфигурационного файла. DNSCrypt-proxy будет автоматически выбирать из них самые быстрые сервера. Для того, чтобы использовать только ограниченный набор серверов из этих списков, необходимо раскомментировать строку: <code># server_names = ['scaleway-fr', 'google', 'yandex', 'cloudflare']</code> Здесь через запятую перечисляются имена серверов, которые будут использоваться DNSCrypt-proxy (имена, описание и адреса можно посмотреть в конкретном списке ([[https://github.com/DNSCrypt/dnscrypt-resolvers/blob/master/v3/public-resolvers.md|public-resolvers.md]])). Например, для использования только серверов AdGuard можно оставить такую строку: <code>server_names = ['adguard-dns']</code> Для использования какого-то одного DNS-резолвера (например, своего собственного или какого-то платного), укажите его имя иадрес в секции [static]. Пример: <code>[static] [static.'myserver'] stamp = 'sdns://AQcAAAAAAAAAAAAQMi5kbnNjcnlwdC1jZXJ0Lg'</code> Не забудьте в этом случае указать имя вашего сервера в параметре server_names: <code>server_names = ['myserver']</code> Для анонимизации ваших обращений к DNS-резолверам и усложнения идентификации исходного места отправления DNS-запроса можно использовать секцию routes. В этой секции сопоставляются сервера, которые вы планируете использовать с путями их достижения, т.е., с промежуточными серверами, через которые будут идти ваши запросы. Пример: <code>routes = [ { server_name='example-server-1', via=['anon-example-1', 'anon-example-2'] }, { server_name='example-server-2', via=['sdns://gRIxMzcuNzQuMjIzLjIzNDo0NDM'] } ]</code> В этом примере для разрешения имен будут использоваться два сервера: example-server-1 и example-server-2. Запросы к первому серверу будут идти через сервера anon-example-1 и anon-example-2, ко второму серверу - через сервер с адресом %%sdns://gRIxMzcuNzQuMjIzLjIzNDo0NDM%%. Кроме того, можно отключить запросы к несовместимым серверам с помощью параметра: skip_incompatible = false Более подробную информацию о списках можно получить со страницы: https://github.com/DNSCrypt/dnscrypt-resolvers Остальные параметры конфигурационного файла можно оставить без изменений. Проверяем корректность конфигурационного файла: <code>./dnscrypt-proxy -check</code> ==== Установка сервиса DNSCrypt-proxy ==== Установка производится исполнением распакованного бинарного файла с параметром -service install: <code>sudo ./dnscrypt-proxy -service install</code> Запуск сервиса: <code>sudo ./dnscrypt-proxy -service start</code> Проверяем, что всё работает: <code>sudo systemctl status dnscrypt-proxy</code> и <code>./dnscrypt-proxy -resolve www.aol.com</code> ===== Настройка Pi-hole ===== Необходимо указать сервис адрес и порт установленного DNSCrypt-proxy в соответствующем поле настроек для вышестоящего DNS-сервера (Settings - DNS): {{pi-hole:dohconfig.png|Настройки вышестоящего DNS-сервера}}\\ На этом всё. Информацию по быстрой настройке собственного DNSCrypt-сервера можно найти на этой странице (EN):\\ https://github.com/DNSCrypt/dnscrypt-proxy/wiki/How-to-setup-your-own-DNSCrypt-server-in-less-than-10-minutes ====== Ссылки ====== Страница проекта на GitHub: https://github.com/DNSCrypt/ \\ Сравнение DNS over TLS и DNSCrypt (EN): https://tenta.com/blog/post/2017/12/dns-over-tls-vs-dnscrypt