113 lines
7.5 KiB
Plaintext
113 lines
7.5 KiB
Plaintext
====== DNSCrypt на Pi-hole ======
|
||
|
||
DNSCrypt - это сетевой протокол, реализующий шифрование DNS-запросов между компьютером пользователя и специальными DNS-серверами.
|
||
|
||
Шифрование DNS запросов позволяет защитить себя от некоторых видов сетевых атак, скрывает от посторонних глаз ваш трафик по протоколу DNS и позволяет обойти блокировки на уровне DNS-запросов.
|
||
|
||
Для использования DNSCrypt на клиентских машинах (или на локальном DNS-сервере) необходимо установить DNSCrypt-proxy, код которого открыт и размещен на [[https://github.com/DNSCrypt/dnscrypt-proxy/|GitHub]].
|
||
|
||
В качестве DNSCrypt-сервера (резолвера) могут использоваться публичные сервера (сразу несколько), либо собственный сервер на базе [[https://github.com/DNSCrypt/dnscrypt-server-docker|dnscrypt-server]].
|
||
|
||
===== Установка DNSCrypt-proxy =====
|
||
|
||
Со [[https://github.com/DNSCrypt/dnscrypt-proxy/releases|страницы релизов]] скачиваем архив для нашей системы:
|
||
|
||
<code>cd ~ && wget https://github.com/DNSCrypt/dnscrypt-proxy/releases/download/2.0.45/dnscrypt-proxy-linux_arm-2.0.45.tar.gz</code>
|
||
|
||
Распаковываем и удаляем архив:
|
||
|
||
<code>tar -xvzf dnscrypt-proxy-linux_arm-2.0.45.tar.gz && rm -f dnscrypt-proxy-linux_arm-2.0.45.tar.gz</code>
|
||
|
||
Переходим в распакованный каталог, создаем конфигурационный файл, путем копирования файла из поставки:
|
||
|
||
<code>mv linux-arm dnscrypt-proxy && cd dnscrypt-proxy && cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml</code>
|
||
|
||
==== Настройка DNSCrypt-proxy ====
|
||
|
||
Редактируем файл:
|
||
|
||
<code>nano dnscrypt-proxy.toml</code>
|
||
|
||
Указываем адрес и порт, на котором будет работать сервис:
|
||
|
||
<code>listen_addresses = ['127.0.0.1:5053']</code>
|
||
|
||
Параметру cache можно присвоить значение false, для того, чтобы dnscrypt-proxy не использовала собственный кэш, т.к., у нас будет использоваться кэш pi-hole.
|
||
<code>cache = true</code>
|
||
|
||
По-умолчанию, в качестве резолверов будут использоваться публичные сервера, содержащиеся в списках на GitHub.
|
||
|
||
Адреса этих списков перечислены в разделе [sources] конфигурационного файла.
|
||
|
||
DNSCrypt-proxy будет автоматически выбирать из них самые быстрые сервера.
|
||
|
||
Для того, чтобы использовать только ограниченный набор серверов из этих списков, необходимо раскомментировать строку:
|
||
<code># server_names = ['scaleway-fr', 'google', 'yandex', 'cloudflare']</code>
|
||
Здесь через запятую перечисляются имена серверов, которые будут использоваться DNSCrypt-proxy (имена, описание и адреса можно посмотреть в конкретном списке ([[https://github.com/DNSCrypt/dnscrypt-resolvers/blob/master/v3/public-resolvers.md|public-resolvers.md]])).
|
||
|
||
Например, для использования только серверов AdGuard можно оставить такую строку:
|
||
<code>server_names = ['adguard-dns']</code>
|
||
|
||
Для использования какого-то одного DNS-резолвера (например, своего собственного или какого-то платного), укажите его имя иадрес в секции [static].
|
||
|
||
Пример:
|
||
<code>[static]
|
||
|
||
[static.'myserver']
|
||
stamp = 'sdns://AQcAAAAAAAAAAAAQMi5kbnNjcnlwdC1jZXJ0Lg'</code>
|
||
|
||
Не забудьте в этом случае указать имя вашего сервера в параметре server_names:
|
||
|
||
<code>server_names = ['myserver']</code>
|
||
|
||
Для анонимизации ваших обращений к DNS-резолверам и усложнения идентификации исходного места отправления DNS-запроса можно использовать секцию routes.
|
||
|
||
В этой секции сопоставляются сервера, которые вы планируете использовать с путями их достижения, т.е., с промежуточными серверами, через которые будут идти ваши запросы.
|
||
|
||
Пример:
|
||
<code>routes = [
|
||
{ server_name='example-server-1', via=['anon-example-1', 'anon-example-2'] },
|
||
{ server_name='example-server-2', via=['sdns://gRIxMzcuNzQuMjIzLjIzNDo0NDM'] }
|
||
]</code>
|
||
|
||
В этом примере для разрешения имен будут использоваться два сервера: example-server-1 и example-server-2. Запросы к первому серверу будут идти через сервера anon-example-1 и anon-example-2, ко второму серверу - через сервер с адресом %%sdns://gRIxMzcuNzQuMjIzLjIzNDo0NDM%%.
|
||
|
||
Кроме того, можно отключить запросы к несовместимым серверам с помощью параметра: skip_incompatible = false
|
||
|
||
Более подробную информацию о списках можно получить со страницы: https://github.com/DNSCrypt/dnscrypt-resolvers
|
||
|
||
Остальные параметры конфигурационного файла можно оставить без изменений.
|
||
|
||
Проверяем корректность конфигурационного файла:
|
||
|
||
<code>./dnscrypt-proxy -check</code>
|
||
|
||
==== Установка сервиса DNSCrypt-proxy ====
|
||
|
||
Установка производится исполнением распакованного бинарного файла с параметром -service install:
|
||
|
||
<code>sudo ./dnscrypt-proxy -service install</code>
|
||
|
||
Запуск сервиса:
|
||
<code>sudo ./dnscrypt-proxy -service start</code>
|
||
|
||
Проверяем, что всё работает:
|
||
<code>sudo systemctl status dnscrypt-proxy</code>
|
||
и
|
||
<code>./dnscrypt-proxy -resolve www.aol.com</code>
|
||
|
||
===== Настройка Pi-hole =====
|
||
|
||
Необходимо указать сервис адрес и порт установленного DNSCrypt-proxy в соответствующем поле настроек для вышестоящего DNS-сервера (Settings - DNS):
|
||
|
||
{{pi-hole:dohconfig.png|Настройки вышестоящего DNS-сервера}}\\
|
||
|
||
На этом всё.
|
||
|
||
Информацию по быстрой настройке собственного DNSCrypt-сервера можно найти на этой странице (EN):\\
|
||
https://github.com/DNSCrypt/dnscrypt-proxy/wiki/How-to-setup-your-own-DNSCrypt-server-in-less-than-10-minutes
|
||
|
||
====== Ссылки ======
|
||
|
||
Страница проекта на GitHub: https://github.com/DNSCrypt/ \\
|
||
Сравнение DNS over TLS и DNSCrypt (EN): https://tenta.com/blog/post/2017/12/dns-over-tls-vs-dnscrypt |