OpenWRT dan Unbound : menggunakan protokol DoT

Foto saya Penulis: Iwan Setiawan - Dibuat: · 2 min read · Label

mengenkripsi lalu lintas DNS untuk meningkatkan privasi lalu lintas. mencegah kebocoran DNS dan pembajakan lalu lintas DNS Anda melewati batasan regio

Tujuan artikel ini adalah untuk menambahkan unbound untuk mengizinkan kueri DNS melalui protokol DoT, sembari sedikit memodifikasi dnsmasq yang terinstal secara default.

Tujuannya adalah untuk:
  • mengenkripsi lalu lintas DNS untuk meningkatkan privasi lalu lintas.
  • mencegah kebocoran DNS dan pembajakan lalu lintas DNS Anda
  • melewati batasan regional atau ISP.

Proses Instalasi

Instal paket yang diperlukan: unbound unbound-control luci-app-unbound


# opkg update
# opkg install unbound unbound-control luci-app-unbound
Mungkin berguna untuk menginstal paket-paket terkait tak terikat lainnya ini:
  • unbound-checkconf: yang memastikan kepatuhan konfigurasi
  • unbound-control-setup : yang memungkinkan untuk menginstal/membuat sertifikat yang diperlukan untuk kontrol alat
  • unbound-host: untuk menguji

Proses Konfigurasi

dnsmasq

Edit file konfigurasi server dnsmasq /etc/config/dhcp, untuk memastikan dua opsi berikut:


option noresolv '1'
list server '127.0.0.1#531'

Unbound

Edit file /var/lib/unbound/unbound.conf

Instal Redis
server:
(…)
    port: 531
    do-ip4: yes
    do-ip6: yes
    do-tcp: yes
    hide-identity: yes
    hide-version: yes
    qname-minimisation: yes
    prefetch: yes
    rrset-roundrobin: yes
    minimal-responses: yes
    tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"
(…)
Tentang nomor port yang dipilih, di sini 531: tidak, kami tidak memilih 5353 yang biasanya dicadangkan untuk layanan mdns; tentu saja Anda dapat mengubahnya, lakukan saja sesuai dengan konfigurasi dnsmasq, tetapi pastikan untuk memilihnya dalam konteks nomor port istimewa, yaitu di bawah 1024. Pastikan untuk menambahkan/memodifikasi variabel kontrol akses untuk hanya mengotorisasi.


access-control: 0.0.0.0/0 refuse
access-control: ::0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: ::1 allow
Kemudian nyatakan pengalamatan IPv(4|6) LAN Anda, atau Wifi Anda, setelah itu modifikasi bagian zone.


forward-zone:
    name: "."
    forward-tls-upstream: yes
Kemudian tambahkan semua alamat IP server yang terkena dampak DoT; tentu saja protokol IPv4 dan IPv6 keduanya berfungsi.


 forward-addr: 9.9.9.9@853       # Quad9
    forward-addr: 1.1.1.1@853       # Cloudflare
    forward-addr: 149.112.112.112@853       # Quad9 secondaire
    forward-addr: 1.0.0.1@853       # Cloudflare secondaire
    forward-addr: 2620:fe::fe@853       # Quad9 / IPv6
    forward-addr: 2606:4700:4700::1111@853  # Cloudflare / IPv6
    forward-addr: 2606:4700:4700::1001@853  # Cloudflare secondaire / IPv6


 # FDN DoT
    ## https://www.fdn.fr/ouverture-des-services-dot-doh/
    forward-addr: 80.67.169.12@853
    forward-addr: 80.67.169.40@853
    forward-addr: 2001:910:800::12@853
    forward-addr: 2001:910:800::40@853
    # see: https://dnsprivacy.org/public_resolvers/
    # adguard.com: family protection
    ## https://adguard.com/en/blog/adguard-dns-announcement.html
    forward-addr: 94.140.14.15@853
    forward-addr: 94.140.15.16@853
    forward-addr: 2a10:50c0::bad1:ff@853
    forward-addr: 2a10:50c0::bad2:ff@853
    # applied-privacy.net
    forward-addr: 146.255.56.98@853
    forward-addr: 2a02:1b8:10:234::2@853
    # cleanbrowsing.org: family filter
    forward-addr: 185.228.168.168@853
    forward-addr: 185.228.169.168@853
    forward-addr: 2a0d:2a00:1::@853
    forward-addr: 2a0d:2a00:2::@853
    # controld.com
    ## https://controld.com/free-dns?
    forward-addr: 76.76.2.4@853
    forward-addr: 76.76.10.4@853
    forward-addr: 2606:1a40::4@853
    forward-addr: 2606:1a40:1::4@853
    # cz.nic
    forward-addr: 193.17.47.1@853
    forward-addr: 185.43.135.1@853
    forward-addr: 2001:148f:ffff::1@853
    forward-addr: 2001:148f:fffe::1@853
    # dnsforfamily.com
    forward-addr: 78.47.64.161@853
    forward-addr: 94.130.180.225@853
    forward-addr: 2a01:4f8:1c0c:40db::1@853
    forward-addr: 2a01:4f8:1c17:4df8::1@853
    # dot.sb
    forward-addr: 185.222.222.222@853
    forward-addr: 45.11.45.11@853
    forward-addr: 2a09::@853
    forward-addr: 2a11::@853
    # he.net
    forward-addr: 74.82.42.42@853
    forward-addr: 2001:470:20::2@853
    # libredns.gr
    forward-addr: 116.202.176.26@853
    forward-addr: 2a01:4f8:1c0c:8274::1@853
    # switch.ch
    forward-addr: 130.59.31.248@853
    forward-addr: 130.59.31.251@853
    forward-addr: 2001:620:0:ff::2@853
    forward-addr: 2001:620:0:ff::3@853

Lakukan Pemeriksaan

Jika Anda berpikir untuk menginstal alat unbound-checkconf, sekaranglah saatnya untuk menjalankannya guna memverifikasi bahwa perubahan/penulisan yang dibuat pada berkas konfigurasi sudah benar. Jika semuanya berjalan lancar, alat ini akan mengembalikan pesan informasi ini kepada Anda.


# unbound-checkconf
unbound-checkconf: no errors in /var/lib/unbound/unbound.conf
Jika ada kesalahan, dia akan memberi tahu Anda. Jika Anda berpikir untuk memasang alat unbound-host, maka Anda dapat menguji koneksi yang harus diamankan, dengan cara seperti ini, misalnya,


# unbound-host -vf /var/lib/unbound/root.key com.
com. has no address (secure)
com. has no IPv6 address (secure)
com. has no mail handler record (secure)
Penjelasan singkat tentang cara mengendalikan cara kerja unbound. Perlu untuk menginisialisasi pengaturan.


# unbound-control-setup
setup in directory /var/lib/unbound/
generating unbound_server.key
Generating RSA private key, 3072 bit long modulus
...............................................................................................................++
............................................................++
e is 65537 (0x10001)
generating unbound_control.key
Generating RSA private key, 3072 bit long modulus
........................................................................++
..................++
e is 65537 (0x10001)
create unbound_server.pem (self signed certificate)
create unbound_control.pem (signed client certificate)
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use
Kemudian edit berkas konfigurasi unbound, untuk menambahkan/menghapus komentar pada bagian kendali jarak jauh, misalnya:


remote-control:
    control-enable: yes
    control-interface: 127.0.0.1
    control-interface: ::1
    control-port: 8953
    control-use-cert: no
    server-key-file: "/var/lib/unbound/unbound_server.key"
    server-cert-file: "/var/lib/unbound/unbound_server.pem"
    control-key-file: "/var/lib/unbound/unbound_control.key"
    control-cert-file: "/var/lib/unbound/unbound_control.pem"
Setelah memulai ulang layanan, yang tersisa hanyalah menguji dengan alat kontrol tak terikat, seperti pada contoh:


# unbound-control -s ::1 status
version: 1.17.0
verbosity: 1
threads: 4
modules: 2 [ validator iterator ]
uptime: 3482 seconds
options: reuseport control
unbound (pid 32307) is running...
Dengan demikian, dimungkinkan untuk mengetahui nilai opsi apa pun dengan menggunakan opsi get_option diikuti dengan nama opsi. Demikian pula, tetap dimungkinkan untuk membuang cache untuk analisis aliran, menggunakan opsi dump_cache yang dialihkan ke nama file.
Subscribe on LinkedIn OpenWRT dan Unbound : menggunakan protokol DoT

Enclosures Link: OpenWRT dan Unbound : menggunakan protokol DoT
Foto saya Post By Iwan Setiawan
Linux and BSD are operating systems for various platforms that focus on features, speed, and stability. These systems are derived from UNIX versions
 Location: Jl. Raya Imam Bonjol No.86, Telagamurni, Kec. Cikarang Bar., Kabupaten Bekasi, Jawa Barat 17841, Indonesia

Latitude: -6.2697727 - Longitude: 107.1165375 +62 81289065249

Labels: Linux Post Comments Feed Blog Comments Feed 0 Komentar
4.94 / 169 rates
Posting Email

« Terbaru
Postingan Lebih Baru
Terlama »
Postingan Lama
Langganan: Posting Komentar (Atom)
Silahkan Berkomentar, Kakak...! Bunda...!

Posting Komentar