pfSense配置TLS协议DNS

现在已经有越来越多的DNS提供商通过TLS提供DNS,这提升了DNS查询的安全性和隐私性

从pfSense2.3版本开始提供的Unbound,默认启用了内置DNS解析器,这让pfSense上配置TLS协议的DNS变得非常简单。

下面以pfSense2.5版本为例,来介绍配置过程。

注意:本示例仅适用于DNS解析器。由于示例定义了自己的转发区域,因此在DNS解析器中,不选中转发模式,这与官方的配置方法相同。

配置系统DNS

转到系统>常规设置,然后在DNS服务器下为每个WAN网关添加一个DNS。注意不要选中“ DNS服务器覆盖”选项,以避免修改为ISP提供的DNS。

配置Unbound

导航到服务> DNS解析器。确保启用了DNS解析器。选择全部网络接口。选中使用SSL / TLS。

打开自定义选项,输入以下数据:

server:
forward-zone:
name: "."
forward-ssl-upstream: yes
forward-addr: 1.1.1.1@853
forward-addr: 9.9.9.9@853
forward-addr: 8.8.8.8@853
forward-addr: 149.112.112.112@853

注意,这里的DNS必须支持TLS,填写完成后如下图所示:

保存设置,并点击应用。

测试设置

客户端将DNS指定为防火墙的默认网关,打开网页,正常浏览。然后转到诊断>状态,使用853端口过滤,就可以查看DNS查询的情况。

如果要验证DNSSEC支持。只需打开https://dnssec.vs.uni-due.de/点击“开始测试”。

如果支持DNSSEC,则显示下面的画面:

不支持DNSSEC,将出现下面的画面:

0_1547987036758_6.jpg

注意,在切换DNSSEC和测试过程中,要确保使用无痕浏览或清除浏览器的缓存。

相关文章:OPNsense配置TLS协议DNS

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注