OPNsense通过Unbound DNS配置DoT

DNS over TLS(DoT) 是一种加密DNS请求的方式。DoT和DoH之间的主要区别是DoT使用 UDP协议,一般使用853端口;而DoH使用TCP协议,一般使用443端口。通过DoH发送的DNS请求将与其他HTTPS流量混合,而基于DoT的DNS请求则单独使用853端口。这两种方法具有近似的安全级别,可能DoH相对会提升一些隐私。而DoT的流量与HTTPS流量是分开的,相对更容易被监控。在OPNsense的新版本中,已经可以支持DoT。

将DoT服务器添加到Unbound

转到“Services > Unbound DNS > DNS over TLS”页面。单击“ ”按钮添加一个新的DNS over TLS服务器。本文使用CloudFlare的DNS服务器作为示例,当然其他任何DoT服务器也是可以的。

未绑定的 DNS over TLS 空白页

“服务器 IP”输入 1.1.1.1,“服务器端口”输入853。一般不需要“验证 CN”选项来验证 DoT服务器证书上的公用名。该选项通过确保连接到所需的服务器而不是某个“中间人”服务器来帮助提高安全性。对于1.1.1.1 DNS服务器,CN 是cloudflare-dns.com。

通过 TLS 添加服务器的未绑定 DNS

单击“保存”后,服务器会出现在列表中。单击“应用”按钮使更改生效。

未绑定 DNS over TLS 列表

在应用更改之前,如果内部网络使用IPv6地址,还必须添加辅助1.0.0.1 DNS 地址以及 IPv6 DNS 服务器地址(2606:4700:4700::1111 和 2606:4700:4700::1001)。

基于 TLS 的未绑定 DNS 完整列表

Cloudflare还提供阻止恶意软件和成人内容的DNS服务器。如果希望使用Cloudflare 提供的过滤DNS,可以使用下表的DNS代替,服务器的端口都是853。

DNS 过滤器 服务器 IP 公用名
恶意软件 1.1.1.2 security.cloudflare-dns.com
恶意软件 1.1.1.2 security.cloudflare-dns.com
恶意软件 2606:4700:4700::1112 security.cloudflare-dns.com
恶意软件 2606:4700:4700::1002 security.cloudflare-dns.com
恶意软件 成人 1.1.1.3 security.cloudflare-dns.com
恶意软件 成人 1.0.0.3 security.cloudflare-dns.com
恶意软件 成人 2606:4700:4700::1113 security.cloudflare-dns.com
恶意软件 成人 2606:4700:4700::1003 security.cloudflare-dns.com

测试DoT配置

点击Cloudflare的测试网站,该页面可以测试当前是否正在使用DoT或DoH。此外,该测试页面还可以检查浏览器是否启用了自己的DoT或DoH 配置。例如,在Chrome浏览器上显示仅使用了DoT:

Chrome 和 Brave DoT 测试

检查DNS查询是否通过853端口发送的另一个方法,是调整Unbound DNS的日志级别。转到“Unbound DNS > Advanced”,将日志级别修改为2以上。选中“日志查询”选项,然后点击“保存”。再点击“应用更改”。

未绑定日志级别

现在查看日志,应该会在853端口上看到来自CloudFlare DNS服务器的部分回复:

未绑定日志级别

结论

如果需要控制内部网络都使用DoT,可以将所有针对53端口的请求重定向到Unbound DNS。如果只想使用 DoT,可以使用公共DNS阻止列表来尽可能减少基于HTTPS的DNS 流量。

原文地址