Konfigurace DNSCrypt-proxy

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od ODra

Dne 2015-12-29 23:33 Upraveno 2015-12-29 23:41

Dobrý večer,

už druhým dnem se snažím nastavit DNSCrypt-proxy na Turris routeru. :roll:

Jak už sám název napovídá, jde o další vrstvu zabezpečení DNS dotazů (např. podobně jako se šifruje HTTP pomocí SSL na -> HTTPS). Více na DNSCrypt.org
Mnou zamýšlené řešení by mělo vypadat následovně:

 dnscrypt client                                                  dnscrypt server
Laptop/workstation/phone/tablet --------> home router --------> ISP ----------> the Internet -------->  public DNS resolver

                                            |------------------ Secured by DNSCrypt --------------------|
                                                                              |--- Secured by DNSSEC ---|
                                                                     |--- Most vulnerable to logging ---|

Problém nastává v samotné konfiguraci. Wiki OpenWrt navádí pouze k úpravě configu dnscryptu a dnsmasq. Nicméně, jelikož TurrisOS používá Dnsmasq v roli DHCP a Unbound jako DNS server, nevím si rady s funkčním nastavením těchto utilit. Jak mám podstrčit Turrisu, aby nechal resolvovat DNS dotazy Dnscryptu a sám je čekal např. na 127.0.0.1#5353. DNSCrypt by se měl dotazovat na překlad jmen rekurzivních DNS serverů v internetu a výsledky předkládat zařízením ve WLAN. A dalším vylepšením bych ještě rád nastavil Dnsmasq nebo Unbound do pozice local DNS cache (pro již zodpovězené dotazy).

Budu vděčný za jakékoliv nakopnutí správným směrem. :smile:

PS: DNSCrypt momentálně dostupný v repozitářích není, ale kdyby měl někdo zájem o balíčky, rád se o ně podělím.

Od Ondřej Caletka (>>>)

Dne 2015-12-30 18:21

Pokud jsem to dobře pochopil, potřebujete nastavit forwardování dotazů unbounda na 127.0.0.1@5353. Zkuste takovou adresu nastavit jako adresu DNS serveru u WAN a zapnout ve Forisu DNS forwardování. Možná se to někde na cestě zadrhne na tom zavináči. V takovém případě je potřeba forwardování naopak vypnout a založit si vlastní konfigurační soubor, třeba /etc/unbound/forward.conf:

forward-zone:
        name: "."
        forward-first: yes
        forward-addr: 127.0.0.1@5353

Na ten je pak třeba odkázat v UCI konfiguraci /etc/config/unbound:

config unbound 'includes'
        list include_path '/etc/unbound/forward.conf'

Nicméně moc nechápu smysl celého počínání. Stejně server, na kterém končí DNSCrypt tunel vidí všechny vaše dotazy, takže se vlastně chráníte jen před sledováním vaším nejbližším poskytovatelem. Ale ten zase vidí váš kompletní IP provoz, takže i bez informace o DNS má docela dobrou představu o tom, kam na internetu lezete.

Jinak Unbound také podporuje DNS over TLS. Takže místo zprovozňování DNSCrypt proxy serverů můžete na straně serveru spustit unbound s podporou TLS a na straně klienta na něj nastavit forwardování s volbou ssl-upstream: yes.