Description
Voyons dans cet article comment paramétrer OpenWRT pour qu’il puisse communiquer avec des serveurs DNS sur le protocole DoH .
Le but est de :
- chiffrer le trafic DNS afin d’améliorer la confidentialité de celui-ci.
- prévenir d’une fuite DNS et les détournements de votre trafic DNS
- bypasser les restrictions régionales ou celles du FAI .
Installation
Installons les deux paquets nécessaires que sont https-dns-proxy, et luci-app-https-dns-proxy.
# opkg update
# opkg install https-dns-proxy luci-app-https-dns-proxy
Puis il faut redémarrer le service rcpd.
# /etc/init.d/rpcd restart
Configuration
Le service est accessible par le menu “Services → HTTPS DNS Proxy”.
Paramétrez-le de manière à :
- écouter un serveur DNS choisi par la liste proposée
- sur l’adresse de bouclage interne localhost, soit sur le protocole IPv4, soit sur IPv6, ou les deux
- et affecter un port de service sur lequel écouter.
Puis, appuyez sur le bouton :
- [ SAVE & APPLY ] en bas de page
- puis, dans la section Service Status, sur celui nommé [ RELOAD ]
Ainsi le service sera actif, et prendra en charge la communication vers les serveurs DNS DoH configurés.
Configuration CLI
Il est possible de configurer le service par le biais de la console shell :
Voici l’exemple que donne la communauté OpenWRT :
# Configure DoH provider
while uci -q delete https-dns-proxy.@https-dns-proxy[0]; do :; done
uci set https-dns-proxy.dns="https-dns-proxy"
uci set https-dns-proxy.dns.bootstrap_dns="8.8.8.8,8.8.4.4"
uci set https-dns-proxy.dns.resolver_url="https://dns.google/dns-query"
uci set https-dns-proxy.dns.listen_addr="127.0.0.1"
uci set https-dns-proxy.dns.listen_port="5053"
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart
Le paramétrage présenté est pour les serveurs DNS de Google…
Documentation
Mais peut-être que vous préférerez utiliser DoT ; si oui, lisez : OpenWRT + Unbound : utiliser le protocole DoT
Enjoy-ID! Enjoy-IT!