Description
Voyons dans cet article comment paramétrer OpenWRT pour qu’il puisse communiquer avec des serveurs DNS sur le protocole DoH .
Le protocole DoH, bien que dans l’esprit est intéressant, dans la mise
en pratique semble décrié, car n’apporte pas toute la confidentialité
nécessaire à laquelle on s’attend, ou a besoin.
Faites des recherches pour comprendre la raison, pour laquelle il vaut mieux préférer DoT . Par exemple, vous pouvez lire la traduction suivante du problème relatif à DoH .
Faites des recherches pour comprendre la raison, pour laquelle il vaut mieux préférer DoT . Par exemple, vous pouvez lire la traduction suivante du problème relatif à DoH .
Le but est de :
- chiffrer le trafic DNS afin d’améliorer la confidentialité de celui-ci.
- prévenir d’une fuite DNS et les détournements de votre trafic DNS
- bypasser les restrictions régionales ou celles du FAI .
Installation
Installons les deux paquets nécessaires que sont https-dns-proxy, et luci-app-https-dns-proxy.
# opkg update
# opkg install https-dns-proxy luci-app-https-dns-proxy
Puis il faut redémarrer le service rcpd.
# /etc/init.d/rpcd restart
Configuration
Par défaut, le service est configuré pour utiliser les services des DNS
de Google et de Cloudflare. Néanmoins, il est très facile de changer ce
paramétrage ; sachez qu’actuellement, plusieurs autres choix sont possibles
tels que CleanBrowsing, LibreDNS, Cira CA Shield, Adguard, qui proposent
plusieurs listes de protections.
Le service est accessible par le menu “Services → HTTPS DNS Proxy”.
Paramétrez-le de manière à :
- écouter un serveur DNS choisi par la liste proposée
- sur l’adresse de bouclage interne localhost, soit sur le protocole IPv4, soit sur IPv6, ou les deux
- et affecter un port de service sur lequel écouter.
Puis, appuyez sur le bouton :
- [ Save & Appy ] en bas de page
- puis, dans la section Service Status, sur celui nommé [ Reload ]
Ainsi le service sera actif, et prendra en charge la communication vers les serveurs DNS DoH configurés.
Si vous avez le service DHCP activé, sachez qu’il se répercute dans la
section DNS forwardings du menu “Network → DNS and DHCP”.
Configuration CLI
Il est possible de configurer le service par le biais de la console shell :
Voici l’exemple que donne la communauté OpenWRT :
# Configure DoH provider
while uci -q delete https-dns-proxy.@https-dns-proxy[0]; do :; done
uci set https-dns-proxy.dns="https-dns-proxy"
uci set https-dns-proxy.dns.bootstrap_dns="8.8.8.8,8.8.4.4"
uci set https-dns-proxy.dns.resolver_url="https://dns.google/dns-query"
uci set https-dns-proxy.dns.listen_addr="127.0.0.1"
uci set https-dns-proxy.dns.listen_port="5053"
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart
Le paramétrage présenté est pour les serveurs DNS de Google…