OpenWRT : proxy DNS DoH

Article publié, le 22 Décembre 2020 et modifié le 2 Mai 2023
2 minutes de lecture

Cet article contient 407 mots.
Source brute de l'article :
Commit version : d52797e

Description

Voyons dans cet article comment paramétrer OpenWRT pour qu’il puisse communiquer avec des serveurs DNS sur le protocole DoH .

Info

Le protocole DoH, bien que dans l’esprit est intéressant, dans la mise en pratique semble décrié, car n’apporte pas toute la confidentialité nécessaire à laquelle on s’attend, ou a besoin.
Faites des recherches pour comprendre la raison, pour laquelle il vaut mieux préférer DoT . Par exemple, vous pouvez lire la traduction suivante du problème relatif à DoH .

Le but est de :

chiffrer le trafic DNS afin d’améliorer la confidentialité de celui-ci.
prévenir d’une fuite DNS et les détournements de votre trafic DNS
bypasser les restrictions régionales ou celles du FAI .

Installation

Installons les deux paquets nécessaires que sont https-dns-proxy, et luci-app-https-dns-proxy.

# opkg update
# opkg install https-dns-proxy luci-app-https-dns-proxy

Puis il faut redémarrer le service rcpd.

# /etc/init.d/rpcd restart

Configuration

Info

Par défaut, le service est configuré pour utiliser les services des DNS de Google et de Cloudflare. Néanmoins, il est très facile de changer ce paramétrage ; sachez qu’actuellement, plusieurs autres choix sont possibles tels que CleanBrowsing, LibreDNS, Cira CA Shield, Adguard, qui proposent plusieurs listes de protections.

Le service est accessible par le menu “Services → HTTPS DNS Proxy”.

Paramétrez-le de manière à :

écouter un serveur DNS choisi par la liste proposée
sur l’adresse de bouclage interne localhost, soit sur le protocole IPv4, soit sur IPv6, ou les deux
et affecter un port de service sur lequel écouter.

Puis, appuyez sur le bouton :

[ SAVE & APPLY ] en bas de page
puis, dans la section Service Status, sur celui nommé [ RELOAD ]

Ainsi le service sera actif, et prendra en charge la communication vers les serveurs DNS DoH configurés.

Info

Si vous avez le service DHCP activé, sachez qu’il se répercute dans la section DNS forwardings du menu “Network → DNS and DHCP”.

Configuration CLI

Il est possible de configurer le service par le biais de la console shell :

Voici l’exemple que donne la communauté OpenWRT :

# Configure DoH provider
while uci -q delete https-dns-proxy.@https-dns-proxy[0]; do :; done
uci set https-dns-proxy.dns="https-dns-proxy"
uci set https-dns-proxy.dns.bootstrap_dns="8.8.8.8,8.8.4.4"
uci set https-dns-proxy.dns.resolver_url="https://dns.google/dns-query"
uci set https-dns-proxy.dns.listen_addr="127.0.0.1"
uci set https-dns-proxy.dns.listen_port="5053"
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart

Le paramétrage présenté est pour les serveurs DNS de Google…

Documentation

https://openwrt.org/docs/guide-user/services/dns/doh_dnsmasq_https-dns-proxy

Mais peut-être que vous préférerez utiliser DoT ; si oui, lisez : OpenWRT + Unbound : utiliser le protocole DoT

Enjoy-ID!
Enjoy-IT!