Почитав несколько статей на тему #DoT, я решил написать небольшую заметку по настройки #OPNsense на использование этого протокола.
DNS поверх TLS или #DoT это протокол, при помощи которого происходит шифрование запросов и ответов к #DNS через #TLS. Таким образом, повышается конфиденциальность и безопасность пользователей в интернете.
Не все публичные сервера поддерживают #DoT. Список наиболее предпочтительных, по моему мнению, я приведу в таблице в конце статьи. А теперь, по пунктам, я расскажу как правильно настроить #OPNsense, чтобы она задействовала протокол #DoT в своей работе. Для этого нужно выполнить всего несколько шагов…
- System / Settings / General
- Удалить все записи о DNS, если они имеются.
- Отключить параметр Allow DNS server list to be overridden by DHCP/PPP on WAN.
- Отключить параметр Do not use the local DNS service as a nameserver for this system.
- Services / Unbound DNS / General
- Включить сервис, поставив галочку напротив Enable.
- Выбрать в параметре Network Interfaces пункт локальной сети, в данном случае, LAN.
- Включить DNSSEC, поставив галочку напротив парамера Enable DNSSEC Support.
- Остальные параметры можно не трогать.
- Services / Unbound DNS / DNS over TLS
- Добавить публичные сервера DNS из списка ниже.
Ниже я привожу список публичных серверов #DNS, которые поддерживают функцию DNS over TLS (#DoT).
| Server IP | Server Port | Verify CN |
|---|
| 1.1.1.1 | 853 | cloudflare-dns.com |
| 1.0.0.1 | 853 | cloudflare-dns.com |
| 2606:4700:4700::1111 | 853 | cloudflare-dns.com |
| 2606:4700:4700::1001 | 853 | cloudflare-dns.com |
| Server IP | Server Port | Verify CN |
|---|
| 8.8.8.8 | 853 | dns.google |
| 8.8.4.4 | 853 | dns.google |
| 2001:4860:4860::8888 | 853 | dns.google |
| 2001:4860:4860::8844 | 853 | dns.google |
| Server IP | Server Port | Verify CN |
|---|
| 9.9.9.9 | 853 | dns.quad9.net |
| 149.112.112.112 | 853 | dns.quad9.net |
| 2620:fe::fe | 853 | dns.quad9.net |
| 2620:fe::9 | 853 | dns.quad9.net |
| Server IP | Server Port | Verify CN |
|---|
| 208.67.222.222 | 853 | dns.opendns.com |
| 208.67.220.220 | 853 | dns.opendns.com |
| 2620:119:35::35 | 853 | dns.opendns.com |
| 2620:119:53::53 | 853 | dns.opendns.com |
| Server IP | Server Port | Verify CN |
|---|
| 185.228.168.9 | 853 | security-filter-dns.cleanbrowsing.org |
| 185.228.169.9 | 853 | security-filter-dns.cleanbrowsing.org |
| 2a0d:2a00:1::2 | 853 | security-filter-dns.cleanbrowsing.org |
| 2a0d:2a00:2::2 | 853 | security-filter-dns.cleanbrowsing.org |
| Server IP | Server Port | Verify CN |
|---|
| 94.140.14.14 | 853 | dns.adguard-dns.com |
| 94.140.15.15 | 853 | dns.adguard-dns.com |
| 2a10:50c0::ad1:ff | 853 | dns.adguard-dns.com |
| 2a10:50c0::ad2:ff | 853 | dns.adguard-dns.com |
