DNSCrypt-Proxy

DNSCrypt-Proxy представляет собой гибкий DNS прокси-сервер с поддержкой современных шифрованых DNS протоколов DNSCrypt v2 , DNS-over-HTTPS и Anonymized DNSCrypt .

Также может выступать в роли самостоятельного DNS-резолвера.

Настройка

Перейдите в раздел Службы ‣ DNSCrypt-Proxy ‣ Конфигурация.

Общие

Выполните основные настройки плагина:

• Включить прокси DNSCrypt - Включение плагина.

• Адрес для прослушивания -Задайте комбинации IP-адресов и портов, которые должна прослушивать эта служба в формате IPv4 адрес:порт и/или [IPv6 адрес]:порт ( к примеру 127.0.0.1:5353 и/или [:: 1]:53 )

• Разрешить привилегированные порты - Установите, чтоб разрешить службе работать на порту 53. [1]

• Максимум Клиентских Подключений - Установите максимальное число одновременных клиентских подключений.

• Использовать сервера IPv4 - Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv4. [2]

• Использовать сервера IPv6 - Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv6. [2]

• Использовать сервера DNSCrypt - Разрешить DNSCrypt-Proxy использовать серверы с включенным протоколом DNSCrypt. [2]

• Использование серверов DNS-over-HTTPS - Разрешить DNSCrypt-Proxy использовать серверы с включенным протоколом DNS-over-HTTPS. [2]

• Требовать DNSSEC - Используйте только DNS-сервер с включенным DNSSEC. [2]

• Требовать NoLog - Используйте только DNS-сервер без журналирования запросов пользователей. [2]

• Требовать NoFilter - Используйте только DNS-сервер без собственного черного списка. ( есть много серверов, удаляющих рекламу или с включенным родительским контролем.) [2]

• Принудительно TCP - Всегда использовать TCP для подключения к вышестоящим серверам.

• Прокси - Использовать для маршрутизации всех TCP-соединений на локальный узел Tor, формат должен быть 127.0.0.1:9050

• Тайм-аут - Как долго DNS-запрос будет ждать ответа в миллисекундах.

• Постоянное соединение - Длительность keepalive (сек.) для запросов HTTP (HTTPS, HTTP/2) в секундах.

• Задержка обновления сертификата - Задержка в минутах, после чего сертификаты перезагружаются.

• Ключи Ephemeral - Создайте новый уникальный ключ для каждого DNS-запроса ( это может улучшить конфиденциальность, но также может оказать значительное влияние на использование ЦП )

• TLS отключить тикеты сеанса - Отключить тикеты сеанса TLS ( увеличивает конфиденциальность, но и задержку ).

• Резервный резолвер - Адрес DNS сервера, который будет использоваться только для первоначальных запросов при получении исходного списка шифрованых DNS серверов и только если конфигурация DNS системы не работает. Формат IP адрес:порт ( к примеру 9.9.9.9:53 ).

• Блокировка IPv6 - Отвечать на запросы, связанные с IPv6, пустым ответом ( обработка будет быстрее, когда не используется IPv6).

• Кэш - Включить кэш DNS для уменьшения задержки и экономии исходящего трафика.

• Размер кэша - Задайте размер DNS кэша.

• Кэш минимальное значение TTL - Минимальный TTL для кэшированных записей.

• Кэш максимальное значение TTL - Максимальный TTL для кэшированных записей.

• Кэш минимальное значение отрицательного TTL - Минимальный TTL для отрицательных кэшированных записей.

• Кэш максимальное значение отрицательного TTL - Максимальный TTL для отрицательных кэшированных записей.

• Список серверов - Установите список серверов, которые будут использоваться для запросов. [2]

После внесения всех изменений нажмите Сохранить

[1]

Данная настройка используется в том случае, если вы желаете использовать os-dnscrypt-proxy в качестве основного резолвера DNS. В таком случае, обычно необходимо прописать адрес прослушивания на стандартный порт 53.

[2] (1,2,3,4,5,6,7,8)

DNSCrypt-Proxy имеет механизм фильтрования используемых для запросов серверов, основанный на их свойствах, как то:

• используемый протоколол (IPv4/IPv6)

• наличие протокола DNSCrypt

• наличие DNS-over-HTTPS

• использование DNSSEC

• отсутствие журналирования запросов пользователей

• отсутствие дополнительной фильтрации DNS запросов

• список серверов, и которые используются для запросов. Если список серверов пуст, плагин выполняет поиск серверов, соответствующих критериям фильтра и использует наиболее быстрые из них. Вы можете как задавать имена из публичного списка серверов , так и добавлять собственные, описанные в соответствующей секции. В данном случае плагин будет выполнять балансировку запросов между выбранными серверами.

Примечание

При использовании списка серверов, все фильтры игнорируются.

На основании данных фильтров можно настроить DNSCrypt-Proxy под свои нужды.

Пересылки

Иногда возникает необходимость часть запросов пересылать на определенные DNS сервера (к примеру, локальные).

В таком случае вам необходимо создать описание такой пересылки (форвардинга).

Для этого нажмите + и добавьте описание пересылки:

• Включен - включить данный форвардинг.

• Домен - имя домена, для которого необходимо использовать конкретный DNS сервер.

• DNS-сервер - IP адрес DNS сервера, на который будут пересылаться запросы. Можно использовать список адресов, разделенный запятой.

Переопределение

На данной закладке вы можете создать записи переопределения доменов в определенные IP адреса (аналог файла hosts). В случае совпадения записи, модуль DNSCrypt-Proxy не будет пересылать запрос вышестоящим серверам, а сразу вернет ответ клиенту.

Для этого нажмите + и добавьте описание переопределения:

• Включен - включить данное переопределение.

• Имя - имя домена, для котрого необходимо выполнять переопределение. [3]

• Получатель - адрес, который будет возвращен клиенту в случае совпадения. [4]

[3]

В имени домена возможно использовать различные подстановки, к примеру:

*.example.com
=example.com
*.example.*
example.*
example[0-9]*

[4]

В качестве получателя может выступать как IP адрес, так и другое доменное имя, к примеру:

www.google.*    forcesafesearch.google.com

на запросы www.google.* вернет адрес forcesafesearch.google.com

Серверы

При отсутствии сервера, необходимого для обработки ваших запросов, вы можете самостоятельно добавить его описание и использовать его в дальнейшем.

Для этого на закладке Серверы нажмите + и добавьте описание необходимого вам сервера.

• Имя - название сервера, которое используется в списке серверов.

• SDNS Stamp - Штамп сервера, в котором закодирован адрес сервера и его свойства. [*]

  [*]

  Для создания штампа сервера воспользуйтесь специальным калькулятором .

DNSBL

На данной закладке вы можете задать списки DNSBL фильтров, с помощью которых можно ограничивать запросы пользователей (черный список).

Для этого вам необходимо Включить данную настройку и в выпадающем списке отметь необходимые списки.

Белый список

В случае, если необходимый домен попадает в черный список, вы можете создать исключение для него.

Для этого нажмите + и добавьте необходимую запись. [†]

[†]

В имени домена можно использовать символы подстановки.

Настройка работы в качестве кэширующего сервера DNS

Для конфигурации в качестве проксирующего резолвера необходимо выполнить следующие настройки:

1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту, кроме Unbound DNS.

2. На закладке Система ‣ Настройки ‣ Общие уберите все записи из секции DNS серверы (список должен быть пустым).

3. Убедитесь, что сняты галочки с настроек

   • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

   • Не используйте локальную службу DNS в качестве сервера имен для этой системы

4. В общих настройках:

   • Включите плагин.

   • установите Адрес для прослушивания 127.0.0.1:5353 [5]

   • нажмите кнопку Сохранить [6]

   [5]

   Номер порта и используемый протокол (IPv4/IPv6), выбирайте согласно ваших требований.

   [6]

   При необходимости, выполните дополнительную настройку плагина согласно требований.

5. Перейти в настройку сервера Unbound DNS (Службы ‣ Unbound DNS ‣ Общие)

6. Выключите параметр Переадресация DNS-запросов.

7. В секцию Пользовательские настройки внесите следующий код:

       do-not-query-localhost: no
       forward-zone:
           name: "."
               forward-addr: 127.0.0.1@5353
   
   *Адрес и порт должны совпадать с введенными ранее в П.4*
   

8. Нажмите кнопку Сохранить, а затем Применить изменения

Настройка в качестве основного резолвера DNS

Для конфигурации в качестве основного резолвера необходимо выполнить следующие настройки:

1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту (Unbound DNS, Dnsmasq DNS).

2. На вкладке Система ‣ Настройки ‣ Общие уберите все записи из секции DNS серверы (список должен быть пустым).

3. Убедитесь, что сняты галочки с настроек

   • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

   • Не используйте локальную службу DNS в качестве сервера имен для этой системы

4. В общих настройках плагина os-dnscrypt-proxy:

   • установите Адрес для прослушивания 127.0.0.1:53

   • включите Разрешить привилегированные порты.

   • нажмите кнопку Сохранить [‡]

   [‡]

   При необходимости, выполните дополнительную настройку плагина согласно требований.

Журналы

В данном разделе вы можете просмотреть журналы работы плагина и выполненных запросов.