DNSCrypt-Proxy
Installation
Zunächst müssen Sie das dnscrypt-proxy-Plugin (os-dnscrypt-proxy) aus der über System ‣ Firmware ‣ Erweiterungen erreichbaren Plugin-Ansicht installieren.
Nach einem Seitenneuladen erhalten Sie unter Dienste einen neuen Menüeintrag für DNSCrypt-Proxy.
Wenn Sie den Daemon starten, sucht er nach einer Liste der öffentlichen DNS-Server von hier: https://dnscrypt.info/public-servers
Abhängig von allen Einstellungen unten wird die Liste nach Ihrer Wahl gekürzt, z. B. nur IPv4 oder Protokollierung deaktiviert. Die beiden schnellsten Server werden für DNS-Abfragen verwendet. Wenn Sie Unbound als Hauptresolver verwenden und Ihre Anfragen zuerst an Unbound senden und dann an DNSCrypt-Proxy weiterleiten möchten, stellen Sie dies einfach in den erweiterten Einstellungen von Unbound ein:
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 127.0.0.1@5353Allgemeine Einstellungen
| DNSCrypt-Proxy einschalten: | Aktivieren und starten Sie DNSCrypt-Proxy. |
| Hörende Adresse: | Hier stellen Sie die Adressen und Ports ein, auf denen gelauscht werden soll. Standard ist localhost und Port 5353. Wenn Sie möchten, dass er auf Port 53 lauscht, sollten Sie Privilegierte Ports zulassen aktivieren, insbesondere wenn das System selbst ihn als Resolver behandeln soll. |
| Privilegierte Ports zulassen: | Dies erlaubt dem Dienst, auf Ports unter 1024 zu lauschen, z. B. 53. |
| Maximale Client-Verbindungen: | Wie viele Clients dürfen den Daemon kontaktieren. |
| IPv4-Server verwenden: | Verwenden Sie IPv4-fähige Server. |
| IPv6-Server verwenden: | Verwenden Sie nur IPv6-fähige Server. |
| Verwendung von DNSCrypt-Servern: | Schließen Sie Resolver, die das DNSCrypt-Protokoll unterstützen, in den Entscheidungsprozess ein. |
| DNS-over-HTTPS-Server verwenden: | Beziehen Sie Resolver, die DNS-over-HTTPS unterstützen, in den Entscheidungsprozess ein. |
| DNSSEC voraussetzen: | Verwenden Sie nur Resolver, die das DNSSEC-Protokoll unterstützen. |
| NoLog erforderlich machen: | Verwenden Sie nur Resolver mit deaktiviertem Loggong. |
| NoFilter voraussetzen: | Verwenden Sie nur Resolver ohne Filterung. Andernfalls würden auch Anfragen nach nicht jugendfreien Inhalten oder Werbung gefiltert werden. |
| TCP erzwingen: | Verwenden Sie immer TCP, um sich mit Upstream-Servern zu verbinden. Dies kann nützlich sein, wenn Sie alles durch Tor leiten müssen, ansonsten lassen Sie es deaktiviert. |
| Proxy: | Verwenden Sie dies, um alle TCP-Verbindungen zu einem lokalen Tor-Knoten zu leiten, das Format muss wie 127.0.0.1:9050 sein |
| Gültigkeitsdauer: | Wie lange eine DNS-Anfrage auf eine Antwort wartet, in Millisekunden. |
| Keepalive: | Keepalive für HTTP (HTTPS, HTTP/2)-Abfragen in Sekunden. |
| Cert Refresh-Verzögerung: | Verzögerung in Minuten, nach der Zertifikate neu geladen werden. |
| Flüchtige Tasten: | Erstellen Sie einen neuen, eindeutigen Schlüssel für jede einzelne DNS-Abfrage. Dies kann den Datenschutz verbessern, kann aber auch erhebliche Auswirkungen auf die CPU-Auslastung haben. |
| TLS Deaktiviere Sitzungstickets: | TLS-Sitzungstickets deaktivieren - erhöht die Privatsphäre, aber auch die Latenz. |
| Fallback-Resolver: | Dies ist ein normaler, nicht verschlüsselter DNS-Resolver, der nur für einmalige Abfragen beim Abrufen der anfänglichen Resolver-Liste verwendet wird, und nur, wenn die System-DNS-Konfiguration nicht funktioniert. |
| IPv6 sperren: | Antworten Sie auf IPv6-bezogene Anfragen sofort mit einer leeren Antwort. Dies macht die Dinge schneller, wenn keine IPv6-WAN-Konnektivität vorhanden ist. |
| Cache: | Aktivieren Sie einen DNS-Cache, um die Latenzzeit und den ausgehenden Datenverkehr zu reduzieren. |
| Zwischenspeichergröße: | Stellen Sie die Cache-Größe ein. |
| Cache Min TTL: | Minimale TTL für gecachte Einträge. |
| Cache Max TTL: | Maximale TTL für gecachte Einträge. |
| Cache Negativ Min TTL: | Minimale TTL für negativ gecachte Einträge. |
| Cache Negativ Max TTL: | Maximale TTL für negativ gecachte Einträge. |
Beispiel: Eigenständiger DNS
Sie können den DNSCrypt-Proxy als vollwertiges Standalone-DNS anstelle von Unbound oder Dnsmasq verwenden. Dieses Setup hat den Vorteil, dass Sie keine Forwarder-Lösung für die Verschlüsselung von DNS-Anfragen oder die Verwendung von DNSBL benötigen.
Gehen Sie dazu zu Dienste->Unbound DNS->Allgemein und entfernen Sie das Häkchen bei Enable. Wenn Sie Dnsmasq verwenden, gehen Sie zu Dienste->Dnsmasq DNS->Einstellungen und entfernen Sie das Häkchen bei Einschalten. Wechseln Sie nun zu Dienste->DNSCrypt-Proxy->Konfiguration und fügen Sie Ihre lokale LAN-IP-Adresse in das Feld Listen Address ein, z. B. 192.168.2.1:53.
Für IPv6 mit dynamischen Präfixen können Sie dies mit ::1:53 als Listen-Adresse umgehen und eine Port-Forward-Regel hinzufügen, die jeden IPv6-UDP-Verkehr, Port 53, auf ::1 umleitet.
Optional können Sie :53 so einstellen, dass auf allen Adressen gelauscht wird, wie das Standardverhalten in Unbound.
Jetzt können Sie mit Ihrer Konfigurationsaufgabe fortfahren, wie z. B. die Auswahl der zu verwendenden Server, Datenschutzrichtlinien oder Caching. Auch Cloaking (Overrides) oder DNSBL können ohne Workarounds verwendet werden.