Настройка плагина

1. Общие: #

Выполните основные настройки плагина:

• Включить прокси DNSCrypt — Включение плагина.

• Адрес для прослушивания -Задайте комбинации IP-адресов и портов, которые должна прослушивать эта служба в формате IPv4 адрес:порт и/или [IPv6 адрес]:порт ( к примеру 127.0.0.1:5353 и/или [:: 1]:53 )

• Разрешить привилегированные порты — Установите, чтоб разрешить службе работать на порту 53. 1
• Максимум Клиентских Подключений — Установите максимальное число одновременных клиентских подключений.

• Использовать сервера IPv4 — Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv4. 2
• Использовать сервера IPv6 — Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv6. 2

• Использовать сервера DNSCrypt — Разрешить DNSCrypt-Proxy использовать серверы с включенным протоколом DNSCrypt. 2

• Использование серверов DNS-over-HTTPS — Разрешить DNSCrypt-Proxy использовать серверы с включенным протоколом DNS-over-HTTPS. 2

• Требовать DNSSEC — Используйте только DNS-сервер с включенным DNSSEC. 2

• Требовать NoLog — Используйте только DNS-сервер без журналирования запросов пользователей. 2

• Требовать NoFilter — Используйте только DNS-сервер без собственного черного списка. ( есть много серверов, удаляющих рекламу или с включенным родительским контролем.) 2
• Принудительно TCP — Всегда использовать TCP для подключения к вышестоящим серверам.
• Прокси — Использовать для маршрутизации всех TCP-соединений на локальный узел Tor, формат должен быть 127.0.0.1:9050
• Тайм-аут — Как долго DNS-запрос будет ждать ответа в миллисекундах.
• Постоянное соединение — Длительность keepalive (сек.) для запросов HTTP (HTTPS, HTTP/2) в секундах.
• Задержка обновления сертификата — Задержка в минутах, после чего сертификаты перезагружаются.

• Ключи Ephemeral — Создайте новый уникальный ключ для каждого DNS-запроса ( это может улучшить конфиденциальность, но также может оказать значительное влияние на использование ЦП )
• TLS отключить тикеты сеанса — Отключить тикеты сеанса TLS ( увеличивает конфиденциальность, но и задержку ).
• Резервный резолвер — Адрес DNS сервера, который будет использоваться только для первоначальных запросов при получении исходного списка шифрованых DNS серверов и только если конфигурация DNS системы не работает. Формат IP адрес:порт ( к примеру 9.9.9.9:53 ).
• Блокировка IPv6 — Отвечать на запросы, связанные с IPv6, пустым ответом ( обработка будет быстрее, когда не используется IPv6).
• Кэш — Включить кэш DNS для уменьшения задержки и экономии исходящего трафика.
• Размер кэша — Задайте размер DNS кэша.
• Кэш минимальное значение TTL — Минимальный TTL для кэшированных записей.
• Кэш максимальное значение TTL — Максимальный TTL для кэшированных записей.
• Кэш минимальное значение отрицательного TTL — Минимальный TTL для отрицательных кэшированных записей.
• Кэш максимальное значение отрицательного TTL — Максимальный TTL для отрицательных кэшированных записей.

• Список серверов — Установите список серверов, которые будут использоваться для запросов. 2

После внесения всех изменений нажмите Сохранить

1

Данная настройка используется в том случае, если вы желаете использовать os-dnscrypt-proxy в качестве основного резолвера DNS. В таком случае, обычно необходимо прописать адрес прослушивания на стандартный порт 53.

2(1,2,3,4,5,6,7,8)

Плагин os-dnscrypt-proxy имеет механизм фильтрования используемых для запросов серверов, основанный на их свойствах, как то:

• используемый протоколол (IPv4/IPv6)
• наличие протокола DNSCrypt
• наличие DNS-over-HTTPS
• использование DNSSEC
• отсутствие журналирования запросов пользователей
• отсутствие дополнительной фильтрации DNS запросов
• список серверов, которые используются для запросов. Если список серверов пуст, плагин выполняет поиск серверов, соответствующих критериям фильтра и использует наиболее быстрые из них. Вы можете как задавать имена из публичного списка серверов, так и добавлять собственные, описанные в соответствующей секции. В данном случае плагин будет выполнять балансировку запросов между выбранными серверами.

Примечание

При использовании списка серверов, все фильтры игнорируются.

На основании данных фильтров возможно настроить плагин os-dnscrypt-proxy под свои нужды.

2. Пересылки: #

Иногда возникает необходимость часть запросов пересылать на определенные DNS сервера (к примеру, локальные).

В таком случае вам необходимо создать описание такой пересылки (форвардинга).

Для этого нажмите + и добавьте описание пересылки:

• Включен — включить данный форвардинг.
• Домен — имя домена, для которого необходимо использовать конкретный DNS сервер.
• DNS-сервер — IP адрес DNS сервера, на который будут пересылаться запросы. Можно использовать список адресов, разделенный запятой.

3. Переопределение: #

На данной закладке вы можете создать записи переопределения доменов в определенные IP адреса (аналог файла hosts). В случае совпадения записи, плагин os-dnscrypt-proxy не будет пересылать запрос вышестоящим серверам, а сразу вернет ответ клиенту.

Для этого нажмите + и добавьте описание переопределения:

• Включен — включить данное переопределение.
• Имя — имя домена, для котрого необходимо выполнять переопределение. 3
• Получатель — адрес, который будет возвращен клиенту в случае совпадения. 4

3

В имени домена возможно использовать различные подстановки, к примеру:

*.example.com
=example.com
*.example.*
example.*
example[0-9]*

4

В качестве получателя может выступать как IP адрес, так и другое доменное имя, к примеру:

www.google.*    forcesafesearch.google.com

на запросы www.google.* вернет адрес forcesafesearch.google.com

4. Серверы: #

При отсутствии сервера, необходимого для обработки ваших запросов, вы можете самостоятельно добавить его описание и использовать его в дальнейшем.

Для этого на закладке Серверы нажмите + и добавьте описание необходимого вам сервера.

• Имя — название сервера, которое используется в списке серверов.
• SDNS Stamp — Штамп сервера, в котором закодирован адрес сервера и его свойства. *

  *

  Для создания штампа сервера воспользуйтесь специальным калькулятором.

5. DNSBL: #

На данной закладке вы можете задать списки DNSBL фильтров, с помощью которых можно ограничивать запросы пользователей (черный список).

Для этого вам необходимо Включить данную настройку и в выпадающем списке отметь необходимые списки.

6. Белый список: #

В случае, если необходимый домен попадает в черный список, вы можете создать исключение для него.

Для этого нажмите + и добавьте необходимую запись. †

†

В имени домена можно использовать символы подстановки.

7. Настройка работы в качестве кеширующего сервера DNS: #

Для настройки плагина os-dnscrypt-proxy в качестве проксирующего резолвера необходимо выполнить следующие настройки:

1. Убедитесь, что выключены все модули NPS AV, выполняющие резолвинг DNS на 53 порту, кроме Unbound DNS.
2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

3. Убедитесь, что сняты галочки с настроек

   • Позволить переопределить список DNS-серверов DHCP/PPP на WAN
   • Не используйте локальную службу DNS в качестве сервера имен для этой системы

4. В общих настройках плагина os-dnscrypt-proxy:

   • Включите плагин.
   • установите Адрес для прослушивания 127.0.0.1:5353 5
   • нажмите кнопку Сохранить 6

   5

   Номер порта и используемый протокол (IPv4/IPv6), выбирайте согласно ваших требований.

   6

   При необходимости, выполните дополнительную настройку плагина согласно требований.

5. Перейти в настройку сервера Unbound DNS (Службы -> Unbound DNS -> Общие)
6. Выключите параметр Переадресация DNS-запросов.
7. В секцию Пользовательские настройки внесите следующий код:

   do-not-query-localhost: no
   forward-zone:
       name: "."
           forward-addr: 127.0.0.1@5353
   

   Адрес и порт должны совпадать с введенными ранее в П.4

8. Нажмите кнопку Сохранить, а затем Применить изменения

8. Настройка в качестве основного резолвера DNS: #

Для настройки плагина os-dnscrypt-proxy в качестве основного резолвера необходимо выполнить следующие настройки:

1. Убедитесь, что выключены все модули NPS AV, выполняющие резолвинг DNS на 53 порту (Unbound DNS, Dnsmasq DNS).
2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

3. Убедитесь, что сняты галочки с настроек

   • Позволить переопределить список DNS-серверов DHCP/PPP на WAN
   • Не используйте локальную службу DNS в качестве сервера имен для этой системы

4. В общих настройках плагина os-dnscrypt-proxy:

   • установите Адрес для прослушивания 127.0.0.1:53
   • включите Разрешить привилегированные порты.
   • нажмите кнопку Сохранить ‡

   ‡

   При необходимости, выполните дополнительную настройку плагина согласно требований.

9. Журналы: #

В данном разделе вы можете просмотреть журналы работы плагина и выполненных запросов.