HostuxDNS

OpenWrt puede usar HostuxDNS para toda la red enviando el tráfico DNS local a través de https-dns-proxy. Los dispositivos del LAN no cambian, y el router convierte las consultas en DNS over HTTPS.

Esta guía sigue el esquema habitual de OpenWrt: dnsmasq para los clientes locales y https-dns-proxy para el upstream cifrado.

Actualiza la lista de paquetes y luego instala el proxy y el módulo LuCI:

opkg update
opkg install https-dns-proxy luci-app-https-dns-proxy

El paquete se integra con dnsmasq, que sigue siendo el resolvedor expuesto al LAN.

En LuCI, abre Servicios > HTTPS DNS Proxy y añade una nueva instancia.

• Nombre: hostuxdns
• URL del resolvedor: https://dns.hostux.net/dns-query
• DNS bootstrap: 46.226.108.173,46.226.109.82

Si quieres bloqueo de anuncios y rastreadores en el router, usa https://dns.hostux.net/ads en lugar del endpoint estándar.

Mantén el router como servidor DNS para los clientes del LAN. Después, dnsmasq debe reenviar las consultas al listener local creado por https-dns-proxy.

Si OpenWrt tiene varios resolvedores upstream configurados, desactiva los que no quieras conservar para que HostuxDNS siga siendo el upstream cifrado activo.

La idea es simple: los clientes hablan con el router y el router habla con HostuxDNS por DoH.

Aplica los cambios en LuCI o reinicia los servicios manualmente:

/etc/init.d/https-dns-proxy restart
/etc/init.d/dnsmasq restart

Después prueba la resolución desde el router:

nslookup openwrt.org 127.0.0.1

Si funciona, los clientes del LAN que usan el router como DNS también pasarán por el upstream cifrado de HostuxDNS.

Solo DoH en esta guía

Esta guía se basa en https-dns-proxy, por lo que cubre DoH y no DoT ni DoQ.

Por qué importa el bootstrap DNS

El router puede necesitar IPs en claro para llegar a dns.hostux.net antes de que el proxy cifrado esté completamente activo.

Referencia oficial

OpenWrt: DoH con dnsmasq y https-dns-proxy