HostuxDNS

OpenWrt peut utiliser HostuxDNS pour tout le réseau en faisant transiter le DNS local par https-dns-proxy. Les appareils du LAN restent inchangés, et le routeur convertit les requêtes en DNS over HTTPS.

Ce guide suit le schéma classique d'OpenWrt : dnsmasq pour les clients locaux et https-dns-proxy pour le transport DNS chiffré.

Mettez à jour la liste des paquets puis installez le proxy et le module LuCI :

opkg update
opkg install https-dns-proxy luci-app-https-dns-proxy

Le paquet s'intègre à dnsmasq, qui reste le résolveur exposé au LAN.

Dans LuCI, ouvrez Services > HTTPS DNS Proxy puis ajoutez une nouvelle instance.

• Nom : hostuxdns
• URL du résolveur : https://dns.hostux.net/dns-query
• DNS de bootstrap : 46.226.108.173,46.226.109.82

Si vous voulez bloquer les pubs et les trackers sur le routeur, utilisez https://dns.hostux.net/ads à la place de l'endpoint standard.

Conservez le routeur comme serveur DNS pour vos clients LAN. dnsmasq doit ensuite transmettre les requêtes au listener local créé par https-dns-proxy.

Si plusieurs résolveurs DNS sont configurés dans OpenWrt, désactivez ceux que vous ne souhaitez pas conserver afin que HostuxDNS reste le service DNS chiffré utilisé.

L'objectif est simple : les clients parlent au routeur, et le routeur parle à HostuxDNS en DoH.

Appliquez les changements dans LuCI ou redémarrez les services manuellement :

/etc/init.d/https-dns-proxy restart
/etc/init.d/dnsmasq restart

Puis testez la résolution depuis le routeur :

nslookup openwrt.org 127.0.0.1

Si la résolution fonctionne, les clients LAN qui utilisent le routeur comme DNS profiteront eux aussi de HostuxDNS en mode chiffré.

DoH uniquement dans ce guide

Ce guide cible https-dns-proxy sur OpenWrt, il couvre donc DoH plutôt que DoT ou DoQ.

Pourquoi le bootstrap DNS est utile

Le routeur peut avoir besoin d'adresses IP en clair pour joindre dns.hostux.net avant que le proxy chiffré soit complètement opérationnel.

Référence officielle

OpenWrt : DoH avec dnsmasq et https-dns-proxy