HostuxDNS

dnscrypt-proxy met HostuxDNS

Overzicht

dnscrypt-proxy is een lokale DNS-forwarder die queries kan versleutelen voordat ze je machine of netwerk verlaten. Dat is handig op Linux, macOS, Raspberry Pi of achter tools zoals Pi-hole wanneer je een versleutelde upstream wilt zonder afhankelijk te zijn van browserinstellingen.

HostuxDNS biedt versleutelde resolvers die compatibel zijn met dnscrypt-proxy via DNS-stamps. De voorbeelden hieronder gebruiken DoQ en statische serverdefinities, zodat je niet afhankelijk bent van de publieke resolverlijst.

Statische HostuxDNS-servers declareren

Open dnscrypt-proxy.toml en voeg het volgende blok toe in de sectie [static]: 

[static.'hostuxdns-front1-v4']
stamp = 'sdns://BAcAAAAAAAAAEjQ2LjIyNi4xMDguMTczOjg1MwAOZG5zLmhvc3R1eC5uZXQ'

[static.'hostuxdns-front1-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlMTY6MTA4MF06ODUzAA5kbnMuaG9zdHV4Lm5ldA'

[static.'hostuxdns-front2-v4']
stamp = 'sdns://BAcAAAAAAAAAETQ2LjIyNi4xMDkuODI6ODUzAA5kbnMuaG9zdHV4Lm5ldA'

[static.'hostuxdns-front2-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlY2U6M2U1NV06ODUzAA5kbnMuaG9zdHV4Lm5ldA'

Deze vier vermeldingen dekken beide HostuxDNS-frontends via IPv4 en IPv6.

Servers activeren in de hoofdconfiguratie

Zet in het hoofdgedeelte van hetzelfde bestand:

server_names = ['hostuxdns-front1-v4', 'hostuxdns-front1-v6', 'hostuxdns-front2-v4', 'hostuxdns-front2-v6']

Als je dnscrypt-proxy als lokale upstream voor een andere dienst gebruikt, behoud dan de standaard lokale listener of stel die expliciet in, bijvoorbeeld: 

listen_addresses = ['127.0.0.1:5053']

Tools zoals Pi-hole kunnen queries dan doorsturen naar 127.0.0.1:5053.

Herstarten en controleren

Herstart de dienst nadat je het bestand hebt opgeslagen:

systemctl restart dnscrypt-proxy

Test daarna de lokale resolutie:

dig @127.0.0.1 -p 5053 example.com

Je kunt de upstream ook direct testen met Knot DNS:

kdig @dns.hostux.net example.com +quic

Als de lokale query werkt, kunnen je applicaties dnscrypt-proxy gebruiken als lokale resolver terwijl HostuxDNS de versleutelde upstream verzorgt.

Opmerkingen

Resolverlijst
Statische stamps zijn de betrouwbaarste optie als je een specifieke upstream wilt vastzetten zonder afhankelijk te zijn van de publieke lijst.
Advertentieblokkering
Het gefilterde HostuxDNS-endpoint /ads is een DoH-pad en wordt niet aangeboden via de DoQ-stamps die hier worden gebruikt.
Officiele documentatie
dnscrypt-proxy-documentatie

Zie ook

HostuxDNS met AdGuard Home HostuxDNS op OpenWrt DoH vs DoT