HostuxDNS

O OpenWrt pode usar o HostuxDNS para toda a rede encaminhando o tráfego DNS local através do https-dns-proxy. Os dispositivos da LAN não precisam de alterações e o router converte os pedidos em DNS over HTTPS.

Este guia segue o fluxo clássico do OpenWrt: dnsmasq para os clientes locais e https-dns-proxy para o upstream cifrado.

Atualize a lista de pacotes e instale o proxy com o módulo LuCI:

opkg update
opkg install https-dns-proxy luci-app-https-dns-proxy

O pacote integra-se com o dnsmasq, que continua a ser o resolvedor exposto à LAN.

No LuCI, abra Serviços > HTTPS DNS Proxy e adicione uma nova instância.

• Nome: hostuxdns
• URL do resolvedor: https://dns.hostux.net/dns-query
• DNS bootstrap: 46.226.108.173,46.226.109.82

Se quiser bloquear anúncios e rastreadores no router, use https://dns.hostux.net/ads em vez do endpoint padrão.

Mantenha os clientes LAN a usar o router como servidor DNS. Depois, o dnsmasq deve encaminhar as consultas para o listener local criado pelo https-dns-proxy.

Se existirem vários resolvedores upstream configurados no OpenWrt, desative os que não quer manter para que o HostuxDNS fique como upstream cifrado ativo.

A ideia é simples: os clientes falam com o router e o router fala com o HostuxDNS via DoH.

Aplique as alterações no LuCI ou reinicie os serviços manualmente:

/etc/init.d/https-dns-proxy restart
/etc/init.d/dnsmasq restart

Depois teste a resolução no router:

nslookup openwrt.org 127.0.0.1

Se funcionar, os clientes LAN que usam o router como DNS também passarão pelo upstream cifrado do HostuxDNS.

Apenas DoH neste guia

Este guia usa https-dns-proxy no OpenWrt, por isso cobre DoH e não DoT nem DoQ.

Porque o bootstrap DNS importa

O router pode precisar de IPs em claro para chegar a dns.hostux.net antes de o proxy cifrado estar totalmente ativo.

Referência oficial

OpenWrt: DoH com dnsmasq e https-dns-proxy