Ahoj.
Vím, že je tady téma k DNS over TLS na Omnii, která používá Knot Resolver a postup je i v dokumentaci. Mě by ale zajímalo, jak DNS over TLS rozběhat na Turris 1.0 nebo 1.1, kde se používá Unbound.
Našel jsem na Cloudflare blogu tento článek, kde je to popsané https://blog.cloudflare.com/dns-over-tls-for-openwrt/. Je tam ale konfigurace pro nějakou starší verzi Unbound a ve verzích 1.7.0+ by se asi mělo používat
server:
tls-cert-bundle: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com
forward-addr: 1.1.1.1@853#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com
forward-addr: 1.0.0.1@853#cloudflare-dns.com
Mám ale problém s tím, jak se dostat k certifikátu Cloudflare, který bych si měl uložit do adresáře /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
pokud tomu rozumím správně. A druhý nejspíš ještě větší problém je, že když udělám jakoukoliv změnu konfigurace přes vim v /etc/unbound/unbound.conf
a uložím přes wq a restartuji unbound přes /etc/init.d/unbound restart
, tak se mi ta konfigurace zahodí a mám tam zase původní před tou změnou.
V LuCI jsem si už dřív nastavil přeposílání na 1.1.1.1 a 1.0.0.1 (WAN - zrušit User DNS servers advertised by peer a v Použít vlastní DNS servery jsem zadal tyto dvě adresy), takže tuto informaci vidím i v tom konfiguračním souboru a to je také konfigurace, která se mi vrátí i poté, co ji ručně změním a Unbound restartuji, viz výše.
forward-zone:
name: "."
forward-first: yes
forward-addr: 1.0.0.1
forward-addr: 1.1.1.1
Co dělám špatně? A jak správně nakonfigurovat Turris 1.0/1.1, aby používal Cloudflare resolvery přes DNS over TLS?