Настройка DNS over HTTPS (DoH) и DNSSEC в OpenWrt на маршрутизаторе Strong 1200 и Encrypted SNI

Устанавливаем OpenWrt на маршрутизатор Strong 1200. Если вы не знаете как установить OpenWrt или не понимаете для чего это нужно делать, данная статья вам будет абсолютно не интересна.

Заходим на сайт Experience Security Check и наблюдаем такую картину.
700675_original-3164070


Как видим, DNSSEC и Encrypted SNI в данный момент при установках по-умолчанию не активны.

Для активации DNSSEC в OpenWrt устанавливаем пакет DNS over HTTPS.
# Устанавливаем пакет
opkg update
opkg install dnsmasq https-dns-proxy
# Тестируем
nslookup openwrt.org localhost
# Перезагружаем установленные пакеты
/etc/init.d/log restart; /etc/init.d/dnsmasq restart; /etc/init.d/https-dns-proxy restart
# Логи и статус
logread -e dnsmasq; netstat -l -n -p | grep -e dnsmasq
logread -e https-dns; netstat -l -n -p | grep -e https-dns
# Runtime configuration
pgrep -f -a dnsmasq; pgrep -f -a https-dns
# Постоянная конфигурация
uci show dhcp; uci show https-dns-proxy
Теперь все устройства, подключенные через данный маршрутизатор, отправляют DNS запросы в Google DNS и Cloudflare DNS.
701124_original-8414253

Encrypted SNI на браузере Mozilla Firefox активируется очень просто. В адресной строке Firefox набираем about:config , в появившемся окне набираем network.security.esni.enabled — меняем значение на true. Encrypted SNI нужно активировать на каждом браузере отдельно.
И смотрим результат.
701393_original-5185740

Теперь как минимум ваш провайдер не сможет отслеживать какие сайты вы посещаете. Гаранитии нет, но ваша приватность улучшится. Вы должны отдавать себе отчет что DNS запросы идут через Google и Сloudflare. Тут уже просто нужно соизмерять что лучше именно для вас.