load_module modules/ngx_stream_module.so;
worker_processes 1;
events {
}
stream {
# DNS upstream pool
upstream dns {
server 127.0.0.1:53;
}
# DoT server for decryption
server {
listen 853 ssl;
ssl_certificate /root/.acme.sh/dns.myserver.com/fullchain.cer;
ssl_certificate_key /root/.acme.sh/dns.myserver.com/dns.myserver.com.key;
ssl_protocols TLSv1.2;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 1d;
proxy_pass dns;
}
}
На 127.0.0.1 запускаем всеми любимый pdns-recusor или unbound или все что угодно,
при использовании unbound в конфиг пишем access-control: 127.0.0.0/8 allow_snoop чтобы работал dig +trace (администраторам это важно)
# crontab -l
15 15 * * * /root/.acme.sh/acme.sh --issue -d dns.myserver.com --standalone --pre-hook "service nginx stop" --post-hook "service nginx start" > /dev/null
На роутере следовательно используем ваш сервер DNS-over-TLS не завися от выкрутасов провайдера (подмена DNS) или google / cloudflare (у них также DNS есть с TLS на 8.8.8.8 и 1.1.1.1 на 853 порту
Комментариев нет:
Отправить комментарий