DNS поверх TLS (DoT) — это протокол безопасности, шифрующий DNS-запросы, повышая конфиденциальность и безопасность.
В данном руководстве подробно описан процесс настройки AdGuard Home для предоставления DNS-запросов через DoT с использованием собственного доменного имени, защищённого сертификатом Let’s Encrypt.
Мы будем использовать Cloudflare для управления DNS и интегрироваться с Home Assistant для автоматизации. В результате ваши устройства Android смогут осуществлять безопасные DNS-запросы к серверу AdGuard Home. Основное внимание уделено устройствам Android, но аналогичные инструкции подходят и для iOS.
Перед началом убедитесь, что у вас есть следующее:
Чтобы включить DNS поверх TLS, необходимо настроить записи DNS в панели Cloudflare.
| Тип записи | Имя | Адрес |
|---|---|---|
| A | dns | Ваш публичный IP-адрес сервера |
| CNAME | *.dns | dns.vashdomen.ru |
Эти записи обеспечивают перенаправление трафика на ваш экземпляр AdGuard Home как для основного домена, так и для любых субдоменов. Это полезно, если вы хотите различать клиентов с помощью именованных записей вида клиент.dns.vashdomen.ru.
Домашний ассистент (Home Assistant) может автоматически обновлять записи DNS в Cloudflare, если изменится IP-адрес вашего сервера.
Для взаимодействия с API Cloudflare нам понадобятся два токена:
- Токен зоны (для просмотра зон и редактирования DNS);
- Токен второго уровня (для редактирования DNS-зоны).
Генерация токенов осуществляется в личном кабинете Cloudflare. Затем создаётся задание в Home Assistant для обновления A-записи вашего домена всякий раз, когда меняется IP-адрес.
Примечание: кажется, что автоматический запуск задания не срабатывает сразу после его настройки, поэтому либо укажите текущий IP заранее, либо запустите задание вручную через сервис cloudflare.update_records.
После первой ручной проверки задача начнёт автоматически обновляться каждый час.
Далее необходимо обезопасить ваш домен с помощью сертификата Let’s Encrypt, чтобы включить DNS поверх TLS.
Для этого добавьте сертификат в AdGuard Home и включите там поддержку DNS поверх TLS.
Теперь ваш сервер готов обслуживать зашифрованные DNS-запросы.
Различные устройства Android могут отличаться деталями настройки DNS поверх TLS, но общий порядок выглядит так:
- Зайдите в настройки Wi-Fi на устройстве Android.
- Выберите вашу сеть Wi-Fi и нажмите «Редактировать».
- Включите опцию «Расширенные настройки», выберите пункт «IP-настройки» и установите статичный IP-адрес.
- Введите IP вашего роутера или DHCP-сервер, назначенный вашим провайдером.
- Во вкладке «DNS» укажите адрес вашего DNS-сервера (например,
dns.vashdomen.ru) или клиента, если решили использовать имена клиентов.
Теперь устройство Android будет использовать DNS поверх TLS с вашим сервером AdGuard Home, гарантируя надёжное шифрование DNS-трафика.
Следуя этому руководству, вы успешно настроили AdGuard Home для обслуживания DNS над TLS, обеспечили его сертификацией Let’s Encrypt и управляете через Cloudflare. Ваши устройства Android теперь защищены и используют безопасный DNS-трафик, что повышает вашу конфиденциальность и безопасность. Эта настройка не только защищает трафик DNS, но и упрощает управление и автоматизацию с помощью Home Assistant.
Настройте параметры под свою среду и наслаждайтесь безопасным Интернетом на устройствах Android!
см. также:
- 🖧 Скрипт bash для просмотра времени жизни (TTL) для записи DNS на Linux, Unix, macOS
- ⏫ 3 метода проведения разведки DNS
- 🖧 Обзор инструментов перечисления DNS с лучшими практиками и примерами
