Openwrt高级应用之10：使用最新Dnscrypt 部署加密DNS

pu***

更新：
20150128：升级dncrypt-proxy 1.4.3， libsodium 1.0.2，安装包内置了国外的DNS列表，安装后即可使用。修复了BB分支上路由器重启后，dnscrypt不自启的问题。



至于昨天DNS根服务器污染导致的全国网络故障，原因知乎已有专业解释，我就不在多说

郭嘉果然下了很大一盘棋，不断推动屌丝们不断学习新知识

这不，昨天什么网站上不了，心烦意躁，发现这个软件最新的版本已到1.3.3，而Openwrt的编译还在老的1.2.1，特编译奉上Dnscrypt-proxy 1.3.3。

具体见附件。

packages目录下为Openwrt编译源码。trunk下编译已测试，放到packages下，make menuconfig 就可以看到了

ipk为编译出来的软件包，不会编译的自己opkg install即可，在12.09 AA Release上测试可用。

dl为软件包原始软件包源码，由于源已被墙，编译之前放到dl目录下即可，否则下载过程中下不了就报错了。





路由器安装配置用法参见：
https://www.right.com.cn/forum/forum.php?mod=viewthread&tid=129299

http://wiki.openwrt.org/inbox/dnscrypt

把电脑DNS指定为路由器地址即可。不需要任何服务器，本客户端直接加密链接OpenDNS服务器防止DNS投毒。

打开http://www.opendns.com/welcome/

如果出现如下页面则成功了。




更多：关于使用TCP链接，非标准端口解析，见github
https://github.com/opendns/dnscrypt-proxy
Queries using nonstandard ports / over TCP

Some routers and firewalls can block outgoing DNS queries or transparently redirect them to their own resolver. This especially happens on public Wifi hotspots, such as coffee shops.

As a workaround, the port number can be changed using the --resolver-port=<port> option. For example, OpenDNS servers reply to queries sent to ports 53, 443 and 5353.

By default, dnscrypt-proxy sends outgoing queries to UDP port 443.

In addition, the DNSCrypt proxy can force outgoing queries to be sent over TCP. For example, TCP port 443, which is commonly used for communication over HTTPS, may not be filtered.

The --tcp-only command-line switch forces this behavior. When an incoming query is received, the daemon immediately replies with a "response truncated" message, forcing the client to retry over TCP. The daemon then authenticates the query and forwards it over TCP to the resolver.

--tcp-only is slower than UDP because multiple queries over a single TCP connections aren't supported yet, and this workaround should never be used except when bypassing a filter is actually required.

Laz***

要求很高，得dns服务器也支持dnscrypt，或者自己建dns服务器并安装 dnscrypt-server

pu***

LazyZhu 发表于 2014-1-22 21:33
要求很高，得dns服务器也支持dnscrypt，或者自己建dns服务器并安装 dnscrypt-server

不需要

x1***

xuex学习了！！！

ly***

收藏备用！

love***

能否指定 使用的DNS ？
如果我不想用OPENDNS的话。

pu***

love5955 发表于 2014-1-22 23:17
能否指定 使用的DNS ？
如果我不想用OPENDNS的话。

可以，见github页面英文帮助

muzi***

pupie 发表于 2014-1-23 08:55
可以，见github页面英文帮助

能用其它DNS，不行吧，第三方DNS并不支持加密的请求吧。

Laz***

muziling 发表于 2014-1-23 10:34
能用其它DNS，不行吧，第三方DNS并不支持加密的请求吧。

是的
看来楼主也不懂，就编译了个ipk而已

pu***

muziling 发表于 2014-1-23 10:34
能用其它DNS，不行吧，第三方DNS并不支持加密的请求吧。

你好，你这里说的第三方DNS有歧义，何为3rd-party？
我们在提出这个问题之前，做一个简单的逻辑思考，如果你说的第三方DNS指OpenDNS提供的的加密DNS（208.67.222.222; 208.67.220.220）以外的所有按照rfc1034、1035标准实现的非加密DNS，（53 UDP端口的DNS），DNSCrypt大可没有存在的意义，能被投毒的标准DNS客户端一大吧，我也不会劳神在这里发帖子。

我说的是除了OpenDNS官方提供的（208.67.222.222; 208.67.220.220）除外，第三方提供的以dnscrypt标注部署的加密DNS。
指定使用非官方（第三方）加密DNS的用法我已回复过，见github英文帮助。
运行的时候指定服务器地址，服务端口，名称，加密公钥，如：
/usr/sbin/dnscrypt-proxy -d -a {address}:{port} -n 64 -u nobody -N {provider_name} -k {provider_key} -r {resolver_address}


如下有一大把：

OpenDNS

Server address: 208.67.220.220:443
Provider name: 2.dnscrypt-cert.opendns.com
Public key: B735:1140:206F:225D:3E2B8227FD:691E:A1C3:3CC8666:8D0C:BE04:BFAB:CA43:FB79
CloudNS - No logs, DNSSEC

Canberra, Australia
Server address: 113.20.6.2:443 or gc2tzw6lbmeagrp3.onion:443
Provider name: 2.dnscrypt-cert.cloudns.com.au
Public key: 1971:7C1A:C550:6C09:F09B:ACB1:1AF7:C349:6425:2676:247F:B738:1C5A:243A:C1CC:89F4
Sydney, Australia
Server address: 113.20.8.17:443 or l65q62lf7wnfme7m.onion:443
Provider name: 2.dnscrypt-cert-2.cloudns.com.au
Public key: 67A4:323E:581F:79B9:BC54:825F:54FE:1025:8B4F:37EB:0D07:0BCE:4010:619594F:E330
OpenNIC - No logs

Japan
Server address: 106.186.17.181:2053
Provider name: 2.dnscrypt-cert.ns2.jp.dns.opennic.glue
Public key: 8768:C3DB:F70A:FBC6:3B64:8630:8167:2FD4:EE6F:E175:ECFD:46C9:22FC:7674:A1AC:2E2A
UK
NovaKing (ns8)
Server address: 185.19.104.45:443
Provider name: 2.dnscrypt-cert.ns8.uk.dns.opennic.glue
Public key: A17C:06FC:BA21:F2AC:F4CD:9374:016A:684F:4F56:564A:EB30:A422:3D9D:1580:A461:B6A6
NovaKing (ns9)
Server address: 185.19.105.6:443
Provider name: 2.dnscrypt-cert.ns9.uk.dns.opennic.glue
Public key: E864:80D9FBD:9DB4:58EA:8063:292F:EC41:9126:8394:BC44:FAB8:4B6E:B104:8C3B:E0B4
NovaKing (ns10)
Server address: 185.19.105.14:443
Provider name: 2.dnscrypt-cert.ns10.uk.dns.opennic.glue
Public key: B1AB:7025:1119:9AEE:E42E:1B12:F2EF:12D4:53D9:CD92:E07B:9AF4:4794:F6EB:E5A4:F725
USA
Fremont, CA
Server address: 173.230.156.28:443
Provider name: 2.dnscrypt-cert.ns17.ca.us.dns.opennic.glue
Public key: 2342:215C:409A:85A5:FB63:2A3B:42CD:5089:6BA8:551A:8BDC:2654:CF57:804F:B1B2:5019
Fremont, CA #2
Server address: [2600:3c01::f03c:91ff:fe6e:1f6b]:443
Provider name: 2.dnscrypt-cert.ns18.ca.us.dns.opennic.glue
Public key: 689BAF2:6A9FB2D:42B4:AA15:1825:89E8:6FAE:0C2C:522A0AAD2B:80B4:8D61:0A43
DNSCrypt.eu - No logs, DNSSEC

Holland

Server address: 176.56.237.171:443 or [2a00:d880:3:1::a6c1:2e89]:443
Provider name: 2.dnscrypt-cert.resolver1.dnscrypt.eu
Public key: 67C0:0F2C:21C5:5481:45DD:7CB4:6A27:1AF2:EB96:9931:40A3:09B6:2B8D:1653:1185:9C66
Denmark

Server address: 77.66.84.233:443
Provider name: 2.dnscrypt-cert.resolver2.dnscrypt.eu
Public key: 3748:5585:E3B9088:FD25:AD36:B037:01F5:520C648:9E9AD52:1457:4955:9F0A:9955
Soltysiak.com - No logs, DNSSEC

Poznan, Poland
Server address: 178.216.201.222:2053
Provider name: 2.dnscrypt-cert.soltysiak.com
Public key: 25C4:E188:2915:4697:8F9C:2BBD:B6A7:AFA4:01ED:A051:0508:5D53:03E7:1928:C066:8F21

pu***

LazyZhu 发表于 2014-1-23 21:03
是的
看来楼主也不懂，就编译了个ipk而已

我看你也似懂非懂，人云亦云，就发了个没营养的回帖而已。

le***

已经用上，非常感谢楼主，Google 的域名终于不被污染了，直接上 Google Plus

抛砖***

谢谢 用jp的试试速度

98***

楼主，歪个楼，不好意思。
最近在找openvirtual**混淆流量的patch，因为阻断太严重了，可以说连不上了，找到了你发的关于xorpatch的贴子，不知这个方法现在还有效吗?

Laz***

pupie 发表于 2014-1-24 11:44
我看你也似懂非懂，人云亦云，就发了个没营养的回帖而已。

你贴了这么多，自己看了么，没看见dnscrypt使用的密匙对加密么，
照你的说法，你能用google的dns和114咯
我已经用小付写的dnscrypt-wrapper自建dns用了两个月了，https://github.com/Cofyc/dnscrypt-wrapper
ip是198.74.110.195

唉，出来show之前也得补一下功课啊，