OPNsense通过Unbound DNS配置DoT

青春须早为，岂能长少年。这篇文章主要讲述OPNsense通过Unbound DNS配置DoT相关的知识，希望能为你提供帮助。
DNS over TLS(DoT) 是一种加密DNS请求的方式。DoT和DoH之间的主要区别是DoT使用 UDP协议，一般使用853端口；而DoH使用TCP协议，一般使用443端口。通过DoH发送的DNS请求将与其他HTTPS流量混合，而基于DoT的DNS请求则单独使用853端口。这两种方法具有近似的安全级别，可能DoH相对会提升一些隐私。而DoT的流量与HTTPS流量是分开的，相对更容易被监控。在OPNsense的新版本中，已经可以支持DoT。
将DoT服务器添加到Unbound转到“Services > Unbound DNS > DNS over TLS”页面。单击“ ”按钮添加一个新的DNS over TLS服务器。本文使用CloudFlare的DNS服务器作为示例，当然其他任何DoT服务器也是可以的。

“服务器 IP”输入 1.1.1.1，“服务器端口”输入853。一般不需要“验证 CN”选项来验证 DoT服务器证书上的公用名。该选项通过确保连接到所需的服务器而不是某个“中间人”服务器来帮助提高安全性。对于1.1.1.1 DNS服务器，CN 是cloudflare-dns.com。

单击“保存”后，服务器会出现在列表中。单击“应用”按钮使更改生效。

在应用更改之前，如果内部网络使用IPv6地址，还必须添加辅助1.0.0.1 DNS 地址以及 IPv6 DNS 服务器地址（2606:4700:4700::1111 和 2606:4700:4700::1001）。

Cloudflare还提供阻止恶意软件和成人内容的DNS服务器。如果希望使用Cloudflare 提供的过滤DNS，可以使用下表的DNS代替，服务器的端口都是853。

DNS 过滤器	服务器 IP	公用名
恶意软件	1.1.1.2	security.cloudflare-dns.com
恶意软件	1.1.1.2	security.cloudflare-dns.com
恶意软件	2606:4700:4700::1112	security.cloudflare-dns.com
恶意软件	2606:4700:4700::1002	security.cloudflare-dns.com
恶意软件成人	1.1.1.3	security.cloudflare-dns.com
恶意软件成人	1.0.0.3	security.cloudflare-dns.com
恶意软件成人	2606:4700:4700::1113	security.cloudflare-dns.com
恶意软件成人	2606:4700:4700::1003	security.cloudflare-dns.com

测试DoT配置点击Cloudflare的??测试网站??，该页面可以测试当前是否正在使用DoT或DoH。此外，该测试页面还可以检查浏览器是否启用了自己的DoT或DoH 配置。例如，在Chrome浏览器上显示仅使用了DoT：

检查DNS查询是否通过853端口发送的另一个方法，是调整Unbound DNS的日志级别。转到“Unbound DNS > Advanced”，将日志级别修改为2以上。选中“日志查询”选项，然后点击“保存”。再点击“应用更改”。

现在查看日志，应该会在853端口上看到来自CloudFlare DNS服务器的部分回复：

结论如果需要控制内部网络都使用DoT，可以将所有针对53端口的请求??重定向到Unbound DNS??。如果只想使用 DoT，可以使用公共DNS阻止列表来尽可能减少基于HTTPS的DNS 流量。
【OPNsense通过Unbound DNS配置DoT】原文??地址??。