Nešifrované DNS bylo vždycky proti srsti. Šifrované DNS přes veřejné DNS servery (1.1.1.1, 8.8.8:8 a podobně) už bylo lepší, ale také to není ono. Kdysi jsem používal DNScrypt, ale mělo to dvě nevýhody:
- Nestandardizované
- Nekonzistentní vývoj (to trvá do dnes)
Letos jsem se rozhodl to rozseknout. Na localhostech mi tedy běží docker Knot Resolver s DoT na vlastní Knot Resolver u Hetznera. Na routerech běží RouterOS s DoH na ten samý Knot Resolver u Hetznera. Takže jakékoliv DNS opustí lokální síť pouze šifrovaně. Z Knot Resolveru u Hetznera jdou požadavky přímo na autoritativní DNS. Cetifikáty jsou Let's Encrypt. Do RouterOS stačí natáhnout mezilehlý certifikát. Funguje to hezky, jak bude chvilka, udělám na to článek. Co ovšem nechápu, proč RouterOS doposud nepodporuje DoT. Z pohledu provozu je DoT jasná volba. DoH mi naopak přijde jako technický paskvil (DNS over HTTP over TLS) tlačený obchodními pohnutkami. Rád si poslechnu protinázor.
Takže spouštím anketu v tomto vlákně, díky za přispění.
