宅内DNSプロキシ の履歴(No.2)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 宅内DNSプロキシ へ行く。
  • 1 (2024-10-24 (木) 08:59:51)
  • 2 (2024-10-24 (木) 10:30:48)
  • 3 (2024-10-27 (日) 23:53:00)
  • 4 (2024-10-28 (月) 19:08:20)
  • 5 (2024-11-01 (金) 19:19:51)
  • 6 (2024-12-10 (火) 19:12:09)
  • 7 (2024-12-10 (火) 19:12:09)
  • 8 (2024-12-10 (火) 19:12:09)

宅内DNSプロキシ†[edit]

ナニコレ†[edit]

• 様々なOS・デバイスでは旧来の暗号化されていないDNSのまま。
  • Windows11では純正でDNS over HTTPSがサポートされるようにはなりました。
• そこで、宅内にDNSプロキシを置いて、リゾルバまでは暗号化させるための設定方法メモです。

前提†[edit]

• OSにはArchLinuxを使います。
  • RHEL系とかDebian系とかは適宜適当にやってください。
    • このページ書いている人は長年CentOS使ってきましたが、RHEL系のゴタゴタと使い勝手の悪さから、Arch信者になりました。

設定†[edit]

• rootにて

  [root@arch-dns1 ~]#
  
  # パッケージアップデート
  pacman-key --init
  pacman-key --populate archlinux
  pacman-key --init && pacman -Sy archlinux-keyring && pacman -Syu
  
  # vimインストール
  pacman -S vim
  rm /usr/bin/vi
  ln -s /usr/bin/vim /usr/bin/vi
  
  # SSH鯖インストール
  pacman -S openssh
  vi /etc/ssh/sshd_config
  # PermitRootLoginをyesにする
  
  
  # SSH鯖の起動・有効化
  systemctl start sshd
  systemctl status ssh
  systemctl enable sshd
  systemctl status ssh
  
  # vimの右クリック動作が気持ち悪いので止める
  vi .vimrc
  ----
  " デフォルトの設定を読み込む
  source $VIMRUNTIME/defaults.vim
  
  " 右クリックした時の動作を止める
  set mouse-=a
  ----
  
  # NTP同期を有効化する
  timedatectl set-timezone Asia/Tokyo
  timedatectl set-ntp true
  
  # yayのアップデート用に管理用ユーザー追加
  useradd -m admin
  passwd admin
  usermod -G wheel admin
  visudo
  # %wheel ALL=(ALL:ALL) ALL な行のコメントアウトを外す
  pacman -S --needed git base-devel
  
  
  # 管理用ユーザーにユーザー変更
  su - admin

• 管理用ユーザー(admin)にて

  [admin@arch-dns1 ~]$ 
  
  # yay入れてdnsproxyもインストール
  git clone https://aur.archlinux.org/yay.git
  cd yay/
  makepkg -si
  cd ~
  yay -Syu
  yay -Sy dnsproxy
  
  # rootに戻る
  exit

• rootにて

  [root@arch-dns1 ~]#
  
  # dnsproxyの設定を変更する
  cd /etc/dnsproxy/
  cp -p dnsproxy.yaml dnsproxy.yaml.orig
  vi dnsproxy.yaml
  # 中身は別の項参照。
  
  # OS純正のsystemd-resolvedを停止・無効化する
  # これしないと53番ポートをsystemd-resolvedが使い続けてしまう。
  systemctl status systemd-resolved
  systemctl stop systemd-resolved
  systemctl status systemd-resolved
  systemctl disable systemd-resolved
  systemctl status systemd-resolved
  
  # DNSproxyを開始・有効化する
  systemctl status dnsproxy
  systemctl start dnsproxy
  systemctl status dnsproxy
  systemctl enable dnsproxy
  systemctl status dnsproxy

設定内容†[edit]

• dnsproxy.yaml

  bootstrap:
   - "1.1.1.1:53"
   - "1.0.0.1:53"
  listen-addrs:
   - "0.0.0.0"
  listen-ports:
   - 53
  max-go-routines: 0
  ratelimit: 0
  ratelimit-subnet-len-ipv4: 24
  ratelimit-subnet-len-ipv6: 64
  udp-buf-size: 0
  upstream:
   - "quic://***************"
  timeout: '10s'
  ipv6-disabled: true

トラブルシューティング†[edit]

failed to sufficiently increase receive buffer size†[edit]

• ログを見てみると、バッファを増やせと出ていたりするかも。

  Oct 24 10:09:02 arch-dns1 dnsproxy[428]: 2024/10/24 10:09:02.217634 failed to sufficiently increase receive buffer size (was: 208 kiB, wanted: 7168 kiB, got: 416 kiB). See https://github.com/quic-go/quic-go/wiki/UDP-Buffer-Sizes for details.

• 推奨どおり、OSのネットワーク用バッファを増やしましょう。

  vi /etc/sysctl.d/99-sysctl.conf
  ----
  net.core.rmem_max = 7500000
  net.core.wmem_max = 7500000
  ----
  
  sysctl --system