---
categories: ['OpenWRT','Service']
date: 2020-12-22T10:22:49+01:00
description: "Comment utiliser OpenWRT pour qu'il fasse proxy vers des DNS sur le protocole DoH"
draft: false
tags: ['OpenWRT','DNS','DoH']
title: "OpenWRT : proxy DNS DoH"
translationKey: "openwrt-dns-doh-proxy"
---
## Description
Voyons dans cet article comment paramétrer OpenWRT pour qu'il puisse
communiquer avec des serveurs DNS sur le protocole {{< abbr DoH "DNS-over-HTTPS" >}}.
{{< note info >}}
Le protocole DoH, bien que dans l'esprit est intéressant, dans la mise
en pratique semble décrié, car n'apporte pas toute la confidentialité
nécessaire à laquelle on s'attend, ou a besoin.
*Faites des recherches pour comprendre la raison, pour laquelle il vaut
mieux préférer {{< abbr DoT "DNS-over-TLS" >}}.*
*Par exemple, vous pouvez lire la {{< inside2 a="le-problème-avec-dns-sur-https-doh" l="trad/unixsheikh.com/guide-du-routeur-openbsd" t="traduction suivante du problème relatif à DoH" >}}.*
{{}}
Le but est de :
- chiffrer le trafic DNS afin d'améliorer la confidentialité de celui-ci.
- prévenir d'une fuite DNS et les détournements de votre trafic DNS
- bypasser les restrictions régionales ou celles du {{< abbr FAI "Fournisseur d'Accès Internet" >}}.
## Installation
Installons les deux paquets nécessaires que sont **https-dns-proxy**, et
**luci-app-https-dns-proxy**.
```sh
# opkg update
# opkg install https-dns-proxy luci-app-https-dns-proxy
```
Puis il faut redémarrer le service **rcpd**.
```sh
# /etc/init.d/rpcd restart
```
## Configuration
{{< note info >}}
Par défaut, le service est configuré pour utiliser les services des DNS
de Google et de Cloudflare. Néanmoins, il est très facile de changer ce
paramétrage ; sachez qu'actuellement, plusieurs autres choix sont possibles
tels que CleanBrowsing, LibreDNS, Cira CA Shield, Adguard, qui proposent
plusieurs listes de protections.
{{}}
Le service est accessible par le menu "**Services → HTTPS DNS Proxy**".
{{< img a="Service HTTPS DNS Proxy" s="openwrt/Services-DNS-HTTPS-Proxy.png" w="512" >}}
---
Paramétrez-le de manière à :
- écouter un serveur DNS choisi par la liste proposée
- sur l'adresse de bouclage interne localhost, soit sur le protocole IPv4, soit sur IPv6, ou les deux
- et affecter un port de service sur lequel écouter.
Puis, appuyez sur le bouton :
- **[ SAVE & APPLY ]** en bas de page
- puis, dans la section **Service Status**, sur celui nommé **[ RELOAD ]**
Ainsi le service sera actif, et prendra en charge la communication vers
les serveurs DNS DoH configurés.
---
{{< note info >}}
Si vous avez le service DHCP activé, sachez qu'il se répercute dans la
section **DNS forwardings** du menu "**Network → DNS and DHCP**".
{{}}
### Configuration CLI
Il est possible de configurer le service par le biais de la console shell :
Voici l'exemple que donne la communauté OpenWRT :
```sh
# Configure DoH provider
while uci -q delete https-dns-proxy.@https-dns-proxy[0]; do :; done
uci set https-dns-proxy.dns="https-dns-proxy"
uci set https-dns-proxy.dns.bootstrap_dns="8.8.8.8,8.8.4.4"
uci set https-dns-proxy.dns.resolver_url="https://dns.google/dns-query"
uci set https-dns-proxy.dns.listen_addr="127.0.0.1"
uci set https-dns-proxy.dns.listen_port="5053"
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart
```
Le paramétrage présenté est pour les serveurs DNS de Google…
## Documentation
- https://openwrt.org/docs/guide-user/services/dns/doh_dnsmasq_https-dns-proxy
---
Mais peut-être que vous préférerez utiliser DoT ; si oui, lisez : {{< inside "sys/openwrt/unbound-dot" >}}
---
***Enjoy-ID!
Enjoy-IT!***
---