---
categories: ['OpenWRT','Service']
date: 2020-12-22T10:22:49+01:00
description: "Comment utiliser OpenWRT pour qu'il fasse proxy vers des DNS sur le protocole DoH"
draft: false
tags: ['OpenWRT','DNS','DoH']
title: "OpenWRT : proxy DNS DoH"
translationKey: "openwrt-dns-doh-proxy"
---

## Description

Voyons dans cet article comment paramétrer OpenWRT pour qu'il puisse 
communiquer avec des serveurs DNS sur le protocole {{< abbr DoH "DNS-over-HTTPS" >}}.

{{< note info >}}
Le protocole DoH, bien que dans l'esprit est intéressant, dans la mise 
en pratique semble décrié, car n'apporte pas toute la confidentialité
nécessaire à laquelle on s'attend, ou a besoin. <br>
*Faites des recherches pour comprendre la raison, pour laquelle il vaut 
mieux préférer {{< abbr DoT "DNS-over-TLS" >}}.*
*Par exemple, vous pouvez lire la {{< inside2 a="le-problème-avec-dns-sur-https-doh" l="trad/unixsheikh.com/guide-du-routeur-openbsd" t="traduction suivante du problème relatif à DoH" >}}.*
{{</note>}}

Le but est de :

- chiffrer le trafic DNS afin d'améliorer la confidentialité de celui-ci.
- prévenir d'une fuite DNS et les détournements de votre trafic DNS
- bypasser les restrictions régionales ou celles du {{< abbr FAI "Fournisseur d'Accès Internet" >}}.


## Installation

Installons les deux paquets nécessaires que sont **https-dns-proxy**, et 
**luci-app-https-dns-proxy**.

```sh
# opkg update
# opkg install https-dns-proxy luci-app-https-dns-proxy
```

Puis il faut redémarrer le service **rcpd**. 

```sh
# /etc/init.d/rpcd restart
```

## Configuration

{{< note info >}}
Par défaut, le service est configuré pour utiliser les services des DNS 
de Google et de Cloudflare. Néanmoins, il est très facile de changer ce 
paramétrage ; sachez qu'actuellement, plusieurs autres choix sont possibles
tels que CleanBrowsing, LibreDNS, Cira CA Shield, Adguard, qui proposent
plusieurs listes de protections. 
{{</note>}}

Le service est accessible par le menu "**Services → HTTPS DNS Proxy**".

{{< img a="Service HTTPS DNS Proxy" s="openwrt/Services-DNS-HTTPS-Proxy.png" w="512" >}}

---

Paramétrez-le de manière à :

- écouter un serveur DNS choisi par la liste proposée
- sur l'adresse de bouclage interne localhost, soit sur le protocole IPv4, soit sur IPv6, ou les deux
- et affecter un port de service sur lequel écouter.

Puis, appuyez sur le bouton : 

- **[ SAVE & APPLY ]** en bas de page
- puis, dans la section **Service Status**, sur celui nommé **[ RELOAD ]**

Ainsi le service sera actif, et prendra en charge la communication vers
les serveurs DNS DoH configurés. 

---

{{< note info >}}
Si vous avez le service DHCP activé, sachez qu'il se répercute dans la 
section **DNS forwardings** du menu "**Network → DNS and DHCP**". 
{{</note>}}

### Configuration CLI

Il est possible de configurer le service par le biais de la console shell :

Voici l'exemple que donne la communauté OpenWRT : 

```sh
# Configure DoH provider
while uci -q delete https-dns-proxy.@https-dns-proxy[0]; do :; done
uci set https-dns-proxy.dns="https-dns-proxy"
uci set https-dns-proxy.dns.bootstrap_dns="8.8.8.8,8.8.4.4"
uci set https-dns-proxy.dns.resolver_url="https://dns.google/dns-query"
uci set https-dns-proxy.dns.listen_addr="127.0.0.1"
uci set https-dns-proxy.dns.listen_port="5053"
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart
```

Le paramétrage présenté est pour les serveurs DNS de Google… 

## Documentation

- https://openwrt.org/docs/guide-user/services/dns/doh_dnsmasq_https-dns-proxy

---

Mais peut-être que vous préférerez utiliser DoT ; si oui, lisez : {{< inside "sys/openwrt/unbound-dot" >}}

---

***Enjoy-ID! <br>
Enjoy-IT!***

---