Ja od kilku miesięcy używam DNSCrypt v1 z OpenDNS i wszystko działa jak należy. Zastanawiam się tylko jaka jest różnica między DNSCrypt a innymi rozwiązaniami wymienionymi przez Cezarego, czy DNSCrypt jest gorszy od nich, mniej bezpieczny?

Jeśli chodzi o brak DNSCrypt v2 w OpenWRT to myślę, że wszystko rozbija się o rozmiar, v2 jest strasznie kobylaste.

Przy okazji mam pytanie, czy da się ustawić DNSCrypt v1 z OpenWRT 18.06 aby używał dnsów Cloudflare (1.1.1.1), na liście nie ma Cloudflare, a w v2 juz jest.

dnscrypt-proxy v2 wspiera protokoły DNSCrypt v1, DNSCrypt v2 i DNS-over-HTTP/2 , także to nie jest już jedynie inny protokół.
Tu jest lista serwerów, z którymi on może współpracować: https://dnscrypt.info/public-servers (są tam też i te od Cloudflare)

Co do samego bezpieczeństwa, to nie ma zbytnio różnicy, ruch jest szyfrowany i tu i tu. Jedyna różnica to chyba tylko taka, że ten DNS-over-HTTP/2 jest/będzie oficjalnym standard, a DNSCrypt to taki bardziej wynalazek był, by zaradzić temu że ruch DNS nie był szyfrowany, ale to nigdy nie był standard, po prostu organizacje jak OpenDNS wspierały go lub nie. Tam jeszcze jakieś różnice są w samych protokołach były ale nie pamiętam dokładnie co.

Co do samego rozmiaru, to dnscrypt-proxy v2 może robić w zasadzie to co robi dnsmasq w kwestii DNS, może też działać równolegle z nim (np. cache DNS można włączyć w dnsmasq i wyłączyć w dnscrypt albo odwrotnie, itp). Można też zupełnie z dnsmasq zrezygnować i używać innego demona od DHCP w połaczeniu z dnscrypt v2 i też będzie działać bez problemu. U mnie andek i debian już na dnscrypt v2 działają od jakiegoś czasu, przydałoby się i w OpenWRT to wrzucić. :]

DNSCrypt-Proxy v2 po kompresji to ok. 1,6 MB.
Sam używam i działa bezbłędnie.

Ten artykuł ma to wszystko ciekawie opisane.
https://arstechnica.com/information-tec … ypted-dns/

Według autora na ten moment DNSCrypt-Proxy v2 ma najlepszą implementację DNS-over-HTTPS. Oferuje ona po prostu na ten moment lepszą wydajność niż konkurencyjne rozwiązanie DNS-over-TLS. Osobiście używam DNSCrypt-Proxy v2, bo oferuje load-balancing między serverami i automatycznie wybiera ten najlepszy a dodatkowo posiada własny Cache DNS.

@Cezary, jak sprawdzasz że zapytania lecą przez Stubby/TLC ?

Jeszcze w /etc/config/dhcp:

#      option resolvfile '/tmp/resolv.conf.auto'

/etc/dnsmasq.conf:

no-resolv
proxy-dnssec
server=127.0.0.1#5453

Oraz:

uci set network.wan_dev.peerdns='0'
uci set network.wan_dev.dns='127.0.0.1'
uci commit network

Świetna alternatywa dla DNSCryptów. Nie kłóci się z Adbockiem i Dnsmasq.

@r44
Sprawdzenie, czy szyfrowane: https://forum.openwrt.org/t/tutorial-dn … d/18663/82
Prościej: https://www.cloudflare.com/ssl/encrypted-sni/
W Firefoxie jeszcze trzeba właczyć TLS 1.3, zmienić wartość dla security.tls.version.max oraz security.tls.version.fallback-limit z 3 na 4. W Chrome: chrome://flags/#tls13-variant ustawić z Default na Enabled(Final).

A ja używam DNS over HTTPS. Ciekawe czy jest jakaś różnica w poziomie zabezpieczenia w stosunku do stubby.

To puść test
https://1.1.1.1/help

A to mój wynik testu
https://1.1.1.1/help#eyJpc0NmIjoiWWVzIi … IxMzMzNSJ9

Można i tak. Ja mam HTTPS ustawionego na routerze.

Wiem. Można mieć tylko jedno. Wybrałem HTTPS dla DNS bo liczę, że mniej obciąża router.