头图

玩转ECS丨使用云服务器ECS搭建DoH服务的开发实践

Y_sure

本文来自于云服务器ECS征文活动投稿,已获得作者(昵称绍羽)授权发布。

我们都知道,DNS服务器(Domain Name Server)可以将人类易于理解的域名(就是平时说的网址)转换为机器易于理解的「IP 地址」,它使用UDP端口53对外提供服务。通常,DNS查询是明文的,这意味着你的网站访问记录可以轻易被网络管理员和ISP获取到。

面对日益严峻的行为管理、隐私泄露和恶意劫持,DoH作为一种更安全的DNS查询方式正在被更广泛使用。它通过RFC 8484指定的经过TLS加密的HTTP连接提供DNS解析,这意味着我们的DNS查询得到了加密保护。

那么我能不能尝试一下在公网搭建一个DoH服务器呢?

当我有这种想法之后便开始行动,通过查阅网络公开资料也解决了很多疑点,最终,借助阿里云的ECS(镜像源真的很快,推荐),成功地完成了搭建Doh服务器的实践。

接下来,跟着我一起看看是怎样完成搭建的吧~

01 资源准备:云服务器+域名

1.云服务器

本次实践推荐使用一台装载Ubuntu镜像的云服务器,在阿里云的试用中心可以免费使用一个月t5实例:https://free.aliyun.com/

如果您是高校学生或老师,可以使用高校计划可以免费领用2.5个月:https://developer.aliyun.com/...

2.域名准备

建议使用阿里云万网购买域名,优势是可以获得免费的SSL证书。

02 便捷搭建方案

如果只是想便捷配置可以参考下面的步骤:
1、安装docker:
apt-get install docker.io
2、启动docker:
service docker start
3、下载创建并初始化Dnscrypt容器:

docker run --name=dnscrypt-server -p 443:443/udp -p 443:443/tcp \
--restart=unless-stopped \
-v /etc/dnscrypt-server/keys:/opt/encrypted-dns/etc/keys \
jedisct1/dnscrypt-server init -N example.com -E '192.168.1.1:443'

说明
①:example.com替换为您的域名,192.168.1.1:443替换为ECS公网IP,可以指定多个逗号分隔的 IP 和端口,如 -E'192.168.1.1:443,[2001:0db8::412f]:443'. -v
②:/etc/dnscrypt-server:/opt/encrypted-dns/etc/keys 表示容器内部的路径。
/opt/encrypted-dns/etc/keys 映射到 /etc/dnscrypt-server/keys。
启动服务命令:docker start dnscrypt-server

4、下载创建并初始化Doh-server容器:

docker run -d --restart unless-stopped --network host --name doh-server \
  -e UPSTREAM_DNS_SERVER="udp:127.0.2.1:53" \
  -e DOH_HTTP_PREFIX="/dns-query" \
  -e DOH_SERVER_LISTEN="127.0.0.1:8053" \
  -e DOH_SERVER_TIMEOUT="10" \
  -e DOH_SERVER_TRIES="3" \
  -e DOH_SERVER_VERBOSE="true" \
  satishweb/doh-server

5、 验证容器状态:
docker ps -a

6、设置自启动:

docker update --restart=unless-stopped dnscrypt-server   docker update --restart=unless-stopped doh-server

7、Web客户端和ssl证书参照下文nginx。
8、检查配置-所有服务启动,我们就得到了Doh服务,请转最后小结部分。

03 进阶搭建教程

如何搭建是个问题,那么这里列举3种方案与思路。
i. nginx + doh-server + dnscrypt(本文使用)

ii. nginx + doh-server + Bind(备选方案)
iii. nginx + doh-server + CoreDNS(云原生方案)

1、安装software-properties-common软件包:

这是一个预备操作。我使用的是阿里云官方提供的Ubuntu 20.04 64位系统,其缺少add-apt-repository命令,需要在系统终端中运行以下命令来安装software-properties-common软件包:

sudo apt update
sudo apt -y install software-properties-common dirmngr apt-transport-https lsb-release ca-certificates

Tips
可以使用以下命令添加PPA存储库:
sudo add-apt-repository ppa:<PPA Name>
添加PPA存储库后,更新程序包列表并从存储库安装新程序包:

sudo apt update
sudo apt install

2、安装Dnscrypt-Proxy

a) 安装和验证
Dnscrypt-Proxy是具备很多现代化功能的DNS代理服务器程序,其支持DNSCrypt v2(身份认证), DNS-over-HTTPS【RFC8484,DNS Queries over HTTPS (DoH)】等功能。

由于Dnscrypt-Proxy使用golang开发,所以其不支持在CentOS5及之前的Linux发行版上安装。Dnscrypt-Proxy需要占用53端口,所以安装前可以先查看一下53端口使用情况,命令:

ss -lp 'sport = :domain'

我们可以使用志愿者贡献的PPA来快捷安装和保持程序的最新版本:

sudo add-apt-repository ppa:shevchuk/dnscrypt-proxy
sudo apt install dnscrypt-proxy

安装后,Dnscrypt-Proxy服务将在服务器上自动启动。

程序会被安装到/etc/dnscrypt-proxy文件夹,dnscrypt-proxy的监听地址通常为(V:2.1.0~ppa6):127.0.0.53:53,我们可以使用dig命令查看一下。

其配置文件/etc/dnscrypt-proxy/dnscrypt-proxy.toml文件的server_names字段要求你设置一个或多个你喜欢的服务器即可,第一个请求失败会自动向第二个服务器请求。例如:server_names = ['alidns-doh']我们这里不做更改,根据服务器所在可用区的不同,我们可能会修改这里的参数。

b) 修改系统DNS配置
移除系统DNS配置命令:
apt-get remove resolvconf
为系统DNS配置文件设置备份:

cp /etc/resolv.conf /etc/resolv.conf.backup

修改原DNS配置文件:
vim /etc/resolv.conf

修改为nameserver 127.0.0.53 options edns0
最后重启dnscrypt-proxy服务:
sudo systemctl restart dnscrypt-proxy

说明:系统Systemd 服务使用的默认套接字库地址为127.0.2.1:53

3、安装DNS-over-HTTPs

这是一个基于golong开发的开源DoH服务器程序,它可以接受http请求并执行DNS查询。我们可以使用deb安装包快捷的安装DNS-over-HTTPs服务器程序:

如果使用debian,则命令为:
sudo dpkg -i doh-server_2.0.1_amd64.deb
在ubuntu里面,命令为:

sudo apt install doh-server_2.0.1_amd64.deb
sudo apt install /root/doh-server_2.0.1_amd64.deb

注意:以上文件路径请据实替换

Tips:如果你在安装 deb 软件包的过程中得到一个依赖项的错误,你可以使用下面的命令来修复依赖项的问题:
sudo apt install -f

安装好的DoH服务器程序的配置文件在路径/etc/dns-over-https/doh-server.conf。为了设置反向解析,我们修改其upstream字段(上游DNS解析),将其修改为上面提到的dnscrypt-proxy的监听地址;dnscrypt-proxy监听字段可以在/etc/dnscrypt-proxy/dnscrypt-proxy.toml文件里修改。这样DoH程序就会使用Dnscrypt-proxy来执行DNS请求。

修改代码:
vim /etc/dns-over-https/doh-server.conf

修改如下图所示:

重启服务进行应用更改:
sudo systemctl restart doh-server

4、安装Nginx

Nginx是一款高性能的反向代理服务器程序,在这里它负责接受客户端HTTPS DNS请求,然后作为反向代理解码来自客户端的HTTPS请求并向DoH服务器程序发送DoH请求。它是与客户端交流的门户,我们还会为它配置一个SSL证书以便于验证HTTPS请求。

我使用的是“Ondřej Surý”提供的相关版本,在百度中搜索此关键词,然后进入网页下载对应的安装包就好。以下为安装命令:

sudo add-apt-repository ppa:ondrej/nginx  
sudo apt install nginx-full

Nginx被安装在/etc/nginx目录下,我们需要编辑配置文件。

Vim /etc/nginx/sites-available/dns-over-https

其中server_name字段需要使用您自己的域名,域名是提供DoH服务所必需的。upstream dns-backend就是你需要Nginx转发到的地址,这里就是我们的DOH的监听地址。以下为一个示例配置:

完成后我们需要把配置文件放到/etc/nginx/sites-available/dns-over-https

sudo ln -s /etc/nginx/sites-available/dns-over-https /etc/nginx/sites-enabled/dns-over-https

验证并重启:

sudo nginx -t  sudo systemctl reload nginx

我们可以配置nginx对ssl证书的检查:
vim /etc/nginx/conf.d/stapling.conf
配置如下图,其中resolver变量是DNScrypt的监听地址。

5、申请SSL证书

方法一:手动安装

如果你购买的是阿里云的域名,那么我们可以选择手动安装,优点是有效期时间长达一年,缺点是比较麻烦。

进入控制台-数字证书管理服务https://yundun.console.aliyun...

购买DV单域名证书包后可以点击创建证书,填写申请并验证即可。

购买成功后我们可以下载证书并部署到服务器上。通过ftp或其他方式将证书上传到服务器目录内,修改nginx配置文件以应用更改。示例配置如下:

使用nginx -t命令可测试配置是否正确。
重启nginx进行应用配置:
sudo systemctl reload nginx

方法二:使用插件安装

Certbot 是一个免费的开源申请SSL证书的工具,用于在手动管理的网站上自动部署免费的Let's Encrypt证书以启用HTTPS。在nginx服务器上使用Certbot来配置证书是很棒的选择。优点是比较方便,缺点是有效期短。

使用PPA安装certbot:

sudo add-apt-repository ppa:certbot/certbot
sudo apt install python3-certbot-nginx


成功后的截图如下:

为你的域名申请证书,注意替换,根据提示输入Agree即可下一步:
sudo certbot --nginx -d dns.example.com

下一步我们选择2以便把HTTP流量转发到HTTPS,如果选择1则表示不转发。(如下图所示)

该插件配置文件地址为vim /etc/letsencrypt/options-ssl-nginx.conf

重启nginx进行应用配置:
sudo systemctl reload nginx
由于Let’s Encrypt颁发的证书的有效期只有90天,我们可以使用certbot renew命令来更新证书。

04 DOH的使用方法小结

RFC8484中指定使用/dns-query路径作为默认查询路径。在客户端方面,火狐、谷歌等浏览器均已支持DoH,其中谷歌浏览器中的配置路径为:设置-安全和隐私设置-高级-使用安全DNS:

当然,由于政策性原因,我们在中国境内搭建的Doh服务器并不能在没有经营性备案的情况下向公网提供服务,所以本次实践的意义在于学习和动手实践的乐趣。

另外,由于提供DNS服务有快速和准确等要求,所以个人搭建的服务器并不是最优选择;若有需求,可以试一下阿里云的公共DoH服务。

如果你想参与ECS的开发实践征文活动,请点击这里了解详情,千元猫超卡等你来拿。

阅读 399
1 声望
0 粉丝
0 条评论
1 声望
0 粉丝
文章目录
宣传栏