在本地网络部署dnsproxy的DoH服务器指南

前言

在当今互联网环境中，DNS over HTTPS(DoH)作为一种加密DNS查询的协议，越来越受到重视。AdguardTeam开发的dnsproxy项目提供了轻量级的DNS代理功能，支持多种协议包括DoH。本文将详细介绍如何在本地网络中部署dnsproxy的DoH服务器。

准备工作

在开始部署前，需要准备以下环境：

1. 一台运行Linux/Windows/macOS的服务器
2. 网络环境配置完成，确保客户端可以访问服务器
3. 基本的命令行操作知识

安全凭证配置

由于是本地网络环境，我们需要自行配置TLS安全凭证。使用OpenSSL工具可以轻松完成这一步骤：

openssl req -x509 -newkey rsa:2048 -keyout example.key -out example.crt -days 365 -nodes -subj "/CN=dnsproxy.local" -addext "subjectAltName=DNS:dnsproxy.local,IP:192.168.1.5"

这条命令会生成：

• 2048位RSA密钥对
• 有效期为1年的自签名凭证
• 包含dnsproxy.local域名和192.168.1.5 IP地址的SAN扩展

启动dnsproxy服务

使用以下命令启动dnsproxy的DoH服务：

./dnsproxy -l 192.168.1.5 --https-port=443 --tls-crt=example.crt --tls-key=example.key -u 1.1.1.1:53 -p 0

参数说明：

• -l: 指定监听地址
• --https-port: HTTPS服务端口
• --tls-crt/--tls-key: 指定凭证和密钥文件
• -u: 指定上游DNS服务器
• -p: 禁用常规DNS端口(53)

客户端配置

由于使用的是自签名凭证，客户端会提示"certificate signed by unknown authority"错误。解决方法有：

1. 安装凭证到系统信任库

   • 将生成的example.crt凭证安装到客户端系统的受信任根凭证颁发机构
   • 具体方法因操作系统而异

2. 创建私有CA(推荐)

   • 创建自己的凭证颁发机构
   • 用该CA签发服务器凭证
   • 将CA根凭证安装到客户端

3. 临时解决方案(不推荐)

   • 某些客户端支持忽略凭证验证(如curl的-k参数)
   • 这会降低安全性，仅用于测试环境

测试服务

使用DNS查询工具测试服务是否正常工作：

dig @192.168.1.5 -p 443 google.com

或者使用支持DoH的专用工具：

q -v google.com @https://192.168.1.5

安全建议

1. 定期更新凭证(建议有效期不超过1年)
2. 使用更强的加密算法(如RSA 4096或ECC)
3. 限制访问IP范围(通过防火墙规则)
4. 监控服务日志，及时发现异常查询

总结

通过dnsproxy项目，我们可以在本地网络快速部署一个功能完整的DoH服务器。虽然自签名凭证需要额外的客户端配置，但这为内部网络提供了加密DNS解析的能力，有效保护了DNS查询的隐私性。对于企业或家庭网络环境，这种方案既安全又易于管理。