使用云服务器ECS搭建DoH服务器

弹性计算百晓生
  • 收获赞:8
  • 擅长领域:专注分享云计算、云服务器相关知识,做技术领先、性能优异、稳如磐石的弹性计算!

本文来自于云服务器ECS征文活动投稿,已获得作者(昵称绍羽)授权发布。

我们都知道,DNS服务器(Domain Name Server)可以将人类易于理解的域名(就是平时说的网址)转换为机器易于理解的「IP 地址」,它使用UDP端口53对外提供服务。通常,DNS查询是明文的,这意味着您的网站访问记录可以轻易被网络管理员和ISP获取到。

面对日益严峻的行为管理、隐私泄露和恶意劫持,DoH作为一种更安全的DNS查询方式正在被更广泛使用。它通过RFC 8484指定的经过TLS加密的HTTP连接提供DNS解析,这意味着我们的DNS查询得到了加密保护。

那么我能不能尝试一下在公网搭建一个DoH服务器呢?

当我有这种想法之后便开始行动,通过查阅网络公开资料也解决了很多疑点,最终,借助阿里云的ECS(镜像源真的很快,推荐),成功地完成了搭建Doh服务器的实践。

接下来,跟着我一起看看是怎样完成搭建的吧~

01 资源准备:云服务器+域名

1.云服务器

本次实践推荐使用一台装载Ubuntu镜像的云服务器,在阿里云的试用中心可以免费使用一个月t5实例:https://free.aliyun.com/c3e170c00e2e4ac9b0b669dffece4e24

如果您是高校学生或老师,可以使用高校计划可以免费领用2.5个月:https://developer.aliyun.com/plan/studentadd20dd3aea04fe4890cf724dd41aee6

2.域名准备

建议使用阿里云万网购买域名,优势是可以获得免费的SSL证书。

02 便捷搭建方案

如果只是想便捷配置可以参考下面的步骤:

  1. 安装docker:

    apt-get install docker.io
  2. 启动docker:

    service docker start
  3. 下载创建并初始化Dnscrypt容器:

    docker run --name=dnscrypt-server -p 443:443/udp -p 443:443/tcp \
    --restart=unless-stopped \
    -v /etc/dnscrypt-server/keys:/opt/encrypted-dns/etc/keys \
    jedisct1/dnscrypt-server init -N example.com -E '192.168.1.1:443'
    说明
    • example.com替换为您的域名,192.168.1.1:443替换为ECS公网IP,可以指定多个逗号分隔的 IP 和端口,如 -E'192.168.1.1:443,[2001:0db8::412f]:443'. -v

    • /etc/dnscrypt-server:/opt/encrypted-dns/etc/keys 表示容器内部的路径。/opt/encrypted-dns/etc/keys 映射到 /etc/dnscrypt-server/keys

    启动服务命令:docker start dnscrypt-server

  4. 下载创建并初始化Doh-server容器:

    docker run -d --restart unless-stopped --network host --name doh-server \
      -e UPSTREAM_DNS_SERVER="udp:127.0.2.1:53" \
      -e DOH_HTTP_PREFIX="/dns-query" \
      -e DOH_SERVER_LISTEN="127.0.0.1:8053" \
      -e DOH_SERVER_TIMEOUT="10" \
      -e DOH_SERVER_TRIES="3" \
      -e DOH_SERVER_VERBOSE="true" \
      satishweb/doh-server
  5. 验证容器状态:

    docker ps -a
    953cf9d35d8341b3ae19e73993aa730f
  6. 设置自启动:

    docker update --restart=unless-stopped dnscrypt-server   docker update --restart=unless-stopped doh-server
  7. Web客户端和SSL证书参照下文nginx。

  8. 检查配置-所有服务启动,我们就得到了Doh服务,请转最后小结部分。

03 进阶搭建教程

如何搭建是个问题,那么这里列举3种方案与思路:

  • nginx + doh-server + dnscrypt(本文使用)ce8dc794a3db4c4e81ec283d6c6e6e66

  • nginx + doh-server + Bind(备选方案)

  • nginx + doh-server + CoreDNS(云原生方案)

1、安装software-properties-common软件包

这是一个预备操作。我使用的是阿里云官方提供的Ubuntu 20.04 64位系统,其缺少add-apt-repository命令,需要在系统终端中运行以下命令来安装software-properties-common软件包:

sudo apt update
sudo apt -y install software-properties-common dirmngr apt-transport-https lsb-release ca-certificates

Tips

可以使用以下命令添加PPA存储库:

sudo add-apt-repository ppa:<PPA Name>

添加PPA存储库后,更新程序包列表并从存储库安装新程序包:

sudo apt update
sudo apt install

2、安装Dnscrypt-Proxy

a) 安装和验证

Dnscrypt-Proxy是具备很多现代化功能的DNS代理服务器程序,其支持DNSCrypt v2(身份认证), DNS-over-HTTPS【RFC8484,DNS Queries over HTTPS (DoH)】等功能。

由于Dnscrypt-Proxy使用golang开发,所以其不支持在CentOS5及之前的Linux发行版上安装。Dnscrypt-Proxy需要占用53端口,所以安装前可以先查看一下53端口使用情况,命令:

ss -lp 'sport = :domain'
c841994b20f54f1c9706cc3b797d5a1f

我们可以使用志愿者贡献的PPA来快捷安装和保持程序的最新版本:

sudo add-apt-repository ppa:shevchuk/dnscrypt-proxy
sudo apt install dnscrypt-proxy

安装后,Dnscrypt-Proxy服务将在服务器上自动启动。

程序会被安装到/etc/dnscrypt-proxy文件夹,dnscrypt-proxy的监听地址通常为(V:2.1.0~ppa6):127.0.0.53:53,我们可以使用dig命令查看一下。

其配置文件/etc/dnscrypt-proxy/dnscrypt-proxy.tomlserver_names字段要求您设置一个或多个您喜欢的服务器即可,第一个请求失败会自动向第二个服务器请求。例如:server_names = ['alidns-doh']我们这里不做更改,根据服务器所在可用区的不同,我们可能会修改这里的参数。

b) 修改系统DNS配置

移除系统DNS配置命令:

apt-get remove resolvconf

为系统DNS配置文件设置备份:

cp /etc/resolv.conf /etc/resolv.conf.backup

修改原DNS配置文件:

vim /etc/resolv.conf

修改为nameserver 127.0.0.53 options edns0

最后重启dnscrypt-proxy服务:

sudo systemctl restart dnscrypt-proxy
说明

系统Systemd 服务使用的默认套接字库地址为127.0.2.1:53。

3、安装DNS-over-HTTPs

这是一个基于golong开发的开源DoH服务器程序,它可以接受http请求并执行DNS查询。我们可以使用deb安装包快捷的安装DNS-over-HTTPs服务器程序:

如果使用debian,则命令为:

sudo dpkg -i doh-server_2.0.1_amd64.deb

在ubuntu里面,命令为:

sudo apt install doh-server_2.0.1_amd64.deb
sudo apt install /root/doh-server_2.0.1_amd64.deb
注意

以上文件路径请据实替换。

25ae3dd7b21f463dbcb24b60f9ea2e42

Tips:如果您在安装 deb 软件包的过程中得到一个依赖项的错误,您可以使用下面的命令来修复依赖项的问题:

sudo apt install -f

安装好的DoH服务器程序的配置文件在路径/etc/dns-over-https/doh-server.conf。为了设置反向解析,我们修改其upstream字段(上游DNS解析),将其修改为上面提到的dnscrypt-proxy的监听地址;dnscrypt-proxy监听字段可以在/etc/dnscrypt-proxy/dnscrypt-proxy.toml文件里修改。这样DoH程序就会使用Dnscrypt-proxy来执行DNS请求。

修改代码:

vim /etc/dns-over-https/doh-server.conf

修改如下图所示:687eb20a948e4bbfa1805aa8b1b82797

重启服务进行应用更改:

sudo systemctl restart doh-server

4、安装Nginx

Nginx是一款高性能的反向代理服务器程序,在这里它负责接受客户端HTTPS DNS请求,然后作为反向代理解码来自客户端的HTTPS请求并向DoH服务器程序发送DoH请求。它是与客户端交流的门户,我们还会为它配置一个SSL证书以便于验证HTTPS请求。

我使用的是“Ondřej Surý”提供的相关版本,在百度中搜索此关键词,然后进入网页下载对应的安装包就好。以下为安装命令:

sudo add-apt-repository ppa:ondrej/nginxsudo apt install nginx-full

Nginx被安装在/etc/nginx目录下,我们需要编辑配置文件。

Vim /etc/nginx/sites-available/dns-over-https

其中server_name字段需要使用您自己的域名,域名是提供DoH服务所必需的。upstream dns-backend就是您需要Nginx转发到的地址,这里就是我们的DOH的监听地址。以下为一个示例配置:e90f1063189246a7bea823e6d4ba9e35

完成后我们需要把配置文件放到/etc/nginx/sites-available/dns-over-https

sudo ln -s /etc/nginx/sites-available/dns-over-https /etc/nginx/sites-enabled/dns-over-https

验证并重启:

sudo nginx -t  sudo systemctl reload nginx

我们可以配置nginx对SSL证书的检查:

vim /etc/nginx/conf.d/stapling.conf

配置如下图,其中resolver变量是DNScrypt的监听地址。a9583a69ad8a478b8f43f205d27fb5dd

5、申请SSL证书

方法一:手动安装

如果您购买的是阿里云的域名,那么我们可以选择手动安装,优点是有效期时间长达一年,缺点是比较麻烦。7918764ed1414d4587724d3a25042ec9

进入数字证书管理服务控制台

购买DV单域名证书包后,可以点击创建证书,填写申请并验证即可。18e7c433a58844be8a4e2995d218aecd

购买成功后我们可以下载证书并部署到服务器上。通过ftp或其他方式将证书上传到服务器目录内,修改nginx配置文件以应用更改。示例配置如下:72cd6875155d42c2a67de6e0bef69866

使用nginx -t命令可测试配置是否正确。

重启nginx进行应用配置:

sudo systemctl reload nginx

方法二:使用插件安装

Certbot 是一个免费的开源申请SSL证书的工具,用于在手动管理的网站上自动部署免费的Let's Encrypt证书以启用HTTPS。在nginx服务器上使用Certbot来配置证书是很棒的选择。优点是比较方便,缺点是有效期短。

使用PPA安装certbot:

sudo add-apt-repository ppa:certbot/certbot
sudo apt install python3-certbot-nginx
95a74e3ec7b04eff903fe4a4988a72f0

成功后的截图如下:07b0231cb58f49cf8eb32593bcf0277c

为您的域名申请证书,注意替换,根据提示输入Agree即可下一步:

sudo certbot --nginx -d dns.example.com
8e9176090eb944aea46ef78a0e606bf4

下一步我们选择2以便把HTTP流量转发到HTTPS,如果选择1则表示不转发。(如下图所示)85ac552a91cf4ec2b6d25e44bf040922

该插件配置文件地址为vim /etc/letsencrypt/options-ssl-nginx.confefd511c7b71c47f8b261693ca271e2a1

重启nginx进行应用配置:

sudo systemctl reload nginx

由于Let’s Encrypt颁发的证书的有效期只有90天,我们可以使用certbot renew命令来更新证书。

04 DOH的使用方法小结

RFC8484中指定使用/dns-query路径作为默认查询路径。在客户端方面,火狐、谷歌等浏览器均已支持DoH,其中谷歌浏览器中的配置路径为:设置-安全和隐私设置-高级-使用安全DNS873b43bf0d334ec89d69e475ce161fa8

当然,由于政策性原因,我们在中国境内搭建的Doh服务器并不能在没有经营性备案的情况下向公网提供服务,所以本次实践的意义在于学习和动手实践的乐趣。

另外,由于提供DNS服务有快速和准确等要求,所以个人搭建的服务器并不是最优选择;若有需求,可以试一下阿里云的公共DoH服务。

微信公众号搜索“弹性计算百晓生”,关注百晓生,笑谈云计算。