OPNsense中DNS配置有许多选项,一些选项适用于OPNsense系统本身,有些选项则适用于Unbound DNS和DHCP服务。本文将讨论可用的DNS 配置选项,以便让正确使用它。
系统>常规
“系统 > 常规”部分是我们在OPNsense中看到的DNS 配置的第一个页面,特别新安装后运行的OPNsense 向导会向我们显示该页面上的选项。由于这些设置归类在“系统”设置下,因此这些DNS选项与OPNsense本身以及在OPNsense上运行的服务有关。
DNS 服务器列表
“DNS 服务器”部分允许我们指定OPNsense系统在需要查找和下载更新时使用的DNS服务器。这些服务器还将用于DHCP和DNS 服务。但是根据是否启用 Unbound DNS,发生的行为会有所不同。下面列举了这些差异的具体表现:
如果启用了Unbound DNS:
- Unbound DNS服务:Unbound DNS服务将以递归方式解析来自根DNS服务器的DNS 查询,而不管“允许WAN上的DHCP/PPP覆盖DNS 服务器列表”选项的值和DNS服务器列表如何,因为Unbound DNS默认为递归DNS解析器。
- DHCP客户端:网络上的客户端设备将使用Unbound DNS作为其DNS服务器(每个接口的 IP 地址)。启用Unbound DNS后,客户端不会直接使用“系统 > 设置 > 常规”页面列表中的DNS服务器。“服务 > Unbound DNS > 常规”页面底部也进行了说明。
- OPNsense统:如果启用了“允许WAN上的DHCP/PPP覆盖DNS 服务器列表”选项并且输入了DNS 服务器列表,则OPNsense系统将使用localhost(使用 Unbound DNS服务)、DNS服务器列表中的服务器以及WAN接口上的DHCP服务提供的DNS服务器。如果DNS服务器列表为空,则OPNsense系统仅使用 localhost和WAN接口上的DHCP服务提供的DNS服务器。如果禁用“允许WAN上的DHCP/PPP覆盖DNS服务器列表”选项,并且DNS 服务器列表也输入了地址,则OPNsense系统将使用localhost(使用Unbound DNS服务)和DNS列表中的服务器。如果DNS服务器列表为空,则OPNsense系统将递归解析DNS查询。
如果禁用了Unbound DNS:
- DHCP客户端:由于Unbound DNS已禁用(即使已启用“允许DNS服务器列表被WAN上的DHCP/PPP覆盖”选项),因此使用DHCP的客户端将被分配“系统 > 设置 > 常规”页面上的DNS服务器列表以进行 DNS 查找,而不是每个接口的 IP 地址。如果启用了“允许 WAN 上的DHCP/PPP覆盖DNS 服务器列表”选项,并且DNS 服务器列表为空,则不会为DHCP客户端分配任何 DNS 服务器。此选项的工具提示中说明了这一点。当禁用 Unbound DNS 时,DHCP客户端将仅使用DNS 服务器列表中列出的服务器。
- OPNsense系统:如果启用了“允许 WAN上的DHCP/PPP覆盖DNS服务器列表”选项,并且DNS服务器列表已填充,则OPNsense系统将同时使用WAN接口上DHCP提供的DNS 服务器和“系统 > 设置 > 常规”页面上的DNS服务器。如果DNS服务器列表为空,则OPNsense系统将仅使用WAN 接口上DHCP提供的 DNS服务器。如果禁用“允许 WAN 上的DHCP/PPP覆盖DNS服务器列表”选项,并且DNS服务器列表已填充,则OPNsense系统将仅使用列表中的DNS服务器。如果DNS服务器列表为空,则OPNsense系统将不使用任何DNS服务器,DNS查找将失败。
允许DHCP覆盖DNS服务器列表选项
“允许WAN上的DHCP/PPP覆盖DNS服务器列表”选项,会改变了OPNsense、Unbound DNS和DHCP客户端执行的DNS查找的行为。启用此选项后,它仍会使用DNS列表中列出的服务器(如果已填充)。该选项似乎更喜欢WAN接口提供的DNS服务器,同时也使用“系统 > 设置 > 常规”页面上的列表中的任何DNS服务器。如果没有在列表中指定任何DNS服务器,它将仅使用WAN接口提供的DNS服务器。
不要使用本地 DNS 服务作为系统的名称服务器选项
当启用Unbound DNS 时, OPNsense系统127.0.0.1默认将其作为第一个DNS服务器,这意味着OPNsense系统将使用Unbound DNS服务进行DNS查询。如果在DNS服务器列表中指定了服务器和/或启用了“允许 DNS 服务器列表被WAN上的DHCP/PPP覆盖”选项,则这些DNS 服务器也会被使用。
如果希望OPNsense系统仅使用列表中的DNS 服务器和/或WAN 接口上DHCP提供的DNS 服务器,则可以选中此选项。这会阻止OPNsense系统使用Unbound DNS服务进行DNS查询(但本地网络的其余部分仍将使用Unbound DNS服务)。
服务>DHCPv4>接口
在DHCPv4(或 DHCPv6)接口页面上,可以为特定网络设置DNS服务器。如果希望为一个或多个本地网络使用不同的DNS服务器,可以在DHCPv4(或 DHCPv6)接口页面上进行指定。
使用此DNS配置的一个原因是使用网络上的备用DNS服务器,例如Pi-hole DNS服务器。可以使用DHCP服务分的配备用DNS服务器,因为默认情况下,当启用 Unbound DNS时,所有DHCP客户端都会接收接口IP地址作为每个网络的DNS服务器。
服务>Unbound DNS>常规
在“服务 > Unbound DNS > 常规”页面的底部,有一条简短说明,如果启用了Unbound DNS,DHCP服务将自动为DHCP客户端提供接口 IP 地址。
服务>Unbound DNS>DNS over TLS
可以配置Unbound DNS服务使用DNS over TLS来加密DNS查询,与上面提到的其他DNS配置一样,如果在“系统 > 设置 > 常规”页面上指定了DNS服务器,或者启用了“允许 DNS 服务器列表被WAN上的DHCP/PPP覆盖”选项,则OPNsense系统将使用所有已配置的DNS服务器。
基于该事实,如果希望加密所有出站的 DNS查询,则需要将DNS服务器列表留空,并且不要启用“允许DNS服务器列表被WAN上的DHCP/PPP覆盖”选项。
提示:虽然来自OPNsense系统的所有DNS查询和使用Unbound DNS服务的所有客户端都将被加密,但某些设备/应用程序仍有可能使用自己的DNS over TLS或 DNS over HTTPS,因此这些查询将不会使用配置的DNS服务器。
服务>Unbound DNS>查询转发
另一个可能有用的DNS选项是查询转发。启用查询转发功能可让您在第二个路由器后面进行本地主机名解析,同时将DNS查询转发到主网络上游。如果在主路由器后面的路由器上遇到DNS查询问题,并且不需要对连接到第二个路由器的网络进行任何高级DNS配置,选中该选项说就可以解决问题。
结论
虽然DNS的基本概念很简单,但根据要实现的目标,配置DNS可能会很复杂。OPNsense可以像消费级路由器一样运行,但你也可以根据需求或目标以不同的方式配置 DNS。