IP 10.10.0.10의 개인 네트워크 내부에서 DNS 서버가 실행되고 있습니다. DNS 서버는 URL을 당사 네트워크 내부의 개인 IP로 확인합니다. 모든 URL에 대한 SSL은 .BIZ 도메인에 대한 와일드카드 인증서로 처리됩니다. 그러나 최근 Chrome 및 Firefox는 최근 업데이트 중에 DNS-over-HTTPS를 활성화하기 시작했습니다. 우리의 DNS 서버는 DOH와 호환되지 않기 때문에 사용자는 브라우저 내에서 DOH 기능을 비활성화하지 않는 한 우리의 URL로 이동할 수 없습니다.
이상적으로는 사용자가 브라우저 내에서 DOH를 활성화하고 여전히 로컬 DNS 서버에 의존하여 URL을 개인 IP로 확인하기를 바랍니다. 이것을 달성하기 위해 나는 다음을 보았습니다.doh-프록시. IP 10.10.0.20에서 Centos-7 VM을 가동하고 doh-proxy를 설치한 후 포트 443을 열었습니다. 그런 다음 다음을 실행했습니다.
/usr/local/bin/doh-proxy --upstream-resolver=10.10.0.10 --certfile=/etc/pki/public/mycompany.bundle.biz.crt --keyfile=/etc/pki/private/mycompany.biz.pem
netstat를 사용하여 포트 443이 수신 대기 중인지 확인했습니다. 그런 다음 VPN 구성을 수정하여 DNS 설정을 10.10.0.10에서 10.10.0.20(새로운 doh-proxy 서버)으로 변경했습니다. 그러나 브라우저에서 DOH가 활성화된 상태에서는 여전히 우리 URL로 이동할 수 없습니다.
doh-proxy의 의도를 오해하고 있습니까?
답변1
나는 당신이 뒤에 있는 의도를 오해했다고 생각하지 않습니다. doh-proxy그것은 일반 DNS 확인자 서버에 대한 DoH 프런트엔드인 것으로 보이며 DoH 클라이언트가 해당 확인자 서버에 쿼리할 수 있는 방법을 만듭니다.
이 특정 구현이 어떤 이유로든 적합하지 않은 것으로 판명되는 경우 이러한 프록시 솔루션이 여러 가지 더 있습니다.
https://dns.quad9.net/dns-query그러나 귀하가 오해/간과했을 수 있다고 생각하는 것은 DoH를 구성하려면 클라이언트가 DoH 서버의 URL(예 : , 등) 을 알아야 하며 https://dns.google/dns-queryIP 주소만 있으면 DoH 설정에 아무런 영향을 미치지 않는다는 것입니다.
그리고 설상가상으로 DoH에는 현재 적절한 검색 메커니즘이 없습니다. (이것이 특히 Mozilla의 접근 방식에서 DoH를 둘러싼 많은 논란의 근본 원인입니다.)
이 시점에서 "기본적으로 DoH 활성화"가 작동하는 방식의 예:
- Firefox는 사용할 DoH 서버를 인식하도록 설정되어 있습니다(Mozilla는 OS 구성을 무시하고 사용자를 대신하여 DoH 서비스를 선택합니다).
- Chrome은 DNS 서비스의 잘 알려진 IP 주소를 키로 사용하는 매핑 테이블을 기반으로 일반 DNS에서 DoH로 선택적으로 업그레이드합니다. 예
8.8.8.8 -> https://dns.google/dns-query(Google은 잘 알려진 DNS 서비스에 대한 매핑 테이블을 유지관리하고 DoH 업그레이드는 매핑 테이블이 지원하는 경우에만 발생함) 일반 DNS에 대해 OS 구성이 나타내는 것과 동일한 DNS 서비스를 쿼리합니다.
전체적으로 DoH 서비스를 실행하는 것은 충분히 쉽지만 클라이언트가 이를 사용하도록 만드는 것은 반드시 쉬운 것은 아닙니다.
당신이 해야 할 일은 어떻게든 클라이언트에게 https://dns.example.com/dns-queryDoH 엔드포인트로 사용하도록 지시하는 것입니다(이 URL이 프록시에 대한 적절한 URL이라고 가정하는 경우). 이는 가장 간단한 형태로 클라이언트에서 수동 구성을 의미할 것입니다(애플리케이션별로). .
알려진 응용 프로그램 집합의 구성을 자동화하는 방법을 확실히 찾을 수 있지만 현시점에서는 예를 들어 DHCP가 일반 DNS에 대한 주소를 전달할 수 있는 방법과 비교할 수 있는 확립된 검색 방법이 없습니다.