¡ATENCIÓN! Dnscrypt-proxy se ha actualizado, por tal motivo, esta guía ya no es 100% compatible. La nueva guía la encuentra en este link. ¡Gracia por su visita!
En este post veremos como instalar DNSCrypt para encriptar la comunicación entre nosotros y nuestro DNS, también vamos a configurar DNSMasq para usarlo como cache loca y acelerar las repuestas al resolver un dominio.
- Vamos a instalar las herramientas necesarias.
- Ahora vamos a habilitar la comunicación.
$ sudo systemctl enable dnscrypt-proxy.socket
- Nos vamos hasta el resolv.conf y creamos una copia de seguridad
$ sudo cp /etc/resolv.conf /etc/resolv.conf.backup
- Abrimos resolv.conf con el siguiente comando y lo editamos
$ sudo nano /etc/resolv.conf
Debemos eliminar las direcciones en seguida de nameserver y colocar el localhost (127.0.0.1) con en la siguiente imagen.
- Tenemos que proteger el archivo contra escritura para que no sea modificado por ninguna aplicación
$ chattr +i /etc/resolv.conf
- Ahora vamos a abrir el archivo dnscrypt-resolvers.csv con libreoffice-calc y elegiremos el servidor más cercano dependiendo nuestra ubicación, tenemos que elegir el nombre que está en la columna "A" y copiarlo.
En mi caso, usaré "cisco" que está en la fila 3 y si miramos más delante en la fila, veremos que es OpenDNS así que los utilizaré para este post, mas delante ustedes pueden usar otras alternativas.
- Editamos el servicio para agregar nuestro servidor elegido. El servicio se crea automáticamente al habilitar el socket.
y el estado del socket
- Editamos el servicio para agregar nuestro servidor elegido. El servicio se crea automáticamente al habilitar el socket.
$ sudo systemctl edit dnscrypt-proxy.service --full
Eliminaremos el servidor que viene por defecto y colocaremos el que hemos elegido, en mi caso elegí cisco
así que al final debe decir: "-R cisco" sin comillas
- Reiniciamos el servicio y revisamos el estado del servicio y el socket
$ sudo systemctl restart dnscrypt-proxy.service
- Comprobamos el estado del servicio
$ sudo systemctl status dnscrypt-proxy.service
$ sudo systemctl status dnscrypt-proxy.socket
Si seguiste todos los pasos y elegiste cisco (OpenDNS) como servidor, puedes pulsa aquí y ver el mensaje de bienvenida de la página, con eso confirmaremos que todo esta correcto.
Hasta aquí hemos configurado a dnscrypt para trabajar sólo, pero como utilizaremos dnsmasq para crear una cache DNS local, vamos a configurar dnscrypt-proxy.socket para utilizar el puerto 40. Por defecto dnscrypt utiliza el puerto 53 y dnsmasq también utiliza el puerto 53, así que al intentar iniciar el servicio dnsmasq éste nos mandará un error indicando que el puerto ya esta en uso, por que el servicio dnscrypt ya esta corriendo utilizando dicho puerto.
- Vamos a modificar dnscrypt-proxy.socket para cambiar del puerto 53 al 40.
$ sudo systemctl edit dnscrypt-proxy.socket --full
Guardamos los cambios y reiniciamos
$ sudo systemctl restart dnscrypt-proxy.socket
- Ahora vamos a configurar dnsmasq. primero creamos un backup del archivo original
$ sudo cp /etc/dnsmasq.conf /etc/dnsmasq.conf.backup
- ahora sí, vamos a abrirlo con mousepad
$ sudo mousepad /etc/dnsmasq.conf
- Descomentamos la linea
no-resolv
- Podemos descomentar y editar la linea # server=10.1.2.3@192.168.1.1#55 o como le hice yo, agregas la linea debajo. #40 indica que usaremos el puerto 40.
server=127.0.0.1#40
- Descomentamos
listen-address=127.0.0.1
- Descomentamos y aumentamos el tamaño de direcciones que guardará en la cache. yo utilizaré 1000 pero pueden modificarlo a su gusto, incrementar o reducir el número.
cache-size=1000
Guardamos los cambios y cerramos el archivo. Ahora vamos a habilitar e iniciar el servicio dnsmasq
- Lo creamos
$ sudo systemctl enable dnsmasq.service
- Lo iniciamos
$ sudo systemctl start dnsmasq.service
Vamos a realizar la prueba para saver si dnsmasq esta funcionando, consultaremos google con el comando dig, debemos buscar la linea que dice "Query time" para saber cuanto tiempo tarda en resolverse el dominio
$ dig www.google.com
Hasta aquí hemos configurado a dnscrypt para trabajar sólo, pero como utilizaremos dnsmasq para crear una cache DNS local, vamos a configurar dnscrypt-proxy.socket para utilizar el puerto 40. Por defecto dnscrypt utiliza el puerto 53 y dnsmasq también utiliza el puerto 53, así que al intentar iniciar el servicio dnsmasq éste nos mandará un error indicando que el puerto ya esta en uso, por que el servicio dnscrypt ya esta corriendo utilizando dicho puerto.
- Vamos a modificar dnscrypt-proxy.socket para cambiar del puerto 53 al 40.
$ sudo systemctl edit dnscrypt-proxy.socket --full
Guardamos los cambios y reiniciamos
$ sudo systemctl restart dnscrypt-proxy.socket
- Ahora vamos a configurar dnsmasq. primero creamos un backup del archivo original
$ sudo cp /etc/dnsmasq.conf /etc/dnsmasq.conf.backup
- ahora sí, vamos a abrirlo con mousepad
$ sudo mousepad /etc/dnsmasq.conf
- Descomentamos la linea
no-resolv
- Podemos descomentar y editar la linea # server=10.1.2.3@192.168.1.1#55 o como le hice yo, agregas la linea debajo. #40 indica que usaremos el puerto 40.
server=127.0.0.1#40
- Descomentamos
listen-address=127.0.0.1
- Descomentamos y aumentamos el tamaño de direcciones que guardará en la cache. yo utilizaré 1000 pero pueden modificarlo a su gusto, incrementar o reducir el número.
cache-size=1000
Guardamos los cambios y cerramos el archivo. Ahora vamos a habilitar e iniciar el servicio dnsmasq
- Lo creamos
$ sudo systemctl enable dnsmasq.service
- Lo iniciamos
$ sudo systemctl start dnsmasq.service
Vamos a realizar la prueba para saver si dnsmasq esta funcionando, consultaremos google con el comando dig, debemos buscar la linea que dice "Query time" para saber cuanto tiempo tarda en resolverse el dominio
$ dig www.google.com
Volveremos a consultar google, si dnsmasq esta funcionando debemos de ver una disminución de tiempo en Query time. En esta consulta vamos a filtrar el resultado para que solo nos muestre lo que nos interesa
$ dig www.google.com | grep "Query time"
Podemos observar 0 msec, esto solo pude indicar dos cosas: que dnsmasq esta funcionando o que me quede sin conexión a internet. Vamos a hacer otra consulta para estar seguros
Ahora consultaremos facebook.
Realizamos la segunda consulta
Podemos observar que el tiempo de respuesta se redujo prácticamente a la mitad. Esto quiere decir que dnsmasq esta funionando y que aun tengo conexión a internet en mi netbook.
