DoT (DNS over TLS) と DNSSEC に対応したDNSキャッシュサーバー を systemd-resolved で作る話です。 systemd-networkdをDHCPサーバーにする を組み合わせると dnsmasq の代わりに systemd を使えるようになります。以下の設定はsystemd 247かそれ以降 で使えます。
/etc/systemd/resolved.conf.d/my.conf
[Resolve]
DNS=2001:4860:4860::8888#dns.google 2001:4860:4860::8844#dns.google
DNSSEC=yes
DNSOverTLS=yes
MulticastDNS=yes
LLMNR=yes
Cache=yes
DNSStubListener=no
DNSStubListenerExtra=192.168.1.2
DNSStubListenerExtra=127.0.0.1
ポイント
- DNSSEC, DNSOverTLS と一緒に使うときCloudflare DNSととても相性が悪い のでクラウドフレアを用いない
-
DNSStubListenerExtraにDNSの問い合わせを受け付けるIPアドレスを書く -
/etc/resolv.confを以下のようにnameserverの部分に上記のDNSStubListenerExtraに指定したIPアドレスを設定する
/etc/resolv.conf
options inet6 edns0 trust-ad use-vc
nameserver 192.168.1.2