在阿里云ECS上搭建DoH服务的实践

背景概述

DNS，英文全称「Domain Name Server」，中文全称「域名服务器」。这种服务器不像网站使用的服务器以80或443端口为用户提供内容，而是将人类易于理解的「域名」转换为机器易于理解的「IP 地址」。DNS使用UDP端口53对外提供服务。DoH它通过RFC 8484指定的经过TLS加密的HTTP连接提供DNS解析，这意味着我们的DNS查询得到了加密保护。（牺牲部分效率置换安全性）

      而DNS查询通常是明文的，在意味着你的网站访问记录可以轻易的被网络管理员和ISP获取到。面对日益严峻的行为管理、隐私泄露和恶意劫持，DoH作为一种更安全的DNS查询方式值得被更广泛的使用。

近期热搜的上网行为管理系统就是使用DNS探测系统。

图：明文的DNS报文，可直接看到所请求的域名地址。

那么我能不能尝试一下在阿里云ECS上搭建个DoH服务器呢？

当我有这种想法之后便很难罢休，通过查阅网络公开资料也解决了很多疑点，最终成功的完成了在阿里云ECS上搭建Doh的实践。（值得一提的是阿里云的镜像源真的很快。）那么我们就来看看这是怎么完成的吧~

正式步骤

（环境Ubuntu系统）

预备所需资源

1.服务器

本次实践推荐使用一台装载Ubuntu镜像的服务器。

如果您可以通过以下渠道来领取免费试用：

• ECS评测大赛（2022.3.28-2022.4.28）

https://developer.aliyun.com/topic/ecs2022

开发者可领取一个月N4实例，乘风者博主最多可领用一年C5实例。

• 阿里云试用中心

开发者可以免费使用一个月t5实例 https://ur.alipay.com/JkLbX

• 阿里云高校计划（适用于高校学生或老师）

最高免费领用2.5个月 https://ur.alipay.com/2od90z

2.域名

    建议使用阿里云万网域名，可以获得免费的SSL证书。

一、方法一

      i.该方法使用docker

tips：该方法配置便捷，需要您对docker有一定的了解，不了解也没关系，步骤涵盖了几乎所有细节。

     ii.安装docker：

sudo apt update   apt-get install docker.io

    iii. 启动docker：

service docker start

    iv. 下载创建并初始化Dnscrypt容器：

docker run --name=dnscrypt-server -p 443:443/udp -p 443:443/tcp \
--restart=unless-stopped \
-v /etc/dnscrypt-server/keys:/opt/encrypted-dns/etc/keys \
jedisct1/dnscrypt-server init -N example.com -E '192.168.1.1:443'

备注1：example.com替换为您的域名，192.168.1.1:443替换为ECS公网IP，可以指定多个逗号分隔的IP 和端口，如-E'192.168.1.1:443,[2001:0db8::412f]:443'. -v

备注2：/etc/dnscrypt-server:/opt/encrypted-dns/etc/keys表示容器内部的路径。 /opt/encrypted-dns/etc/keys映射到/etc/dnscrypt-server/keys。

启动服务：docker start dnscrypt-server

     v. 下载创建并初始化Doh-server容器：

docker run -d --restart unless-stopped --network host --name doh-server \
  -e UPSTREAM_DNS_SERVER="udp:127.0.2.1:53" \
  -e DOH_HTTP_PREFIX="/dns-query" \
  -e DOH_SERVER_LISTEN="127.0.0.1:8053" \
  -e DOH_SERVER_TIMEOUT="10" \
  -e DOH_SERVER_TRIES="3" \
  -e DOH_SERVER_VERBOSE="true" \
  satishweb/doh-server

   vi.验证容器状态：docker ps -a

  vii. 设置自启动：

docker update --restart=unless-stopped dnscrypt-server              docker update --restart=unless-stopped doh-server

viii.Web客户端和ssl证书参照下文nginx。

   ix.检查配置

所有服务启动后我们就得到了Doh服务，请转最后小结部分。

二、方法二

(0)    项目结构

如何搭建是个问题，那么这里列举一些方案。

           i.         nginx + doh-server + dnscrypt（本文使用）

         ii.         nginx + doh-server + Bind（备选方案）

       iii.         nginx + doh-server + CoreDNS（云原生方案）

(1)    预备操作：

安装software-properties-common软件包：

我使用的是阿里云官方提供的Ubuntu  20.04 64位系统，其缺少add-apt-repository命令，需要在系统终端中运行以下命令来安装software-properties-common软件包：

sudo apt update

sudo apt -y install software-properties-common dirmngr apt-transport-https lsb-release ca-certificates

Tips：

可以使用以下命令添加PPA存储库：

sudo add-apt-repository ppa:

添加PPA存储库后，更新程序包列表并从存储库安装新程序包：

sudo apt update

sudo apt install

(2)   安装Dnscrypt-Proxy

a) 安装和验证

Dnscrypt-Proxy是具备很多现代化功能的DNS代理服务器程序，其支持DNSCrypt v2（身份认证）, DNS-over-HTTPS【RFC8484，DNS Queries over HTTPS (DoH)】等功能。

由于Dnscrypt-Proxy使用golang开发，所以其不支持在CentOS5及之前的Linux发行版上安装。Dnscrypt-Proxy需要占用53端口，所以安装前可以使用ss -lp 'sport = :domain'命令查看一下53端口使用情况。

我们可以使用志愿者贡献（项目地址：https://launchpad.net/~shevchuk/+archive/ubuntu/dnscrypt-proxy）的PPA来快捷安装和保持程序的最新版本：

sudo add-apt-repository ppa:shevchuk/dnscrypt-proxy

sudo apt install dnscrypt-proxy

安装后，Dnscrypt-Proxy服务将在服务器上自动启动。   

程序会被安装到/etc/dnscrypt-proxy文件夹，dnscrypt-proxy的监听地址通常为（V：2.1.0~ppa6）：127.0.0.53:53，我们可以使用dig命令查看一下。

其配置文件/etc/dnscrypt-proxy/dnscrypt-proxy.toml文件的server_names字段要求你设置一个或多个你喜欢的服务器即可，第一个请求失败会自动向第二个服务器请求。例如：server_names = ['alidns-doh']我们这里不做更改，根据服务器所在可用区的不同，我们可能会修改这里的参数。

b)修改系统DNS配置

i.移除系统DNS配置：apt-get remove resolvconf

ii.为系统DNS配置文件设置备份：

cp /etc/resolv.conf /etc/resolv.conf.backup

iii.修改原DNS配置文件：vim /etc/resolv.conf

iv.修改为vim /etc/resolv.conf

 v. 最后重启dnscrypt-proxy服务：

sudo systemctl restart dnscrypt-proxy

      系统Systemd 服务使用的默认套接字库地址为127.0.2.1:53

(2)安装DNS-over-HTTPs

这是一个基于golong开发的开源DoH服务器程序，它可以接受http请求并执行DNS查询。

我们可以使用deb安装包快捷的安装DNS-over-HTTPs服务器程序：

sudo dpkg -i doh-server_2.0.1_amd64.deb（适用于debian）

（在ubuntu里面sudo apt install doh-server_2.0.1_amd64.deb）

sudo apt install /root/doh-server_2.0.1_amd64.deb

（文件路径请据实替换）

项目地址：https://github.com/m13253/dns-over-https

DEB文件：https://www.aliyundrive.com/s/svqCftQ2tqw

Tips：如果你在安装 deb 软件包的过程中得到一个依赖项的错误，你可以使用下面的命令来修复依赖项的问题：sudo apt install -f

       安装好的DoH服务器程序的配置文件在路径/etc/dns-over-https/doh-server.conf。为了设置反向解析，我们修改其upstream字段（上游DNS解析），将其修改为上面提到的dnscrypt-proxy的监听地址（dnscrypt-proxy监听字段可以在/etc/dnscrypt-proxy/dnscrypt-proxy.toml文件里修改）。

这样DoH程序就会使用Dnscrypt-proxy来执行DNS请求。

步骤：vim /etc/dns-over-https/doh-server.conf

修改如下图所示：

重启服务来应用更改

sudo systemctl restart doh-server

(3)安装Nginx

      i.         Nginx是一款高性能的反向代理服务器程序，在这里它负责接受客户端HTTPS DNS请求，然后作为反向代理解码来自客户端的HTTPS请求并向DoH服务器程序发送DoH请求。它是与客户端交流的门户，我们还会为它配置一个SSL证书以便于验证HTTPS请求。

     ii.         我们同样使用已编译的PPA程序包来安装：

（项目地址：https://launchpad.net/~ondrej/+archive/ubuntu/nginx）

sudo add-apt-repository ppa:ondrej/nginx

sudo apt install nginx-full

    iii.         Nginx被安装在/etc/nginx目录下，我们需要编辑配置文件。

    iv.     Vim /etc/nginx/sites-available/dns-over-https

     v.         其中server_name字段需要使用您自己的域名，域名是提供DoH服务所必须的。upstream dns-backend就是你需要Nginx转发到的地址，这里就是我们的DOH的监听地址。

    vi.         这是一个示例配置：

  vii.         完成后我们需要把配置文件放到/etc/nginx/sites-available/dns-over-https

例如：sudo ln -s /etc/nginx/sites-available/dns-over-https /etc/nginx/sites-enabled/dns-over-https

 viii.         验证并重启sudo nginx -t  sudo systemctl reload nginx

    ix.         我们可以配置nginx对ssl证书的检查

     x.         vim /etc/nginx/conf.d/stapling.conf，配置如下图，其中resolver变量是DNScrypt的监听地址。

 (4)申请SSL证书

1.   方法一-手动安装

a)    如果你购买的是阿里云的域名，那么我们可以选择手动安装，优点是有效期时间长达一年，缺点是有些麻烦。

b)    

c)     进入控制台-数字证书管理服务（https://yundun.console.aliyun.com/）

d)    

e)    购买DV单域名证书包后可以点击创建证书，填写申请并验证即可。

f)      

g)    购买成功后我们可以下载证书并部署到服务器上。通过ftp或其他方式将证书上传到服务器目录内，修改nginx配置文件以应用更改。示例配置如下：

h)    

i)      使用nginx -t命令可测试配置是否正确。

j)      重启nginx以应用配置：sudo systemctl reload nginx

2.   方法二-使用插件安装

Certbot是一个广泛使用的免费开源申请SSL证书的工具，用于在手动管理的网站上自动部署免费的Let's Encrypt证书以启用HTTPS。在nginx服务器上使用Certbot来配置证书是很棒的选择。优点是比较方便，缺点是有效期短、无阿里云生态服务。

      i. 使用PPA安装certbot：sudo add-apt-repository ppa:certbot/certbot

sudo apt install python3-certbot-nginx  #成功

     ii. 为你的域名申请证书：sudo certbot --nginx -d dns.example.com  #注意替换，根据提示输入Agree即可下一步。

    iii.下一步我们选择2以便把HTTP流量转发到HTTPS，如果选择1则表示不转发。（如上图所示）

    iv.该插件配置文件地址为vim /etc/letsencrypt/options-ssl-nginx.conf

     v.重启nginx以应用配置：sudo systemctl reload nginx

    vi. 由于Let’s Encrypt颁发的证书的有效期只有90天，我们可以使用certbot renew命令来更新证书。

三、小结part.1-DOH的使用方法

RFC8484中指定使用/dns-query路径作为默认查询路径，所以本次实践配置的DoH服务器地址长这样https://dns.example.com/dns-query

      在客户端方面，火狐、谷歌等浏览器均已支持DoH，其中谷歌浏览器中的配置路径为：设置-安全和隐私设置-高级-使用安全DNS：

诚挚推荐阿里云的公共DoH服务，地址是https://dns.alidns.com/dns-query你可以在浏览器中将安全DNS自定义为阿里云的公共DoH。

四、小结part.2-One More Thing

当然，由于政策性原因，我们在中国境内搭建的Doh服务器需要取得经营性备案才可向公网提供服务，但这并不影响通过本次实践去学习和体验过程的乐趣。（ps：在ECS上搭建Web服务也需要备案—不过与经营性备案差异很大—阿里云网站备案通常两三天就可以通过审核）

另外，虽然暂时不能在公网去使用我们搭建的Doh服务，但这完全不影响我们在阿里云无影云电脑上使用我们的使用我们的自建Doh服务，步骤如下：

• 在云企业网控制台创建云企业网，使用专有网络VPC（Virtual Private Cloud）实例实现云上资源互通。我们使用地域内连接和非企业级路由器不产生带宽和转发费用。
• 在无影云桌面控制台创建加入了云企业网的工作区，购买或迁移云桌面到刚创建的可用区。
• 在ECS控制台新建安全组、弹性网卡并绑定到ECS实例。（交换机、弹性网卡需要在同可用区内使用，不可跨区使用。可以在VPC内创建多个可用区的虚拟交换机）
• 测试连通性。另外，增加一些操作，我们可以在未开通互联网的访问的阿里云无影云桌面上使用同属一内网的ECS公网资源来上网，且听下回分解。

阿里的镜像源在本次实践中起了很大的作用，如果在购买阿里云ECS的时候选择使用阿里云ECS官方镜像，那么系统已默认设置为阿里源，开箱即用，镜像可用性更高。

阿里云ECS可以实现多种应用比如Web、小程序、游戏、放上你的毕业设计甚至是作为基础设施的Doh（就是本文）。阿里云通过数字化转型使我们能够为不确定的未来增添更多可能性和确定性。结合强大的平台生态和丰富能力，我们可以在阿里云上激发数字创新的无限可能。

而ECS正是数字化时代的幕后英雄。

感谢你的耐心阅读。