Posted inOpenWrt

let's encrypt ssl 인증서를 이용한 adguard home

2020-12-04No Comments

지난번 adguard home 설치방법은 adguard home이 dns서버에 보내는 쿼리를 라우터에 별도 설치한 stubby나 https-dns-proxy가 중간에서 DoT/DoH로 처리하는 방법으로 구성하였습니다. (이 방법은 라우터에 직접 adguard home을 설치시 권합니다.)

굳이 인증서를 설치하여 adguard home 구동이 필요한 경우는 adguard home 이용자가 로컬이 아닌 원격이용자 일 경우 그 이용자에게 DoT나 DoH를 제공하기 위함입니다.< 상단 메뉴의 qquackDNS 참고 >

사전준비

  • OpenWrt 라우터에 adguard home을 설치하기 위해서는 최소 20MB의 여유공간이 필요하며 구동시 쿼리로그 등의 데이터가 계속 축척되고 구동을 위한 많은 메모리가 필요하므로 라우터 메모리 확보를 위해 usb 저장장치를 마운트하여 usb에 설치합니다.
  • let's encrypt 인증서 생성은 여기를 참고하세요.

adguard home 설치

  • 설치 스크립트를 다운받습니다 (아래 install.sh)
  • install.sh 쉘스크립트를 다운받아 확인해 보면 adguard home의 기본 설치경로는 /opt 로 usb에 설치하려는 경로와 다르므로 vi 편집기로 수정하거나 아래처럼 sed명령으로 설치 경로를 /mnt/sda1/opt로 수정한 후 스크립트를 실행하여 OS 및 cpu 아키텍처를 파악해 해당 최신버전의 adguard home을 다운받게 합니다.

opkg update
opkg install curl
mkdir /mnt/sda1/opt
curl -sSL https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh > install.sh
sed -e 's/OUT_DIR=\/opt/OUT_DIR=\/mnt\/sda1\/opt/g' install.sh | sh

adguard home 설정하기(let's encrypt)

  • 설치를 완료하면 /mnt/sda1/opt/AdGuardHome에 adguard가 설치가 되며 /etc/init.d/AdguardHome 화일이 복사되어 OpenWrt의 서비스로 등록이 됩니다.
  • 웹브라우저 주소창에 http://192.168.1.1:3000으로 접속하여 adguard home설정을 합니다.
  • id/password 생성하고
  • 웹브라우저 접속포트를 변경합니다.(예 3000에서 8080으로)
  • adguard home의 DNS 설정 : 127.0.0.1:5553 으로 설정
  • adguard home에서 dns 쿼리를 보낼 upstream DNS 설정 : tls://1dot1dot1dot1.cloudflare-dns.com (각자 선호하는 방법의 DoT/DoH 구성을 하세요.)
  • ipv6 비활성화 : check
  • dnssec 활성화 : check
  • adguard home 암호화 설정 : 암호화 활성화 check
  • 서버이름 : myhost.duckdns.org
  • http포트 : 443 (보안을 위해 포트번호 변경을 추천하며 변경시 방화벽에서 해당포트를 개방하세요)
  • DoT포트 : 853
  • 인증서 화일경로 설정 : /root/.acme.sh/myhost.duckdns.org/fullchain.cer
  • 개인키 화일경로 설정 : /root/.acme.sh/myhost.duckdns.org/myhost.duckdns.org.key
  • 설정 저장
  • 아래 /etc/config/dhcp 재구성 및 dnsmasq를 재시작하고 adguard home 대시보드에서 보호활성화를 눌러 구동합니다.
adguard home 일반설정
adguard home DNS 설정
adguard home 암호화 설정
adguard home dns 차단목록
adguard home 차단된 서비스
adguard home 커스텀 필터링
adguard home 대시보드

/etc/config/dhcp 재구성 및 dnsmasq 재시작

  • adguard home에서 listen하는 127.0.0.1#5553 새롭게 추가
  • dnsmasq 재시작 합니다.
config dnsmasq
...
        option noresolv '1'
#       option dnssec '1'
#       option dnsseccheckunsigned '1'
        option noresolv '1'
        list server '127.0.0.1#5553'
        list server '/openwrt.pool.ntp.org/1.1.1.1'

/etc/init.d/dnsmasq restart

보안 DNS 사용 방법

크롬 > 설정 > 개인정보 및 보안 >보안 > 보안 DNS 사용 위에서 설정한 DNS over HTTPS를 사용할 수 있습니다.

Tags:
Last updated on 2021-03-12

Comments

No comments yet. Why don’t you start the discussion?

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

42  ⁄  6  =