DNS через TLS / Возможен ли DoT в качестве частной службы (аутентификация)?
Я настроил DNS-преобразователь и восходящий сервер nginx в качестве рабочего «DNS через TLS» сервер. (и DNS через HTTPS, но Android использует TLS)
Пока это отлично работает, но я хочу сделать его приватным с какой-то аутентификацией.
Только определенные пользователи могут использовать его.
Проблема в том, что ... например, на устройствах Android можно ввести только один единственный "частный DNS-сервер" - я не нашел подходящей аутентификации метод для этого сценария.
Кто-нибудь знает, как «сделать мой DNS через TLS-сервер частным с Android 9»?
возможное «почти решение»: Настройте nginx, чтобы разрешить соединения только с определенных IP-адресов. (сгенерируйте список разрешенных IP-адресов с помощью скрипта и включите)
Основная проблема заключается в том, что при изменении IP-адреса, возможно, клиент больше не сможет разрешить DoT, ни провайдер DynDNS.
Еще не проверено. , но я думаю, что это не должно быть предпочтительным решением. Предложения приветствуются.
Ни DoT, ни DoH на самом деле не указаны и не реализованы с учетом клиентской аутентификации.
Даже несмотря на то, что можно представить себе использование таких возможностей протокола, как клиентские сертификаты (либо) или HTTP механизмы аутентификации (DoH) или даже TSIG (либо), на самом деле обычные клиенты не реализуют эти возможности.
Для DoH, однако, у вас есть возможность просто вставить секрет в компонент пути URL. Так что там у вас есть простая опция, которая не требует, чтобы клиент даже знал, что он аутентифицируется.
Кроме требования клиентской функциональности, которая обычно не используется, я думаю, вам придется прибегнуть к ограничению доступа по IP для DoT.
.
(Теоретически, я думаю, вы могли бы осмотреть SNI, ожидая, что секрет в имени хоста, но это было бы очень слабо, так как предполагаемый секрет не будет храниться в секрете. На самом деле не летает, но имя хоста - это единственный параметр конфигурации, например, для Android-клиента, так что вариантов на самом деле не так уж и много)