Дабы сделать Pi-Hole с малинки доступным и не светить 53 портом в эти ваши интернеты (теперь свечу 853, LOL), поднял себе там DoT, смотрящий на Pi-Hole.
Если кому интересно:
Делал через stunnel, терминирующийся на Pi-Hole, конфиг простой, как мычание:
pid = /var/run/stunnel-dot.pid
[dot]
accept = 853
sslVersion = TLSv1.2
connect = 127.0.0.1:53
cert = /etc/letsencrypt/live/mycooldomain.com/fullchain.pem
key = /etc/letsencrypt/live/mycooldomain.xyz/privkey.pem
CApath = @sysconfigdir/ssl/certs
Главная засада: получать сертификат с Let's Encrypt нужно непременно с опцией certbot'а --preferred-chain="ISRG Root X1"
Без этого DoT будет отлично проверяться всякими онлайн-проверяльщиками, но вот говноандроид при попытке выставить свой DoT в Private DNS будет орать, что не может к нему подключиться.
Вторая засада: в эту опцию умеет не каждый certbot, а только свежачок. Мне на малинке пришлось сносить certbot из реп и ставить через snap.
Теперь все гуд, моя DNS на малинке всегда со мной))
Если кому интересно:
Делал через stunnel, терминирующийся на Pi-Hole, конфиг простой, как мычание:
pid = /var/run/stunnel-dot.pid
[dot]
accept = 853
sslVersion = TLSv1.2
connect = 127.0.0.1:53
cert = /etc/letsencrypt/live/mycooldomain.com/fullchain.pem
key = /etc/letsencrypt/live/mycooldomain.xyz/privkey.pem
CApath = @sysconfigdir/ssl/certs
Главная засада: получать сертификат с Let's Encrypt нужно непременно с опцией certbot'а --preferred-chain="ISRG Root X1"
Без этого DoT будет отлично проверяться всякими онлайн-проверяльщиками, но вот говноандроид при попытке выставить свой DoT в Private DNS будет орать, что не может к нему подключиться.
Вторая засада: в эту опцию умеет не каждый certbot, а только свежачок. Мне на малинке пришлось сносить certbot из реп и ставить через snap.
Теперь все гуд, моя DNS на малинке всегда со мной))