如何在系统上正确启用DNSoverTLS

Question

前几天我遇到了一个奇怪的问题。几个月前，我在笔记本电脑上通过TLS(DoT)启用了DNS。我的笔记本一直坐在家里，直到我决定带着它去城里。

最近，我发现系统解决方案在连接Wi时没有使用DoT。

Link 8 (wlp2s0)
      Current Scopes: DNS LLMNR/IPv4 LLMNR/IPv6
DefaultRoute setting: yes                      
       LLMNR setting: yes                      
MulticastDNS setting: no                       
  DNSOverTLS setting: opportunistic                      
      DNSSEC setting: no                       
    DNSSEC supported: no                       
  Current DNS Server: 192.168.42.129           
         DNS Servers: 192.168.42.129           
          DNS Domain: ~.                       

systemd解决方案一直在向ISP DNS服务器(192.168.42.129)发送UDP数据包！日记显示：

systemd-resolved[]: Using degraded feature set (UDP+EDNS0) for DNS server ...

问题是，NetworkManager仍然被配置为将DNS服务器从DHCP推送到systemd解决。这导致系统解析覆盖了接口的全局设置。我不得不通过在systemd-resolved=false中添加NetworkManager.conf来禁用它。

在我进入github页面提交一个bug之前，我只想看看是否有人知道这件事。网上的所有材料都说你只需要添加dns=systemd-resolved和DNSOverTLS=(whichever)。

Answer 1

如果在您的Domains=~.中设置了/etc/systemd/resolved.conf，systemd解析将优先使用全局配置，而不是任何每个链接的配置。否则，正如您所观察到的，按链接配置优先。