OPNsense 中 DNS 配置有许多选项，一些选项适用于 OPNsense 系统本身，有些选项则适用于 Unbound DNS 和 DHC P服务。本文将讨论可用的 DNS 配置选项，以便让正确使用它。

系统>常规

“系统 > 常规”部分是 OPNsense中看到的DNS 配置的第一个页面，特别新安装后运行的 OPNsense 向导会向我们显示该页面上的选项。由于这些设置归类在“系统”设置下，因此这些DNS选项与OPNsense 本身以及在 OPNsense 上运行的服务有关。

DNS 服务器列表

“DNS 服务器”部分允许我们指定OPNsense系统在需要查找和下载更新时使用的DNS服务器。这些服务器还将用于DHCP和DNS 服务。但是根据是否启用 Unbound DNS，发生的行为会有所不同。下面列举了这些差异的具体表现：

如果启用了Unbound DNS：

• Unbound DNS服务：Unbound DNS服务将以递归方式解析来自根DNS服务器的DNS 查询，而不管“允许WAN上的DHCP/PPP覆盖DNS 服务器列表”选项的值和DNS服务器列表如何，因为Unbound DNS默认为递归DNS解析器。
• DHCP客户端：网络上的客户端设备将使用Unbound DNS作为其DNS服务器（每个接口的 IP 地址）。启用Unbound DNS后，客户端不会直接使用“系统 > 设置 > 常规”页面列表中的DNS服务器。“服务 > Unbound DNS > 常规”页面底部也进行了说明。
• OPNsense统：如果启用了“允许WAN上的DHCP/PPP覆盖DNS 服务器列表”选项并且输入了DNS 服务器列表，则  OPNsense 系统将使用 localhost（使用 Unbound DNS服务）、DNS 服务器列表中的服务器以及 WAN 接口上的 DHCP 服务提供的 DNS 服务器。如果 DNS 服务器列表为空，则 OPNsense 系统仅使用 localhost 和 WAN 接口上的 DHCP 服务提供的 DNS 服务器。如果禁用“允许WAN上的DHCP/PPP覆盖DNS服务器列表”选项，并且 DNS 服务器列表也输入了地址，则 OPNsense 系统将使用 localhost（使用Unbound DNS服务）和 DNS 列表中的服务器。如果 DNS 服务器列表为空，则 OPNsense 系统将递归解析 DNS 查询。

如果禁用了Unbound DNS：

DHCP客户端：由于Unbound DNS已禁用（即使已启用“允许DNS服务器列表被WAN上的DHCP/PPP覆盖”选项），因此使用DHCP的客户端将被分配“系统 > 设置 > 常规”页面上的DNS服务器列表以进行 DNS 查找，而不是每个接口的 IP 地址。如果启用了“允许 WAN 上的DHCP/PPP覆盖DNS 服务器列表”选项，并且DNS 服务器列表为空，则不会为DHCP客户端分配任何 DNS 服务器。此选项的工具提示中说明了这一点。当禁用 Unbound DNS 时，DHCP客户端将仅使用DNS 服务器列表中列出的服务器。

OPNsense系统：如果启用了“允许 WAN上的DHCP/PPP覆盖DNS服务器列表”选项，并且DNS服务器列表已填充，则OPNsense系统将同时使用WAN接口上DHCP提供的DNS 服务器和“系统 > 设置 > 常规”页面上的DNS服务器。如果DNS服务器列表为空，则OPNsense系统将仅使用WAN 接口上DHCP提供的 DNS服务器。如果禁用“允许 WAN 上的DHCP/PPP覆盖DNS服务器列表”选项，并且DNS服务器列表已填充，则OPNsense系统将仅使用列表中的DNS服务器。如果DNS服务器列表为空，则OPNsense系统将不使用任何DNS服务器，DNS查找将失败。

允许DHCP覆盖DNS服务器列表选项

“允许WAN上的DHCP/PPP覆盖DNS服务器列表”选项，会改变了OPNsense、Unbound DNS和DHCP客户端执行的DNS查找的行为。启用此选项后，它仍会使用DNS列表中列出的服务器（如果已填充）。该选项似乎更喜欢WAN接口提供的DNS服务器，同时也使用“系统 > 设置 > 常规”页面上的列表中的任何DNS服务器。如果没有在列表中指定任何DNS服务器，它将仅使用WAN接口提供的DNS服务器。

不要使用本地 DNS 服务作为系统的名称服务器选项

当启用Unbound DNS 时， OPNsense系统127.0.0.1默认将其作为第一个DNS服务器，这意味着OPNsense系统将使用Unbound DNS服务进行DNS查询。如果在DNS服务器列表中指定了服务器和/或启用了“允许 DNS 服务器列表被WAN上的DHCP/PPP覆盖”选项，则这些DNS 服务器也会被使用。

如果希望OPNsense系统仅使用列表中的DNS 服务器和/或WAN 接口上DHCP提供的DNS 服务器，则可以选中此选项。这会阻止OPNsense系统使用Unbound DNS服务进行DNS查询（但本地网络的其余部分仍将使用Unbound DNS服务）。

服务>DHCPv4>接口

在DHCPv4（或 DHCPv6）接口页面上，可以为特定网络设置DNS服务器。如果希望为一个或多个本地网络使用不同的DNS服务器，可以在DHCPv4（或 DHCPv6）接口页面上进行指定。

使用此DNS配置的一个原因是使用网络上的备用DNS服务器，例如Pi-hole DNS服务器。可以使用DHCP服务分的配备用DNS服务器，因为默认情况下，当启用 Unbound DNS时，所有DHCP客户端都会接收接口IP地址作为每个网络的DNS服务器。

服务>Unbound DNS>常规

在“服务 > Unbound DNS > 常规”页面的底部，有一条简短说明，如果启用了Unbound DNS，DHCP服务将自动为DHCP客户端提供接口 IP 地址。

服务>Unbound DNS>DNS over TLS

可以配置Unbound DNS服务使用DNS over TLS来加密DNS查询，与上面提到的其他DNS配置一样，如果在“系统 > 设置 > 常规”页面上指定了DNS服务器，或者启用了“允许 DNS 服务器列表被WAN上的DHCP/PPP覆盖”选项，则OPNsense系统将使用所有已配置的DNS服务器。

基于该事实，如果希望加密所有出站的 DNS查询，则需要将DNS服务器列表留空，并且不要启用“允许DNS服务器列表被WAN上的DHCP/PPP覆盖”选项。

提示：虽然来自OPNsense系统的所有DNS查询和使用Unbound DNS服务的所有客户端都将被加密，但某些设备/应用程序仍有可能使用自己的DNS over TLS或 DNS over HTTPS，因此这些查询将不会使用配置的DNS服务器。

服务>Unbound DNS>查询转发

另一个可能有用的DNS选项是查询转发。启用查询转发功能可让您在第二个路由器后面进行本地主机名解析，同时将DNS查询转发到主网络上游。如果在主路由器后面的路由器上遇到DNS查询问题，并且不需要对连接到第二个路由器的网络进行任何高级DNS配置，选中该选项说就可以解决问题。