NextDNS 作为基于云的 DNS 过滤解决方案，每月可以免费 30 万次查询，每年付费 20 美元即可进行无限制查询。NextDNS 具有高度的可配置性，支持 DNS-over-TLS、DNS-over-HTTPS，可以实现完全加密的 DNS 查询。它还提供了大量的阻止列表，例如挖矿劫持保护、拦截广告等。NextDNS 可以安装在 OPNsense 上，通过简单的配置即可使用。

在安装配置之前，请先注册 NextDNS 帐户并记录配置 ID。

安装

OPNsense 使用 Unbound DNS 进行 DNS 解析，为了方便配置，我们可以取消 Unbound DNS 的解析功能或更改其默认端口，让 NextDNS 客户端直接侦听防火墙 LAN 地址端口 53 进行 DNS 查询。

1、SSH 登录 OPNsense，进入 shell，然后运行以下命令：

sh -c 'sh -c "$(curl -sL https://nextdns.io/install)"'

NextDNS 安装过程截图

2、输入 i 进行安装。
3、输入 NextDNS 的配置 ID，并根据提示进行安装。

输入 NextDNS 配置 ID

另一种安装方式：

1、在 shell 环境运行以下命令，安装第三方插件存储库：

fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf 
pkg update

2、转到 系统 > 固件 > 插件 选项卡，搜索 os-nextdns-community 并安装。
3、导航到 服务 > NextDNS，配置 NextDNS 各项参数。

NextDNS 配置参数界面

配置

1、编辑 nextdns.conf 文件，将 setup-router 更改为 false，并添加防火墙的 LAN IP 地址（例如 10.13.2.1）到 listen 行，确保与 localhost 一样，端口都为 53。修改完成后保存。

vi /usr/local/etc/nextdns.conf

编辑 nextdns.conf 文件

2、导航至 服务 > Unbound DNS > 常规，取消选中“启用 Unbound”框（如果已选中）。
3、返回 shell，输入 nextdns restart 重启 NextDNS。输入 sockstat -l 并查找 NextDNS 条目，应该会看到 LAN IP 和环回地址的条目；也可以输入 nextdns log 查看运行日志。

sockstat 命令输出示例

测试

要验证域名解析拦截是否正常工作，可以使用 Drill 命令。app-measurement.com 域名在 NextDNS 默认的拦截列表里，如果针对 OPNsense LAN IP 运行 Drill，应该会返回 0.0.0.0 的查询结果。还可以从 LAN 客户端访问 dnsleaktest.com，验证客户端是否正在使用 dns.nextdns.io。如果显示的是 NextDNS 以外的 DNS 服务器，则说明配置存在问题。

drill app-measurement.com @10.13.2.1

Drill 命令测试 NextDNS 拦截

也可以登录 NextDNS 门户查看，确保已绑定 IP，并正在使用 NextDNS。

NextDNS 门户仪表盘

总结

在 OPNsense 中安装使用 NextDNS 非常容易，只需修改 NextDNS CLI 默认配置，就可以保证客户端不做任何更改即时使用 NextDNS。

NextDNS 运行参数：

NextDNS 运行参数

安装

配置

测试

总结

登录

注册

找回密码