Указать dnscrypt-proxy как резолвер?

А зачем?
Запросы сертификатов для https уже научился шифровать?

А зачем?

Например чтобы избавится от DNS спуффинга провайдера.

Запросы сертификатов для https уже научился шифровать?

Причём тут сертификаты для HTTPS в софте кторый занимается обработкой DNS запросов? Открытый ключ для коммуникаций с вышестоящим сервером указывается явно при запуске или в конфиге.

я тестировал, вроде ещё не научился

Причём тут сертификаты для HTTPS в софте кторый занимается обработкой DNS запросов?

https://blog.cloudflare.com/encrypted-sni/

Например чтобы избавится от DNS спуффинга провайдера.

Для этого разве недостаточно просто задействовать иной DNS чем DNS провайдера?

Не, недостаточно. Провайдер видит нешифрованые запросы и можео прислать ответ раньше, чем 8.8.8.8 или любой другой.

Эта хрень на сервере должна быть настроена?
По различным оценкам https используют 3-5% ресурсов.
Пробовал включать HTTPS Everywhere, и похоже, так оно и есть.

Понял. Но DPI по HTTPS SNI позволяет только блокировать запросы (и ответы) DoH/DoT. Провайдер по крайнер мере не будет подменять пакеты.

Для этого разве недостаточно просто задействовать иной DNS чем DNS провайдера?

В отличии от DPI по HTTPS SNI обычные DNS запросы давно уже подделывают) Хоть в гугл запрос хоть в яндекс. В blockcheck есть ещё интересный метод проверки подмены DNS через Google DNS API - его ещё пока не научились подделывать.

А вообще, лучший способ спрятать DNS трафик от провайдера (так же как и весь остальной) - использовать VPN.

Я за минимализм. У меня нет каких-то секретных данных. Блокировки РКН я обхожу двумя правилами iptables на обычном консьюмерском роутере - там всё равно линукс внутри. Начнут спуфить DNS - поставлю там же dnscrypt. Ну на всякий держу там запасной VPN и TOR поднятыми - но скорость страдает, а наша гос. машина очень инертна в плане технических решений даже если это касается цензуры. Подождём что дальше будет.

Капитан, перелогиньтесь.
Если серьёзно, то да, DNS через VPN + локальный DNS резолвер является хорошим решением. Но гонять весь трафик через VPN очень накладно.

гонять весь трафик через VPN очень накладно

чем это?

dnsmasq + stubby + DoT (серверы на выбор, дофига их).
Но да, провайдеры задолбали лезть в днс-трафик, причем это касается не только РФ, но и всего мира - не видел еще сотового опсоса, который не лез бы в днс со своей говнорекламой в случае нерезолвящегося адреса.

чем

Всем.

Пинг ухудшает, да. И то не всегда. У меня например немецкий впн даже немного улучшал пинг до игровых серверов, которые тоже в германии находятся. Но в целом, если играешь, то на время игры впн придётся отключить скорее всего. А так, если скорость сетевого соединения на сервере впн лучше чем у тебя, то впн почти не даёт оверхеда по скорости передачи данных.

dnsmasq + stubby + DoT

wut? зачем весь этот шлак? достаточно лишь dnscrypt-proxy

dnsmasq заведует тем, что раскидывает разным резолверам разные домены и составляет ipset'ы для того, что нужно роутить через разные vpn'ы и tor

stubby предоставляет обычный резолвер на одном из лупбэков для того, чтобы dnsmasq мог использовать dns over tls

допустим, мне нужно иметь доступ к:
- провайдерской внутрисети, где живет личный кабинет;
- доменам внутрисети одного из vpn'ов;
- onion-сайтам;
это - типичная задача для dnsmasq на роутере.

раскидывает разным резолверам разные домены

зачем?

составляет ipset'ы для того, что нужно роутить через разные vpn'ы и tor

не проще это делать через iptables и ip route/ip rule?

зачем?

ответил выше

не проще это делать через iptables и ip route/ip rule?

динамически это можно сделать только через ipset

вопрос о том как это сделать в debian 9 : dnscrypt-proxy + настройка сети

вопрос о том как это сделать в debian 9 : dnscrypt-proxy + настройка сети

ТС, уймись, не до тебя сейчас.
А в чём конкретно вопрос?

На страницу автора заходили? Для stretch пакет в родном репозитории должен быть. На каком этапе сложности возникают?