Existem alguns sites que permitem que você visualize seu DNS. Por exemplo, um bom é: https://browserleaks.com/dns .
Como esse tipo de site funciona? Especialmente, eu habilitei DNS sobre HTTPS, mas o site ainda mostra meu provedor de DNS corretamente.
Seu navegador pede ao servidor DNS local para resolver o nome do host. O servidor DNS local então envia uma consulta DNS para o servidor DNS autoritativo.
browserleaks.comcontrola o servidor DNS autoritativo ("Este teste tenta resolver 50 nomes de domínio gerados aleatoriamente", e você pode ver que esses domínios são comor50q8om8uo71xkwz.dns4.browserleaks.org), para que ele possa ver o endereço IP na consulta DNS enviada do seu servidor DNS local.O HTTPS (TLS) criptografa somente a camada de aplicação, ou seja, as mensagens HTTP (e DNS), incluindo o nome do host do domínio na consulta DNS e o endereço IP para o domínio na resposta DNS. Mas o endereço IP do servidor DNS local está no cabeçalho IP, na camada de rede. Além disso, a criptografia é somente para o homem no meio, mas
browserleaks.comcontrola o servidor. Como não é um homem no meio, até mesmo as mensagens DNS estão em texto simples parabrowserleaks.com.Quando você está usando DNS sobre HTTPS (DoH), o único caminho protegido é entre seu navegador e o servidor DoH ao qual você está se conectando. O servidor DoH obviamente conhece seu endereço IP, já que seu navegador faz uma conexão HTTPS direta com ele, e além disso, ele pode enviar seu endereço IP upstream para o servidor DNS autoritativo para aquele domínio, por exemplo, usando EDNS Client Subnet ( RFC 7871 ]). O uso comum para isso é para resolver com base na geolocalização da solicitação real em vez da do servidor DNS de cache.
Claro, se o IP original (ou sub-rede) será encaminhado para o servidor DNS autoritativo depende de como o servidor DoH está configurado, mas olhando, por exemplo, para a Política do Mozilla DOH Resolver, parece ser comum no setor ter algumas restrições (veja o ponto 6 dessa política, por exemplo, não enviar para o upstream sem criptografia), mas deixa isso aceitável em algumas situações.
Em outras palavras, se você quiser que seu IP não se propague para o servidor DNS autoritativo, você precisaria encontrar um servidor DoH que não use RFC 7871 para propagar seu IP. Não estou ciente de nenhum, mas também não fiz nenhuma pesquisa detalhada para isso especificamente.
Editar Depois de ler sua mensagem novamente, não tenho certeza do que você quer dizer com
Se este for seu provedor de DNS DoH, isso torna todo o processo ainda mais simples, porque não precisa haver EDNS Client Subnet envolvido. Eu assumi que aqui você quer dizer seu resolvedor local, basicamente seu IP público local, que precisa envolver RFC 7871 para funcionar.
Atualizar
Fiz alguns testes agora localmente e verifiquei a saída de https://browserleaks.com/dns com 2 provedores DoH padrão no Firefox e 5 provedores padrão no Chrome. Para todos eles, o browserleaks estava basicamente mostrando o provedor que eu havia selecionado e nada indicando meu IP local como a fonte original da solicitação de resolução de DNS. Então, embora o que descrevi acima (vazar o IP do originador com a Sub-rede do Cliente EDNS) seja tecnicamente possível, parece que esses provedores padrão fazem isso ou o browserleaks não interpreta essas informações.
Para entender o que está acontecendo no seu caso, seria útil atualizar sua pergunta com detalhes dos resultados que você está obtendo do browserleaks.com e como eles estão conectados ao "seu provedor de DNS".