По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который
не поддерживает  DNS-over-TLS. Для включения шифрования DNS-трафика заменим
Dnsmasq на Unbound и odhcpd:

   opkg update
   opkg install unbound odhcpd unbound-control
   opkg remove dnsmasq

Для настройки через GUI опционально можно установить модуль:

   opkg install luci-app-unbound

Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS
(например, 1.1.1.1 и 1.0.0.1):

   forward-zone:
     name: "."
     forward-addr: 1.1.1.1@853                   
     forward-addr: 1.0.0.1@853                             
     forward-addr: 2606:4700:4700::1111@853
     forward-addr: 2606:4700:4700::1001@853
     forward-ssl-upstream: yes   



Корректируем настройки /etc/config/unbound в соответствии с 
официальными рекомендациями по настройке связки unbound+odhcpd.

Проверяем /etc/config/unbound:

   config unbound
     option add_local_fqdn '1'
     option add_wan_fqdn '1'
     option dhcp_link 'odhcpd'
     option dhcp4_slaac6 '1'
     option domain 'lan'
     option domain_type 'static'
     option listen_port '53'
     option rebind_protection '1'
     option unbound_control '1'

Аналогично проверяем настройки /etc/config/dhcp:

   config dhcp 'lan'
        option dhcpv4 'server'
        option dhcpv6 'server'
        option interface 'lan'
        option leasetime '12h'
        option ra 'server'
        option ra_management '1'

   config odhcpd 'odhcpd'
        option maindhcp '1'
        option leasefile '/var/lib/odhcpd/dhcp.leases'
        option leasetrigger '/usr/lib/unbound/odhcpd.sh'
  
Перезапускаем unbound:

   service unbound enable
   service unbound start