easy-to-use Защита DNS

[Александр Рыжов]

Цель данного решения — дать возможность неподготовленным владельцам кинетиков использовать сторонний софт на роутере с USB-портом для решения какой-то одной конкретной задачи. При этом не надо заморачиваться с форматированием флешки в какую-то специальную файловую систему или вникать в командную строку Linux.

USB-накопитель, подключенный к кинетику, можно продолжать параллельно использовать для других нужд, например для UPnP/DLNA-контента или скачивания торрентов.

Что это?

Самым простым и распространённым способом блокировки доступа к определённым ресурсам со стороны провайдера остаётся искажение DNS-ответов. Всецело поддерживая ограничение доступа к неправомерной информации хочу заметить, что с помощью DNS это делать топорно: в моём случае вместо блокировки одной страницы оказались заблокированы почти полторы тысячи доменов.

Предложенное здесь решение, основанное на dnscrypt-proxy, позволяет шифровать DNS запросы-ответы для того, чтобы провайдер не мог в них вмешиваться. Если ваш провайдер тоже подменяет DNS-ответы — решение вам поможет.

Как установить?

• Создайте на USB-носителе папку install и положите в неё файл, приложенный к этому посту *.
• Убедитесь, что у вас установлен компонент opkg в составе прошивки,
• Подключите USB-носитель к роутеру,
• Разрешите использование opkg, выберите ваш USB-носитель в выпадающем списке на этой странице и нажмите кн.«Применить»,
• Добавьте правильно трансляции сетевых адресов (NAT) как на приложенном скриншоте ниже (192.168.1.1 — локальный адрес вашего роутера, если вы его не меняли специально, он будет именно такой).

Как использовать?

Просто используйте интернет как привыкли, теперь домашние устройства защищены от перехвата и подмены DNS-ответов. Для того, чтобы настройки на любом клиенте вступили в силу, надо очистить на нём DNS-кэш, скажем, с помощью перезагрузки.

Как удалить?

• Удалите правило трансляции сетевых адресов (NAT), добавленное при настройках,
• Отключите флешку от роутера кнопкой «▲»,
• Сотрите с флешки папки bin, etc, root, sbin

 

* Keenetic LTE/DSL/VOX не поддерживаются.

dnscrypt-proxy-mipsel.tgz

[makc22]

А почему в правиле NAT интерфейс "любой"? Может явно указать "Home"? Для гостевой сети адрес будет всё равно другой и нужно второе правило. Не откроет это правило 53 порт снаружи?

UP: если подключение PPTP и адрес сервера задан по имени может возникнуть ситуация, при которой не удастся разрешить IP этого сервера? У Вас как я понял IPoE?

Edited February 28, 2017 by makc22

[Александр Рыжов]

Так надо, чтобы завернуть транзитные запросы от клиентов на dnscrypt-proxy.

Нужно, если хотите. Гостевую сеть цели защищать не было.

Откроет для пакетов, прилетающих с 192.168.1.0/24, т.е. никак не откроет.

Удастся разрешить. Все резолвы с самого роутера, включая имена PPTP, серверов обновления NDM или NTP-служб резолвятся без участия dnscrypt-proxy, т.к. они не транзитные. Проверено с помощью tcpdump не вышестоящем узле.

Да.

[Phaeton]

Добрый вечер! А данное решение комфортно уживается с включенным SkyDNS?

[r13]

@Phaeton Будет работать только что-то одно. В зависимости от того добавите ли вы правило трансляции или нет. С помощью правила(включить / выключить) можно выбирать какой сервис использовать.

[KorDen]

Зачем проброс, не проще сделать 'opkg dns-override' в консоли? Тем более тогда при вытащенной флешке будет работать напрямую.

[Phaeton]

15 часов назад, r13 сказал:

@Phaeton Будет работать только что-то одно. В зависимости от того добавите ли вы правило трансляции или нет. С помощью правила(включить / выключить) можно выбирать какой сервис использовать.

Да, вечером вчера в этом убедился. Жаль, что DNS-сервера SkyDNS не поддерживают dnscrypt, а так бы неплохо получилось. Не в плане обхода конечно, а как шифрование запросов до сервера.

[plagioklaz]

Уважаемый @Александр Рыжов, могли бы вы добавить к инструкции вариант настройки dnscrypt-proxy в уже установленную среду Entware-3x? или же настройки полностью идентичны приведённому решению?

Спасибо.

[Александр Рыжов]

13 часа назад, KorDen сказал:

Зачем проброс, не проще сделать 'opkg dns-override' в консоли? Тем более тогда при вытащенной флешке будет работать напрямую.

В консоль лазить целевой аудитории совсем не проще, это решение для неподготовленных пользователей. Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату.

1 час назад, Phaeton сказал:

Жаль, что DNS-сервера SkyDNS не поддерживают dnscrypt, а так бы неплохо получилось.

Ближайший поддерживаемый dnscrypt-proxy аналог — это OpenDNS, ныне принадлежащий Cisco. Тоже бесплатный. Открылся куда раньше, чем SkyDNS.

11 минуту назад, plagioklaz сказал:

могли бы вы добавить к инструкции вариант настройки dnscrypt-proxy в уже установленную среду Entware-3x?

Чего?:)

[Phaeton]

21 минуту назад, Александр Рыжов сказал:

Ближайший поддерживаемый dnscrypt-proxy аналог — это OpenDNS, ныне принадлежащий Cisco. Тоже бесплатный. Открылся куда раньше, чем SkyDNS.

Да, я читал, даже у Вас по-моему, что dnscrypt создан командой OpenDNS. И тут бы проголосовать за добавление вкладки OpenDNS на страницу "Безопасность", но это не та ветка, да и возможно ли... (юридически).

[plagioklaz]

Уважаемый @Александр Рыжов, простите, не заметил, что тема уже была =)

Может, для таких слепых как я, добавить ссылочку на тему в конец шапки этой темы? ))) Типа, а для тех, у кого уже установлен Entware-3x, проследуйте за описанием сюда >>>

Спасибо =)

[vasek00]

2 часа назад, Александр Рыжов сказал:

 Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату.

Достаточно в настройках tools.settings в разделе системное время прописать в место 0.pool.ntp.org, 1.pool.ntp.org и т.д. IP адреса например 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130

[Александр Рыжов]

1 час назад, vasek00 сказал:

Достаточно в настройках tools.settings в разделе системное время прописать в место 0.pool.ntp.org, 1.pool.ntp.org и т.д. IP адреса например 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130

А что, и, главное, куда будете прописывать ndss.11.zyxel.ndmsystems.com для того, чтобы роутер мог как прежде получать обновления?

2 часа назад, plagioklaz сказал:

Может, для таких слепых как я, добавить ссылочку на тему в конец шапки этой темы? ))) Типа, а для тех, у кого уже установлен Entware-3x, проследуйте за описанием сюда >>>

Бесполезно, никто не читает:)

[KorDen]

6 часов назад, Александр Рыжов сказал:

В консоль лазить целевой аудитории совсем не проще, это решение для неподготовленных пользователей. Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату

Чего? dns-override только освобождает 53 порт когда примонтирован opt, резолвер продолжает работать для RPC. У меня так Unbound (с DNSSEC) стоит уже год, и ничего. Если флешка выткнута - на 53 порт возвращается системный.

В консоль ЦА можно и не лазить, есть ndmq же

Edited March 1, 2017 by KorDen

[vasek00]

3 часа назад, Александр Рыжов сказал:

А что, и, главное, куда будете прописывать ndss.11.zyxel.ndmsystems.com для того, чтобы роутер мог как прежде получать обновления?

Бесполезно, никто не читает:)

Речь с начала шла о времени, теперь уже дошли до обновления.

Нужно проверить, например на роутере интернета нет

- вариант есть /tmp имеет атрибут на запись, в нем есть файл hosts а как на счет добавить строчку

91.218.112.167 ndss.11.zyxel.ndmsystems.com

- или же вариант

(config)> ip host ndss.11.zyxel.ndmsystems.com 91.218.112.167
Dns::Manager: Added static record for "ndss.11.zyxel.ndmsystems.com", address 91.218.112.167.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...
(config)>

/ #  ping ndss.11.zyxel.ndmsystems.com
PING ndss.11.zyxel.ndmsystems.com (91.218.112.167): 56 data bytes
64 bytes from 91.218.112.167: seq=0 ttl=55 time=17.032 ms
64 bytes from 91.218.112.167: seq=1 ttl=55 time=16.815 ms
^C
--- ndss.11.zyxel.ndmsystems.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 16.815/16.923/17.032 ms
/ # cat /tmp/hosts
127.0.0.1 localhost
::1 localhost
/ # 

по конфигу строка
ip host ndss.11.zyxel.ndmsystems.com 91.218.112.167

 

Edited March 1, 2017 by vasek00

[Александр Рыжов]

27 минут назад, vasek00 сказал:

Речь с начала шла о времени, теперь уже дошли до обновления.

Нужно проверить, например на роутере интернета нет

- вариант есть /tmp имеет атрибут на запись, в нем есть файл hosts а как на счет добавить строчку

91.218.112.167 ndss.11.zyxel.ndmsystems.com

- или же вариант

Далее выяснится, что облачный хостинг отвалился, придётся ещё один костыль приделывать. Или Зачем вам такое счастье, когда можно оставить системный резолвер в работе.

Кроме того, это решение для неподготовленных пользователей, обходящих командную строку по широкой дуге.

52 минуты назад, KorDen сказал:

dns-override только освобождает 53 порт когда примонтирован opt, резолвер продолжает работать для RPC.

Выполнив opkg dns-override, DHCP службу вы тоже отключите. Зачем?

[KorDen]

3 часа назад, Александр Рыжов сказал:

Выполнив opkg dns-override, DHCP службу вы тоже отключите. Зачем?

Чего? [2] Еще раз, dns-override убирает штатный DNS-прокси с 53 порта когда вставлена флешка, на которую ссылается OPKG, и только. Никаких других эффектов вроде неработающего DHCP или проблем с работой штатного функционала прошивки я не замечал и как-то специально не настраивал.

[vasek00]

10 часов назад, KorDen сказал:

Чего? [2] Еще раз, dns-override убирает штатный DNS-прокси с 53 порта когда вставлена флешка, на которую ссылается OPKG, и только. Никаких других эффектов вроде неработающего DHCP или проблем с работой штатного функционала прошивки я не замечал и как-то специально не настраивал.

Подтверждаю DHCP работал.

Повторюсь про что шла речь.

14 часа назад, Александр Рыжов сказал:

Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату.

 

[Александр Рыжов]

Кто ж неволит? Выполняйте dns-override, если сильно хочется. В данной теме необходимости в этом нет.

10 часов назад, KorDen сказал:

Никаких других эффектов вроде неработающего DHCP или проблем с работой штатного функционала прошивки я не замечал и как-то специально не настраивал.

Ок.

[AlexBBB]

Цитата

Александр Рыжов

Вот респект большой вам за тему. А то я никак не мог воткнуть про ентвары и прочее, чтобы установить dnscrypt.

Единственное, у меня вопрос остался - в вашем случае, мы только UDP траф редиректим на 53 порту, а в стандартной настройке днскрипт и тсп траф тоже заворачивается, нет ли какой дыры в вашем решении? Ведь получается тсп запрос на 53 порт изнутри пройдет мимо нашего крипта?

[vasek00]

7 часов назад, AlexBBB сказал:

Вот респект большой вам за тему. А то я никак не мог воткнуть про ентвары и прочее, чтобы установить dnscrypt.

Единственное, у меня вопрос остался - в вашем случае, мы только UDP траф редиректим на 53 порту, а в стандартной настройке днскрипт и тсп траф тоже заворачивается, нет ли какой дыры в вашем решении? Ведь получается тсп запрос на 53 порт изнутри пройдет мимо нашего крипта?

Для начало нужно разобраться для чего используются UDP и TCP в работе DNS - http://www.securitylab.ru/blog/personal/aodugin/296669.php

[AlexBBB]

В 29.03.2017 в 08:18, vasek00 сказал:

Для начало нужно разобраться для чего используются UDP и TCP в работе DNS - http://www.securitylab.ru/blog/personal/aodugin/296669.php

О как. Спасибо за ссылку, теперь ясно ,что если не схватить какого нить бэкдура на  винду, то tcp запрос на 53 порт из локалки практически не реален.

 

[Guest]

проверку не проходит.

[eEye]

В 28.02.2017 в 14:43, Александр Рыжов сказал:

Как использовать?

Просто используйте интернет как привыкли, теперь домашние устройства защищены от перехвата и подмены DNS-ответов. Для того, чтобы настройки на любом клиенте вступили в силу, надо очистить на нём DNS-кэш, скажем, с помощью перезагрузки.

Здравствуйте!

Будет ли работать данное решение при использовании skydns?

 

Как я понимаю в обычном режиме работа выглядит так:

host -> keentic -> dns/skydns (если skydns включено - он в приоритете и перехватывает все другие запросы)

 

Как я понимаю работу схемы с перехватом от провайдера:

host -> keentic -> provider (block or allow) -> dns/skydns

 

Как я представляю работу с Вашим способом Александр:

host -> keentic -> provider (crypt не читается и чистый запрос уходит на skydns) -> dns/skydns

[Александр Рыжов]

7 часов назад, eEye сказал:

Как я представляю работу с Вашим способом Александр:

Хост » dnscrypt-proxy на кинетике » сервер dnscrypt.

Т.е. DNS запросы-ответы между кинетиком и сервером шифруются. Для провайдера трафик практически не отличим от HTTPS, поэтому вероятность его перехвата близка к нулю.

Подобные решения современные браузеры используют самостоятельно, не полагаясь на системный резолвер:

• Яндекс.Браузер использует dnscrypt-proxy,
• Google Chrome использует DNS-over-HTTPS.

DNS-решения из прошивки совместно с этим работать не будут.

Если разработчики когда-нибудь добавят в команду ip name-server возможность указания UDP-порта, то можно будет использовать системный резолвер вместе с dnscrypt-proxy или другими решениями. Пожалуй, напишу feature request.

[vasek00]

Для информации при схеме

Keenetic ( dnscrypt-proxy ) --- Провайдер --- DNS сервер (указанный в dnscrypt-proxy)

запросы от dnscrypt-proxy до сервера DNS будут иметь шифрованные данные уложенные в пакет UDP единственное что только может чуток указать на это так это порт приема DNS сервером (правда он не 53 но по виду будет понятно)

Скрытый текст

Data (512 bytes): 90e3ce87d09521adb9d3a4aa754aab75de6b2ba13e0b0bbb... ---- запрос

Data (354 bytes): 7236666e76576a38e64c766880644b1564cb1af8154b6480...  ----- ответ

 

[eEye]

В 26.06.2017 в 10:10, Александр Рыжов сказал:

Хост » dnscrypt-proxy на кинетике » сервер dnscrypt.

Т.е. DNS запросы-ответы между кинетиком и сервером шифруются. Для провайдера трафик практически не отличим от HTTPS, поэтому вероятность его перехвата близка к нулю.

Подобные решения современные браузеры используют самостоятельно, не полагаясь на системный резолвер:

• Яндекс.Браузер использует dnscrypt-proxy,
• Google Chrome использует DNS-over-HTTPS.

DNS-решения из прошивки совместно с этим работать не будут.

Если разработчики когда-нибудь добавят в команду ip name-server возможность указания UDP-порта, то можно будет использовать системный резолвер вместе с dnscrypt-proxy или другими решениями. Пожалуй, напишу feature request.

И все равно непонятно (мне как обывателю).

В случае с шифрованием DNS-запросов, skydns на роутере работать будет?

 

p.s. По поводу браузеров, на работе компания MTS (т.е. блокировка роскомнадзоровских сайтов безусловна), так же используется Google Chrome. Сеть и интернет работают через Keenetic + SkyDNS. Сайты запрещённые все равно фильтруются и переадресовываются на страницу компании MTS.

[eEye]

Мой ответ от 01.07 можно не учитывать, я перечитал и понял что это невозможно, но! Получил интересный ответ от техподдержки SkyDNS:

 

Цитата

Добрый день!

 

На данный момент нет. Мы занимаемся разработкой поддержки шифрования, но по срокам пока сориентировать не можем.

 

С уважением,
служба технической поддержки SkyDNS
Безопасный интернет начинается здесь
http://www.skydns.ru
тел: 8-800-333-33-72

Т.е. возможно в скором времени получиться подружить dnscrypt и skydns..

[vasek00]

Наткнулся на проблемку маленькую (думаю прошивка не причем, так как использую схему ниже уже давно, а проблема дня 3-4), проблема с resolv при схеме

dnsmasq весит на 53 и у него в конфиге строка  server=127.0.0.1#65353  далее  запуск dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex

все работает, но на короткое время (несколько минут) перестает работать resolv (сайты не открываются), но потом опять работает и так повторяется, как будто что-то блокируете udp так как данная схеме использует по умолчанию udp протокол (он так же удобен если есть два канала которые оба активны, меньше подтверждений у данного протокола перед TCP).

Хотел подключить загрузку через conf файл но не тут то было нет такой возможности. Оставлял одну запись в  dnscrypt-resolvers.csv сервера
yandex,"Yandex","Yandex public DNS server","Anycast",....:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,

аналогичен результат. По захвату пакетов пакеты с интерфейса роутера в интернет UDP уходят, но не видно получения, может отбрасываются, а может не приходят, менял сервер на cisco получше но не настолько.

Проверю на TCP работу

dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R yandex

Есть  возможность использовать конфиг от dnscrypt-proxy с хорошими настройками но проблема с запускам с конф файлом, просто с

dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

ругнулся на Support for plugins hasn't been compiled in .... .

Скрытый текст

Оригинальный конфиг есть интетесные опции по настройкам.

 

######################################################
#                                                    #
#    Sample configuration file for dnscrypt-proxy    #
#                                                    #
######################################################

############## Resolver settings ##############

## [CHANGE THIS] Short name of the resolver to use
## Usually the only thing you need to change in this configuration file.
## This corresponds to the first column in the dnscrypt-resolvers.csv file.
## Alternatively, "random" (without quotes) picks a random random resolver
## accessible over IPv4, that doesn't log and supports DNSSEC.

ResolverName random

## Full path to the list of available DNSCrypt resolvers (dnscrypt-resolvers.csv)
## An up-to-date list is available here:
## https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv
## and the dnscrypt-update-resolvers.sh script can be used in order to
## automatically download and verify updates.

# ResolversList /usr/local/share/dnscrypt-proxy/dnscrypt-resolvers.csv

## Manual settings, only for a custom resolver not present in the CSV file

# ProviderName    2.dnscrypt.resolver.example
# ProviderKey     E801:B84E:A606:BFB0:BAC0:CE43:445B:B15E:BA64:B02F:A3C4:AA31:AE10:636A:0790:324D
# ResolverAddress 203.0.113.1:443

############## Process options ##############

## [NOT AVAILABLE ON WINDOWS] Run the proxy as a background process.
## Unless you are using systemd, you probably want to change this to "yes"
## after having verified that the rest of the configuration works as expected.

Daemonize no

## Write the PID number to a file

# PidFile /var/run/dnscrypt-proxy.pid

## [NOT AVAILABLE ON WINDOWS] Start the process, bind the required ports, and
## run the server as a less-privileged system user.
## The value for this parameter is a user name.

# User _dnscrypt-proxy

############## Network/protocol settings ##############

## Local address and port to listen to.
## A 127.0.0.x address is recommended for local use, but 0.0.0.0 or
## a specific interface address can be used on a router, or to
## configure a single machine to act as a DNS proxy for different
## devices.
## If the socket is created by systemd, the proxy cannot change the address
## using this option. You should edit systemd's dnscrypt-proxy.socket file
## instead.

# LocalAddress 127.0.0.1:53

## Cache DNS responses to avoid outgoing traffic when the same queries
## are repeated multiple times in a row.

LocalCache on

## Creates a new key pair for every query.
## This prevents logging servers from correlating client public keys with
## IP addresses. However, this option implies extra CPU load, and is not
## very useful with trusted/non-logging servers.

EphemeralKeys off

## Maximum number of active requests waiting for a response.
## Keep it reasonable relative to the expected number of clients.

# MaxActiveRequests 250

## This is the maximum payload size allowed when using the UDP protocol.
## The default is safe, and rarely needs to be changed.

# EDNSPayloadSize 1252

## Ignore the time stamps when checking the certificates
## Do not enable this option ever, unless you know that you need it.

# IgnoreTimestamps no

## Do not send queries using UDP. Only use TCP.
## Even if some resolvers mitigate this, DNS over TCP is almost always slower
## than UDP and doesn't offer additional security.
## Only enable this option if UDP doesn't work on your network.

# TCPOnly no

############## Logging ##############

## Log the received DNS queries to a file, so you can watch in real-time what
## is happening on the network.
## The value for this parameter is a full path to the log file.
## The file name can be prefixed with ltsv: in order to store logs using the
## LTSV format (ex: ltsv:/tmp/dns-queries.log).

# QueryLogFile /tmp/dns-queries.log

## Log file to write server errors and information to.
## If you use this tool for privacy, keeping logs of any kind is usually not
## a good idea.

# LogFile /var/log/dnscrypt-proxy.log

## Don't log events with priority above this log level after the service has
## been started up. Default is 6.
## Valid values are between 0 (critical) to 7 (debug-level messages).

# LogLevel 6

## [NOT AVAILABLE ON WINDOWS] Send server logs to the syslog daemon
## Log entries can optionally be prefixed with a string.

# Syslog       off
# SyslogPrefix dnscrypt

############## Local filtering ##############

## If your network doesn't support IPv6, chances are that your
## applications are still constantly trying to resolve IPv6 addresses,
## causing unnecessary slowdowns.
## This causes the proxy to immediately reply to IPv6 requests,
## without having to send a useless request to upstream resolvers, and
## having to wait for a response.
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.

BlockIPv6 no

## Want to filter ads, malware, sensitive or inappropriate websites and
## domain names? This feature can block lists of IP addresses and names
## matching a list of patterns. The list of rules remains private, and
## the filtering process directly happens on your own network. In order
## to filter IP addresses, the list of IPs has to be put into a text
## file, with one IP address per line. Lists of domain names can also be
## blocked as well. Put the list into a text file, one domain per line.
## Domains can include wildcards (*) in order to match patterns. For
## example *sex* will match any name that contains the sex substring, and
## ads.* will match anything starting with ads. The Internet has plenty
## of free feeds of IP addresses and domain names used for malware,
## phishing and spam that you can use with this feature.
##
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.
##
## To enable, uncomment one of the following definitions:

## Block query names matching the rules stored in that file:
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt"

## Block responses whose IP addresses match IPs stored in that file:
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt"

## Block both domain names and IP addresses:
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt"

## Same as the above + log the blocked queries in a file.
## The log file can be prefixed with ltsv: (ex: ltsv:/tmp/log.txt) in order to
## store logs using the LTSV format.
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"

############## Forwarding ##############

## Forward queries for specific zones to one or more non-DNSCrypt resolvers.
## For instance, this can be used to redirect queries for local domains to
## the router, or queries for an internal domain to an internal DNS server.
## Multiple whitespace-delimited zones and IP addresses can be specified.
## Do not enable this unless you absolutely know you need it.
## If you see useless queries to these zones, you'd better block them with
## the BlackList feature instead of sending them in clear text to the router.
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.

# Forward domains:"test private localdomain lan" to:"192.168.100.254"

############## User identification ##############

## Use a client public key for identification
## By default, the client uses a randomized key pair in order to make tracking
## more difficult. This option does the opposite and uses a static key pair, so
## that DNS providers can offer premium services to queries signed with a known
## set of public keys. A client cannot decrypt the received responses without
## also knowing the secret key.
## The value for this property is the path to a file containing the secret key,
## encoded as a hexadecimal string. The corresponding public key is computed
## automatically.

# ClientKey /etc/dnscrypt-client-secret.key

############## Monitoring ##############

## Do not actually start the proxy, but check that a valid certificate can be
## retrieved from the server and that it will remain valid for the specified
## time period. The process exit code is 0 if a valid certificate can be used,
## 2 if no valid certificates can be used, 3 if a timeout occurred, and 4 if a
## currently valid certificate is going to expire before the given margin.
## Useful in a cron job to monitor your own dnscrypt-servers.
## The margin is specified in minutes.

# Test 2880

############## Recursive configuration ##############

## A configuration file can include other configuration files by inserting
## the `Include` directive anywhere (the full path required, no quotes):

# Include /etc/dnscrypt-proxy-common.conf

 

Edited July 10, 2017 by vasek00

[Александр Рыжов]

54 минуты назад, vasek00 сказал:

Наткнулся на проблемку маленькую (думаю прошивка не причем, так как использую схему ниже уже давно, а проблема дня 3-4), проблема с resolv при схеме

dnsmasq весит на 53 и у него в конфиге строка  server=127.0.0.1#65353  далее  запуск dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex

Яндексовский dnscrypt-сервер глючит с пятнинцы, можете проверить с помощью dig.

Dnscrypt-proxy при этом стартует без ошибок, но сервер ничего не резолвит.