Jump to content

Recommended Posts

Цель данного решения — дать возможность неподготовленным владельцам кинетиков использовать сторонний софт на роутере с USB-портом для решения какой-то одной конкретной задачи. При этом не надо заморачиваться с форматированием флешки в какую-то специальную файловую систему или вникать в командную строку Linux.

USB-накопитель, подключенный к кинетику, можно продолжать параллельно использовать для других нужд, например для UPnP/DLNA-контента или скачивания торрентов.

Что это?

Самым простым и распространённым способом блокировки доступа к определённым ресурсам со стороны провайдера остаётся искажение DNS-ответов. Всецело поддерживая ограничение доступа к неправомерной информации хочу заметить, что с помощью DNS это делать топорно: в моём случае вместо блокировки одной страницы оказались заблокированы почти полторы тысячи доменов.

Предложенное здесь решение, основанное на dnscrypt-proxy, позволяет шифровать DNS запросы-ответы для того, чтобы провайдер не мог в них вмешиваться. Если ваш провайдер тоже подменяет DNS-ответы — решение вам поможет.

Как установить?

  • Создайте на USB-носителе папку install и положите в неё файл, приложенный к этому посту *.
  • Убедитесь, что у вас установлен компонент opkg в составе прошивки,
  • Подключите USB-носитель к роутеру,
  • Разрешите использование opkg, выберите ваш USB-носитель в выпадающем списке на этой странице и нажмите кн.«Применить»,
  • Добавьте правильно трансляции сетевых адресов (NAT) как на приложенном скриншоте ниже (192.168.1.1 — локальный адрес вашего роутера, если вы его не меняли специально, он будет именно такой).

Как использовать?

Просто используйте интернет как привыкли, теперь домашние устройства защищены от перехвата и подмены DNS-ответов. Для того, чтобы настройки на любом клиенте вступили в силу, надо очистить на нём DNS-кэш, скажем, с помощью перезагрузки.

Как удалить?

  • Удалите правило трансляции сетевых адресов (NAT), добавленное при настройках,
  • Отключите флешку от роутера кнопкой «▲»,
  • Сотрите с флешки папки bin, etc, root, sbin

 

* Keenetic LTE/DSL/VOX не поддерживаются.

portfwd_ru.PNG

dnscrypt-proxy-mipsel.tgz

  • Thanks 7

Share this post


Link to post
Share on other sites

А почему в правиле NAT интерфейс "любой"? Может явно указать "Home"? Для гостевой сети адрес будет всё равно другой и нужно второе правило. Не откроет это правило 53 порт снаружи?

UP: если подключение PPTP и адрес сервера задан по имени может возникнуть ситуация, при которой не удастся разрешить IP этого сервера? У Вас как я понял IPoE?

Edited by makc22

Share this post


Link to post
Share on other sites

Так надо, чтобы завернуть транзитные запросы от клиентов на dnscrypt-proxy.

Нужно, если хотите. Гостевую сеть цели защищать не было.

Откроет для пакетов, прилетающих с 192.168.1.0/24, т.е. никак не откроет.

Удастся разрешить. Все резолвы с самого роутера, включая имена PPTP, серверов обновления NDM или NTP-служб резолвятся без участия dnscrypt-proxy, т.к. они не транзитные. Проверено с помощью tcpdump не вышестоящем узле.

Да.

  • Thanks 1

Share this post


Link to post
Share on other sites

Добрый вечер! А данное решение комфортно уживается с включенным SkyDNS?

Share this post


Link to post
Share on other sites

@Phaeton Будет работать только что-то одно. В зависимости от того добавите ли вы правило трансляции или нет. С помощью правила(включить / выключить) можно выбирать какой сервис использовать.

Share this post


Link to post
Share on other sites

Зачем проброс, не проще сделать 'opkg dns-override' в консоли? Тем более тогда при вытащенной флешке будет работать напрямую.

Share this post


Link to post
Share on other sites
15 часов назад, r13 сказал:

@Phaeton Будет работать только что-то одно. В зависимости от того добавите ли вы правило трансляции или нет. С помощью правила(включить / выключить) можно выбирать какой сервис использовать.

Да, вечером вчера в этом убедился. Жаль, что DNS-сервера SkyDNS не поддерживают dnscrypt, а так бы неплохо получилось. Не в плане обхода конечно, а как шифрование запросов до сервера.

Share this post


Link to post
Share on other sites

Уважаемый @Александр Рыжов, могли бы вы добавить к инструкции вариант настройки dnscrypt-proxy в уже установленную среду Entware-3x? или же настройки полностью идентичны приведённому решению?

Спасибо.

Share this post


Link to post
Share on other sites
13 часа назад, KorDen сказал:

Зачем проброс, не проще сделать 'opkg dns-override' в консоли? Тем более тогда при вытащенной флешке будет работать напрямую.

В консоль лазить целевой аудитории совсем не проще, это решение для неподготовленных пользователей. Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату.

1 час назад, Phaeton сказал:

Жаль, что DNS-сервера SkyDNS не поддерживают dnscrypt, а так бы неплохо получилось.

Ближайший поддерживаемый dnscrypt-proxy аналог — это OpenDNS, ныне принадлежащий Cisco. Тоже бесплатный. Открылся куда раньше, чем SkyDNS.

11 минуту назад, plagioklaz сказал:

могли бы вы добавить к инструкции вариант настройки dnscrypt-proxy в уже установленную среду Entware-3x?

Чего?:)

Share this post


Link to post
Share on other sites
21 минуту назад, Александр Рыжов сказал:

Ближайший поддерживаемый dnscrypt-proxy аналог — это OpenDNS, ныне принадлежащий Cisco. Тоже бесплатный. Открылся куда раньше, чем SkyDNS.

Да, я читал, даже у Вас по-моему, что dnscrypt создан командой OpenDNS. И тут бы проголосовать за добавление вкладки OpenDNS на страницу "Безопасность", но это не та ветка, да и возможно ли... (юридически).

Share this post


Link to post
Share on other sites

Уважаемый @Александр Рыжов, простите, не заметил, что тема уже была =)

Может, для таких слепых как я, добавить ссылочку на тему в конец шапки этой темы? ))) Типа, а для тех, у кого уже установлен Entware-3x, проследуйте за описанием сюда >>>

Спасибо =)

Share this post


Link to post
Share on other sites
2 часа назад, Александр Рыжов сказал:

 Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату.

Достаточно в настройках tools.settings в разделе системное время прописать в место 0.pool.ntp.org, 1.pool.ntp.org и т.д. IP адреса например 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130

Share this post


Link to post
Share on other sites
1 час назад, vasek00 сказал:

Достаточно в настройках tools.settings в разделе системное время прописать в место 0.pool.ntp.org, 1.pool.ntp.org и т.д. IP адреса например 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130

А что, и, главное, куда будете прописывать ndss.11.zyxel.ndmsystems.com для того, чтобы роутер мог как прежде получать обновления?

2 часа назад, plagioklaz сказал:

Может, для таких слепых как я, добавить ссылочку на тему в конец шапки этой темы? ))) Типа, а для тех, у кого уже установлен Entware-3x, проследуйте за описанием сюда >>>

Бесполезно, никто не читает:)

Share this post


Link to post
Share on other sites
6 часов назад, Александр Рыжов сказал:

В консоль лазить целевой аудитории совсем не проще, это решение для неподготовленных пользователей. Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату

Чего? dns-override только освобождает 53 порт когда примонтирован opt, резолвер продолжает работать для RPC. У меня так Unbound (с DNSSEC) стоит уже год, и ничего. Если флешка выткнута - на 53 порт возвращается системный.

В консоль ЦА можно и не лазить, есть ndmq же

Edited by KorDen

Share this post


Link to post
Share on other sites
3 часа назад, Александр Рыжов сказал:

А что, и, главное, куда будете прописывать ndss.11.zyxel.ndmsystems.com для того, чтобы роутер мог как прежде получать обновления?

Бесполезно, никто не читает:)

Речь с начала шла о времени, теперь уже дошли до обновления.

Нужно проверить, например на роутере интернета нет

- вариант есть /tmp имеет атрибут на запись, в нем есть файл hosts а как на счет добавить строчку

91.218.112.167 ndss.11.zyxel.ndmsystems.com

- или же вариант

(config)> ip host ndss.11.zyxel.ndmsystems.com 91.218.112.167
Dns::Manager: Added static record for "ndss.11.zyxel.ndmsystems.com", address 91.218.112.167.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...
(config)>

/ #  ping ndss.11.zyxel.ndmsystems.com
PING ndss.11.zyxel.ndmsystems.com (91.218.112.167): 56 data bytes
64 bytes from 91.218.112.167: seq=0 ttl=55 time=17.032 ms
64 bytes from 91.218.112.167: seq=1 ttl=55 time=16.815 ms
^C
--- ndss.11.zyxel.ndmsystems.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 16.815/16.923/17.032 ms
/ # cat /tmp/hosts
127.0.0.1 localhost
::1 localhost
/ # 

по конфигу строка
ip host ndss.11.zyxel.ndmsystems.com 91.218.112.167

 

Edited by vasek00

Share this post


Link to post
Share on other sites
27 минут назад, vasek00 сказал:

Речь с начала шла о времени, теперь уже дошли до обновления.

Нужно проверить, например на роутере интернета нет

- вариант есть /tmp имеет атрибут на запись, в нем есть файл hosts а как на счет добавить строчку


91.218.112.167 ndss.11.zyxel.ndmsystems.com

- или же вариант

Далее выяснится, что облачный хостинг отвалился, придётся ещё один костыль приделывать. Или Зачем вам такое счастье, когда можно оставить системный резолвер в работе.

Кроме того, это решение для неподготовленных пользователей, обходящих командную строку по широкой дуге.

52 минуты назад, KorDen сказал:

dns-override только освобождает 53 порт когда примонтирован opt, резолвер продолжает работать для RPC.

Выполнив opkg dns-override, DHCP службу вы тоже отключите. Зачем?

Share this post


Link to post
Share on other sites
3 часа назад, Александр Рыжов сказал:

Выполнив opkg dns-override, DHCP службу вы тоже отключите. Зачем?

Чего? [2] Еще раз, dns-override убирает штатный DNS-прокси с 53 порта когда вставлена флешка, на которую ссылается OPKG, и только. Никаких других эффектов вроде неработающего DHCP или проблем с работой штатного функционала прошивки я не замечал и как-то специально не настраивал.

  • Thanks 1

Share this post


Link to post
Share on other sites
10 часов назад, KorDen сказал:

Чего? [2] Еще раз, dns-override убирает штатный DNS-прокси с 53 порта когда вставлена флешка, на которую ссылается OPKG, и только. Никаких других эффектов вроде неработающего DHCP или проблем с работой штатного функционала прошивки я не замечал и как-то специально не настраивал.

Подтверждаю DHCP работал.

Повторюсь про что шла речь.

14 часа назад, Александр Рыжов сказал:

Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату.

 

  • Thanks 1

Share this post


Link to post
Share on other sites

Кто ж неволит? Выполняйте dns-override, если сильно хочется. В данной теме необходимости в этом нет.

10 часов назад, KorDen сказал:

Никаких других эффектов вроде неработающего DHCP или проблем с работой штатного функционала прошивки я не замечал и как-то специально не настраивал.

Ок.

  • Thanks 1

Share this post


Link to post
Share on other sites
Цитата

Вот респект большой вам за тему. А то я никак не мог воткнуть про ентвары и прочее, чтобы установить dnscrypt.

Единственное, у меня вопрос остался - в вашем случае, мы только UDP траф редиректим на 53 порту, а в стандартной настройке днскрипт и тсп траф тоже заворачивается, нет ли какой дыры в вашем решении? Ведь получается тсп запрос на 53 порт изнутри пройдет мимо нашего крипта?

Share this post


Link to post
Share on other sites
7 часов назад, AlexBBB сказал:

Вот респект большой вам за тему. А то я никак не мог воткнуть про ентвары и прочее, чтобы установить dnscrypt.

Единственное, у меня вопрос остался - в вашем случае, мы только UDP траф редиректим на 53 порту, а в стандартной настройке днскрипт и тсп траф тоже заворачивается, нет ли какой дыры в вашем решении? Ведь получается тсп запрос на 53 порт изнутри пройдет мимо нашего крипта?

Для начало нужно разобраться для чего используются UDP и TCP в работе DNS - http://www.securitylab.ru/blog/personal/aodugin/296669.php

  • Thanks 1

Share this post


Link to post
Share on other sites
В 29.03.2017 в 08:18, vasek00 сказал:

Для начало нужно разобраться для чего используются UDP и TCP в работе DNS - http://www.securitylab.ru/blog/personal/aodugin/296669.php

О как. Спасибо за ссылку, теперь ясно ,что если не схватить какого нить бэкдура на  винду, то tcp запрос на 53 порт из локалки практически не реален.

 

Share this post


Link to post
Share on other sites
В 28.02.2017 в 14:43, Александр Рыжов сказал:

Как использовать?

Просто используйте интернет как привыкли, теперь домашние устройства защищены от перехвата и подмены DNS-ответов. Для того, чтобы настройки на любом клиенте вступили в силу, надо очистить на нём DNS-кэш, скажем, с помощью перезагрузки.

Здравствуйте!

Будет ли работать данное решение при использовании skydns?

 

Как я понимаю в обычном режиме работа выглядит так:

host -> keentic -> dns/skydns (если skydns включено - он в приоритете и перехватывает все другие запросы)

 

Как я понимаю работу схемы с перехватом от провайдера:

host -> keentic -> provider (block or allow) -> dns/skydns

 

Как я представляю работу с Вашим способом Александр:

host -> keentic -> provider (crypt не читается и чистый запрос уходит на skydns) -> dns/skydns

Share this post


Link to post
Share on other sites
7 часов назад, eEye сказал:

Как я представляю работу с Вашим способом Александр:

Хост » dnscrypt-proxy на кинетике » сервер dnscrypt.

Т.е. DNS запросы-ответы между кинетиком и сервером шифруются. Для провайдера трафик практически не отличим от HTTPS, поэтому вероятность его перехвата близка к нулю.

Подобные решения современные браузеры используют самостоятельно, не полагаясь на системный резолвер:

DNS-решения из прошивки совместно с этим работать не будут.

Если разработчики когда-нибудь добавят в команду ip name-server возможность указания UDP-порта, то можно будет использовать системный резолвер вместе с dnscrypt-proxy или другими решениями. Пожалуй, напишу feature request.

Share this post


Link to post
Share on other sites

Для информации при схеме

Keenetic ( dnscrypt-proxy ) --- Провайдер --- DNS сервер (указанный в dnscrypt-proxy)

запросы от dnscrypt-proxy до сервера DNS будут иметь шифрованные данные уложенные в пакет UDP единственное что только может чуток указать на это так это порт приема DNS сервером (правда он не 53 но по виду будет понятно)

Скрытый текст

Data (512 bytes): 90e3ce87d09521adb9d3a4aa754aab75de6b2ba13e0b0bbb... ---- запрос

Data (354 bytes): 7236666e76576a38e64c766880644b1564cb1af8154b6480...  ----- ответ

 

Share this post


Link to post
Share on other sites
В 26.06.2017 в 10:10, Александр Рыжов сказал:

Хост » dnscrypt-proxy на кинетике » сервер dnscrypt.

Т.е. DNS запросы-ответы между кинетиком и сервером шифруются. Для провайдера трафик практически не отличим от HTTPS, поэтому вероятность его перехвата близка к нулю.

Подобные решения современные браузеры используют самостоятельно, не полагаясь на системный резолвер:

DNS-решения из прошивки совместно с этим работать не будут.

Если разработчики когда-нибудь добавят в команду ip name-server возможность указания UDP-порта, то можно будет использовать системный резолвер вместе с dnscrypt-proxy или другими решениями. Пожалуй, напишу feature request.

И все равно непонятно (мне как обывателю).

В случае с шифрованием DNS-запросов, skydns на роутере работать будет?

 

p.s. По поводу браузеров, на работе компания MTS (т.е. блокировка роскомнадзоровских сайтов безусловна), так же используется Google Chrome. Сеть и интернет работают через Keenetic + SkyDNS. Сайты запрещённые все равно фильтруются и переадресовываются на страницу компании MTS.

Share this post


Link to post
Share on other sites

Мой ответ от 01.07 можно не учитывать, я перечитал и понял что это невозможно, но! Получил интересный ответ от техподдержки SkyDNS:

 

Цитата

Добрый день!

 
На данный момент нет. Мы занимаемся разработкой поддержки шифрования, но по срокам пока сориентировать не можем.
 
С уважением,
служба технической поддержки SkyDNS
Безопасный интернет начинается здесь
http://www.skydns.ru
тел: 8-800-333-33-72

Т.е. возможно в скором времени получиться подружить dnscrypt и skydns..

Share this post


Link to post
Share on other sites

Наткнулся на проблемку маленькую (думаю прошивка не причем, так как использую схему ниже уже давно, а проблема дня 3-4), проблема с resolv при схеме

dnsmasq весит на 53 и у него в конфиге строка  server=127.0.0.1#65353  далее  запуск dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex

все работает, но на короткое время (несколько минут) перестает работать resolv (сайты не открываются), но потом опять работает и так повторяется, как будто что-то блокируете udp так как данная схеме использует по умолчанию udp протокол (он так же удобен если есть два канала которые оба активны, меньше подтверждений у данного протокола перед TCP).

Хотел подключить загрузку через conf файл но не тут то было нет такой возможности. Оставлял одну запись в  dnscrypt-resolvers.csv сервера
yandex,"Yandex","Yandex public DNS server","Anycast",....:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,

аналогичен результат. По захвату пакетов пакеты с интерфейса роутера в интернет UDP уходят, но не видно получения, может отбрасываются, а может не приходят, менял сервер на cisco получше но не настолько.

Проверю на TCP работу

dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R yandex

Есть  возможность использовать конфиг от dnscrypt-proxy с хорошими настройками но проблема с запускам с конф файлом, просто с

dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

ругнулся на Support for plugins hasn't been compiled in .... .

Скрытый текст

Оригинальный конфиг есть интетесные опции по настройкам.

 

######################################################
#                                                    #
#    Sample configuration file for dnscrypt-proxy    #
#                                                    #
######################################################

############## Resolver settings ##############

## [CHANGE THIS] Short name of the resolver to use
## Usually the only thing you need to change in this configuration file.
## This corresponds to the first column in the dnscrypt-resolvers.csv file.
## Alternatively, "random" (without quotes) picks a random random resolver
## accessible over IPv4, that doesn't log and supports DNSSEC.

ResolverName random


## Full path to the list of available DNSCrypt resolvers (dnscrypt-resolvers.csv)
## An up-to-date list is available here:
## https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv
## and the dnscrypt-update-resolvers.sh script can be used in order to
## automatically download and verify updates.

# ResolversList /usr/local/share/dnscrypt-proxy/dnscrypt-resolvers.csv

## Manual settings, only for a custom resolver not present in the CSV file

# ProviderName    2.dnscrypt.resolver.example
# ProviderKey     E801:B84E:A606:BFB0:BAC0:CE43:445B:B15E:BA64:B02F:A3C4:AA31:AE10:636A:0790:324D
# ResolverAddress 203.0.113.1:443

############## Process options ##############

## [NOT AVAILABLE ON WINDOWS] Run the proxy as a background process.
## Unless you are using systemd, you probably want to change this to "yes"
## after having verified that the rest of the configuration works as expected.

Daemonize no

## Write the PID number to a file

# PidFile /var/run/dnscrypt-proxy.pid

## [NOT AVAILABLE ON WINDOWS] Start the process, bind the required ports, and
## run the server as a less-privileged system user.
## The value for this parameter is a user name.

# User _dnscrypt-proxy

############## Network/protocol settings ##############

## Local address and port to listen to.
## A 127.0.0.x address is recommended for local use, but 0.0.0.0 or
## a specific interface address can be used on a router, or to
## configure a single machine to act as a DNS proxy for different
## devices.
## If the socket is created by systemd, the proxy cannot change the address
## using this option. You should edit systemd's dnscrypt-proxy.socket file
## instead.

# LocalAddress 127.0.0.1:53

## Cache DNS responses to avoid outgoing traffic when the same queries
## are repeated multiple times in a row.

LocalCache on

## Creates a new key pair for every query.
## This prevents logging servers from correlating client public keys with
## IP addresses. However, this option implies extra CPU load, and is not
## very useful with trusted/non-logging servers.

EphemeralKeys off

## Maximum number of active requests waiting for a response.
## Keep it reasonable relative to the expected number of clients.

# MaxActiveRequests 250

## This is the maximum payload size allowed when using the UDP protocol.
## The default is safe, and rarely needs to be changed.

# EDNSPayloadSize 1252

## Ignore the time stamps when checking the certificates
## Do not enable this option ever, unless you know that you need it.

# IgnoreTimestamps no

## Do not send queries using UDP. Only use TCP.
## Even if some resolvers mitigate this, DNS over TCP is almost always slower
## than UDP and doesn't offer additional security.
## Only enable this option if UDP doesn't work on your network.

# TCPOnly no

############## Logging ##############

## Log the received DNS queries to a file, so you can watch in real-time what
## is happening on the network.
## The value for this parameter is a full path to the log file.
## The file name can be prefixed with ltsv: in order to store logs using the
## LTSV format (ex: ltsv:/tmp/dns-queries.log).

# QueryLogFile /tmp/dns-queries.log

## Log file to write server errors and information to.
## If you use this tool for privacy, keeping logs of any kind is usually not
## a good idea.

# LogFile /var/log/dnscrypt-proxy.log

## Don't log events with priority above this log level after the service has
## been started up. Default is 6.
## Valid values are between 0 (critical) to 7 (debug-level messages).

# LogLevel 6

## [NOT AVAILABLE ON WINDOWS] Send server logs to the syslog daemon
## Log entries can optionally be prefixed with a string.

# Syslog       off
# SyslogPrefix dnscrypt

############## Local filtering ##############

## If your network doesn't support IPv6, chances are that your
## applications are still constantly trying to resolve IPv6 addresses,
## causing unnecessary slowdowns.
## This causes the proxy to immediately reply to IPv6 requests,
## without having to send a useless request to upstream resolvers, and
## having to wait for a response.
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.

BlockIPv6 no

## Want to filter ads, malware, sensitive or inappropriate websites and
## domain names? This feature can block lists of IP addresses and names
## matching a list of patterns. The list of rules remains private, and
## the filtering process directly happens on your own network. In order
## to filter IP addresses, the list of IPs has to be put into a text
## file, with one IP address per line. Lists of domain names can also be
## blocked as well. Put the list into a text file, one domain per line.
## Domains can include wildcards (*) in order to match patterns. For
## example *sex* will match any name that contains the sex substring, and
## ads.* will match anything starting with ads. The Internet has plenty
## of free feeds of IP addresses and domain names used for malware,
## phishing and spam that you can use with this feature.
##
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.
##
## To enable, uncomment one of the following definitions:

## Block query names matching the rules stored in that file:
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt"

## Block responses whose IP addresses match IPs stored in that file:
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt"

## Block both domain names and IP addresses:
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt"

## Same as the above + log the blocked queries in a file.
## The log file can be prefixed with ltsv: (ex: ltsv:/tmp/log.txt) in order to
## store logs using the LTSV format.
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"

############## Forwarding ##############

## Forward queries for specific zones to one or more non-DNSCrypt resolvers.
## For instance, this can be used to redirect queries for local domains to
## the router, or queries for an internal domain to an internal DNS server.
## Multiple whitespace-delimited zones and IP addresses can be specified.
## Do not enable this unless you absolutely know you need it.
## If you see useless queries to these zones, you'd better block them with
## the BlackList feature instead of sending them in clear text to the router.
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.

# Forward domains:"test private localdomain lan" to:"192.168.100.254"

############## User identification ##############

## Use a client public key for identification
## By default, the client uses a randomized key pair in order to make tracking
## more difficult. This option does the opposite and uses a static key pair, so
## that DNS providers can offer premium services to queries signed with a known
## set of public keys. A client cannot decrypt the received responses without
## also knowing the secret key.
## The value for this property is the path to a file containing the secret key,
## encoded as a hexadecimal string. The corresponding public key is computed
## automatically.

# ClientKey /etc/dnscrypt-client-secret.key

############## Monitoring ##############

## Do not actually start the proxy, but check that a valid certificate can be
## retrieved from the server and that it will remain valid for the specified
## time period. The process exit code is 0 if a valid certificate can be used,
## 2 if no valid certificates can be used, 3 if a timeout occurred, and 4 if a
## currently valid certificate is going to expire before the given margin.
## Useful in a cron job to monitor your own dnscrypt-servers.
## The margin is specified in minutes.

# Test 2880

############## Recursive configuration ##############

## A configuration file can include other configuration files by inserting
## the `Include` directive anywhere (the full path required, no quotes):

# Include /etc/dnscrypt-proxy-common.conf

 

Edited by vasek00

Share this post


Link to post
Share on other sites
54 минуты назад, vasek00 сказал:

Наткнулся на проблемку маленькую (думаю прошивка не причем, так как использую схему ниже уже давно, а проблема дня 3-4), проблема с resolv при схеме

dnsmasq весит на 53 и у него в конфиге строка  server=127.0.0.1#65353  далее  запуск dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex

Яндексовский dnscrypt-сервер глючит с пятнинцы, можете проверить с помощью dig.

Dnscrypt-proxy при этом стартует без ошибок, но сервер ничего не резолвит.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...