Jump to content

Recommended Posts

1 час назад, vasek00 сказал:

dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

ругнулся на Support for plugins hasn't been compiled in .... .

.

Цитата

https://forum.lede-project.org/t/dnscrypt-proxy-does-not-start/

If you want to use 'block_ipv6' option you need compile dnscrypt-proxy with support for plugins.

 

Тут два варианта: если нужен IPv6 / если нет.

1)пересобрать пакет dnscrypt-proxy  с поддержкой плагинов.

2)закомментировать строку 136 #BlockIPv6 no

в entware/openwrt и т.д при сборки пакетов урезан функционал из за багов/сильной нагрузки на слабое железо и т.д

 

Share this post


Link to post
Share on other sites
2 часа назад, Александр Рыжов сказал:

Яндексовский dnscrypt-сервер глючит с пятнинцы, можете проверить с помощью dig.

Dnscrypt-proxy при этом стартует без ошибок, но сервер ничего не резолвит.

То же подумал, поставил на cisco по стабильней, но так же бывает. Как бы на 1.94 dnscrypt-proxy  попробовать обратно, может получше будет. Пока существенно лучше на

 793 root      4068 S    dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R cisco

увел.число пакетов ~ до 8 = 3 пакета TCP, плюс SSL, плюс TCP, плюс SSL, плюс 2 пакета TCP, по UDP было на много меньше.

Edited by vasek00

Share this post


Link to post
Share on other sites
2 часа назад, Marceline сказал:

Тут два варианта: если нужен IPv6 / если нет.

1)пересобрать пакет dnscrypt-proxy  с поддержкой плагинов.

2)закомментировать строку 136 #BlockIPv6 no

в entware/openwrt и т.д при сборки пакетов урезан функционал из за багов/сильной нагрузки на слабое железо и т.д

 

попробуем еще поковырять заинтересовался

# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log" 

 

Share this post


Link to post
Share on other sites

Сегодня наткнулся на следующие при  --local-address=127.0.0.1:65553 --daemonize -R cisco (с Yandex так и не получилось, причина в том что через некоторое время на посылку от роутера по UDP пакета на его IP:порт от него не приходили ответы или они были но роутер их не показал, так как ppe software/ppe hardware или ни ужто провайдер стал не пропускать пакеты, ну да ладно), далее еще интересней с cisco и вот в чем :

cisco,Cisco OpenDNS,....,208.67.220.220,2.dnscrypt-cert.opendns.com...

 

4    2.577539    IP_роутера    208.67.220.220    QUIC    556    Payload (Encrypted), PKN: 104181ххххххххх7

5    2.789365    208.67.220.220    IP_роутера     QUIC    456    443 → 57933 Len=412[Malformed Packet]

видимо Wireshark не готов к такому повороту или готов но тогда в пакете проблема

Скрытый текст

Frame 5: 456 bytes on wire (3648 bits), 456 bytes captured (3648 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

6    2.794738    IP_роутера    208.67.220.220    QUIC    556    Payload (Encrypted), PKN: 104181ххххххххх7

7    2.834409    IP_роутера    208.67.220.220    QUIC    556    Payload (Encrypted), PKN: 104181ххххххххх7

8    2.994772    208.67.220.220    IP_роутера    QUIC    348    443 → 57933 Len=304[Malformed Packet]

Скрытый текст

Frame 8: 348 bytes on wire (2784 bits), 348 bytes captured (2784 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
    Public Flags: 0x72
    Tag: 6fnv (Unknown Tag)
    Tag Number: 27223
    Padding: 383c
    Tag/value: �P�� (Unknown) (l=34951354)
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

9    3.447203    208.67.220.220     IP_роутера    QUIC    412    443 → 57933 Len=368[Malformed Packet]

10    3.455360    IP_роутера     208.67.220.220    QUIC    556    Payload (Encrypted), PKN: 104181ххххххххх7

11    3.513705    208.67.220.220    IP_роутера     QUIC    284    443 → 57933 Len=240[Malformed Packet]

Скрытый текст

Frame 11: 284 bytes on wire (2272 bits), 284 bytes captured (2272 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
    Public Flags: 0x72
    Tag: 6fnv (Unknown Tag)
    Tag Number: 27223
    Padding: 38b6
    Tag/value: ���� (Unknown) (l=1528123578)
        Tag Type: \357\277\275\357\277\275\357\277\275\357\277\275 (Unknown)
        Tag offset end: 1528123578
        [Tag length: 1528123578]
            [Expert Info (Note/Malformed): Truncated Tag Length...]
                [Truncated Tag Length...]
                [Severity level: Note]
                [Group: Malformed]
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

Удивило применение QUIC как альтернатива UDP в новой редакции или  https://habrahabr.ru/company/infopulse/blog/315172/ но если на это не смотреть то все работает и страницы как то открываются, но огорчает что

Скрытый текст

QuicErrorCodes

The number to code mappings for QuicErrorCodes are currently defined in the Chromium source code in src/net/quic/quic_protocol.h. (TODO: hardcode numbers and add them here)

  • QUIC_NO_ERROR: There was no error. This is not valid for RST_STREAM frames or CONNECTION_CLOSE frames

  • QUIC_STREAM_DATA_AFTER_TERMINATION: There were data frames after the a fin or reset.

  • QUIC_SERVER_ERROR_PROCESSING_STREAM: There was some server error which halted stream processing.

  • QUIC_MULTIPLE_TERMINATION_OFFSETS: The sender received two mismatching fin or reset offsets for a single stream.

  • QUIC_BAD_APPLICATION_PAYLOAD: The sender received bad application data.

  • QUIC_INVALID_PACKET_HEADER: The sender received a malformed packet header.

  • QUIC_INVALID_FRAME_DATA: The sender received an frame data. The more detailed error codes below are prefered where possible.

  • QUIC_INVALID_FEC_DATA: FEC data is malformed.

  • QUIC_INVALID_RST_STREAM_DATA: Stream rst data is malformed

  • QUIC_INVALID_CONNECTION_CLOSE_DATA: Connection close data is malformed.

  • QUIC_INVALID_ACK_DATA: Ack data is malformed.

  • QUIC_DECRYPTION_FAILURE: There was an error decrypting.

  • QUIC_ENCRYPTION_FAILURE: There was an error encrypting.

  • QUIC_PACKET_TOO_LARGE: The packet exceeded MaxPacketSize.

  • QUIC_PACKET_FOR_NONEXISTENT_STREAM: Data was sent for a stream which did not exist.

  • QUIC_CLIENT_GOING_AWAY: The client is going away (browser close, etc.)

  • QUIC_SERVER_GOING_AWAY: The server is going away (restart etc.)

  • QUIC_INVALID_STREAM_ID: A stream ID was invalid.

  • QUIC_TOO_MANY_OPEN_STREAMS: Too many streams already open.

  • QUIC_CONNECTION_TIMED_OUT: We hit our pre-negotiated (or default) timeout

  • QUIC_CRYPTO_TAGS_OUT_OF_ORDER: Handshake message contained out of order tags.

  • QUIC_CRYPTO_TOO_MANY_ENTRIES: Handshake message contained too many entries.

  • QUIC_CRYPTO_INVALID_VALUE_LENGTH: Handshake message contained an invalid value length.

  • QUIC_CRYPTO_MESSAGE_AFTER_HANDSHAKE_COMPLETE: A crypto message was received after the handshake was complete.

  • QUIC_INVALID_CRYPTO_MESSAGE_TYPE: A crypto message was received with an illegal message tag.

  • QUIC_SEQUENCE_NUMBER_LIMIT_REACHED: Transmitting an additional packet would cause a packet number to be reused.

 

  • QUIC_INVALID_PACKET_HEADER: The sender received a malformed packet header.

  • QUIC_INVALID_FEC_DATA: FEC data is malformed.

  • QUIC_INVALID_RST_STREAM_DATA: Stream rst data is malformed

  • QUIC_INVALID_CONNECTION_CLOSE_DATA: Connection close data is malformed.

  • QUIC_INVALID_ACK_DATA: Ack data is malformed.

Все таки ошибка.

https://docs.google.com/document/d/1WJvyZflAO2pq77yOLbp9NsGjC1CHetAXV8I0fQe-B_U/edit#heading=h.cs6n3upsak3e

Edited by vasek00

Share this post


Link to post
Share on other sites
35 минут назад, vasek00 сказал:

Удивило применение QUIC

Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.

Share this post


Link to post
Share on other sites
19 часов назад, IgaX сказал:

Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.

Попробовал на другие сервера - получил на не стандартных портах UDP на 443 QUIC. Возможно так и есть.

 

Share this post


Link to post
Share on other sites

В виду невозможности использовать конфиг для данного релиза DNSCrypt-proxy подправил dnsmasq и сам DNSCrypt-proxy (для пробы пока на два resolver - cisco и d0wn-ru-ns1)

Скрытый текст

dnsmasq.conf

interface=br0
bind-interfaces
listen-address=127.0.0.1, 192.168.1.100
server=127.0.0.1#60053
server=127.0.0.1#60153
no-resolv
addn-hosts=/opt/tmp/hosts0
addn-hosts=/opt/tmp/malwaredom_block.host
addn-hosts=/opt/tmp/mvps_block.host
cache-size=1500

log-queries
log-facility=/opt/var/log/dnsmasq.log
log-async=25

 

S**dnscrypt-proxy (для проверки, пока такой командой star/restart)

#!/bin/sh

ENABLED=yes
PROCS=dnscrypt-proxy
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ARGS="-p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -R cisco"
PREARGS=""
DESC=

. /opt/etc/init.d/rc.func

dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -T -R d0wn-ru-ns1

В результате получили два потока (шифрования) для DNS запросов на разные resolver с разными протоколами - cisco (поток UDP) и d0wn-ru-ns1 (поток TCP)

Скрытый текст

/opt/var/log/dnsmasq.log

Jul 26 11:15:36 dnsmasq[8978]: started, version 2.77test4 cachesize 1500
Jul 26 11:15:36 dnsmasq[8978]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65153
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65053
Jul 26 11:15:36 dnsmasq[8978]: read /opt/etc/hosts - 2 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/mvps_block.host - 13273 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/malwaredom_block.host - 1157 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/hosts0 - 101 addresses

 

/opt/etc/init.d # lsof -ni | grep dnscrypt
dnscrypt- 8642   root    9u  IPv4  29373      0t0  UDP 127.0.0.1:60053
dnscrypt- 8642   root   10u  IPv4  29374      0t0  UDP *:34077
dnscrypt- 8642   root   11u  IPv4  29375      0t0  TCP 127.0.0.1:60053 (LISTEN)
dnscrypt- 8646   root    9u  IPv4  29981      0t0  UDP 127.0.0.1:60153
dnscrypt- 8646   root   11u  IPv4  29983      0t0  TCP 127.0.0.1:60153 (LISTEN)
/opt/etc/init.d #

/ #  ps | grep dns
 5807 nobody    3948 S    dnsmasq
 8642 root      4068 S    dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d  1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -
 8646 root      4068 S    dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d  1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -
/ #

/opt/tmp/dnscrypt-proxy.60153.log

Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1501041 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1501041 is valid from [2017-07-26] to [2017-07-27]
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is 2307:A5C1:A436:A2F7:1FA7:...:EE57
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60153 to 91.214.71.181:443

/opt/tmp/dnscrypt-proxy.60053.log

Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1490488 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1490488 is valid from [2017-03-24] to [2018-03-24]
Wed Jul 26 11:01:45 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:.....:F778
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60053 to 208.67.220.220:443

/proc/8646/net # hostip -r 127.0.0.1 google.com
173.194.32.160
173.194.32.165
173.194.32.168
173.194.32.169
173.194.32.161
173.194.32.174
173.194.32.163
173.194.32.162
173.194.32.167
173.194.32.166
173.194.32.164
/proc/8646/net #

 

 

Share this post


Link to post
Share on other sites

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча

Скрытый текст

no-resolv
interface=br0
bind-interfaces
listen-address=192.168.130.100
server=127.0.0.1#60053

dnscrypt-proxy => 127.0.0.1:65053 --d -R cisco

localhost:38552         localhost:domain        TIME_WAIT 

или

udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2
udp      17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2
udp      17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2
udp      17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2
udp      17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2

а так же пролет запроса DNS не туда куда надо

udp      17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2

из-за 

dnsmasq    907      nobody    4u     IPv4       2691      0t0        UDP 192.168.1.100:domain 
dnsmasq    907      nobody    5u     IPv4       2692      0t0        TCP 192.168.1.100:domain (LISTEN)
dnsmasq    907      nobody    6u     IPv4       2693      0t0        UDP localhost:domain 
dnsmasq    907      nobody    7u     IPv4       2694      0t0        TCP localhost:domain (LISTEN)
dnsmasq    907      nobody    8u     IPv6       2695      0t0        UDP [fe80::...:e2a8]:domain 
dnsmasq    907      nobody    9u     IPv6       2696      0t0        TCP [fe80::...:e2a8]:domain (LISTEN)
dnsmasq    907      nobody   10u     IPv6       2697      0t0        UDP localhost:domain 
dnsmasq    907      nobody   11u     IPv6       2698      0t0        TCP localhost:domain (LISTEN)

Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов  dnsmasq dnscrypt-proxy и библиотек для них в Entware)

1.dnsmasq остаеться со своими настройками

2. https_dns_proxy насраивается на порт 60053  (сервера будут googla)

ARGS="-a 127.0.0.1 -p 65053 -d"

Итак имеем

 9855 nobody    6256 S    https_dns_proxy -a 127.0.0.1 -p 60053 -d

tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 192.168.1.100:domain    0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 localhost:domain        :::*                    LISTEN      907/dnsmasq
tcp        0      0 fe80::.........8:domain :::*                    LISTEN      907/dnsmasq
udp        0      0 localhost:60053         0.0.0.0:*                           9855/https_dns_prox
udp        0      0 localhost:domain        0.0.0.0:*                           907/dnsmasq
udp        0      0 192.168.1.100:domain    0.0.0.0:*                           907/dnsmasq
udp        0      0 localhost:domain        :::*                                907/dnsmasq
udp        0      0 fe80::................8:domain :::*                         907/dnsmasq

 

Share this post


Link to post
Share on other sites
2 часа назад, vasek00 сказал:

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча

  Показать содержимое

no-resolv
interface=br0
bind-interfaces
listen-address=192.168.130.100
server=127.0.0.1#60053

dnscrypt-proxy => 127.0.0.1:65053 --d -R cisco

localhost:38552         localhost:domain        TIME_WAIT 

или


udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2
udp      17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2
udp      17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2
udp      17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2
udp      17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2

а так же пролет запроса DNS не туда куда надо


udp      17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2

из-за 

dnsmasq    907      nobody    4u     IPv4       2691      0t0        UDP 192.168.1.100:domain 
dnsmasq    907      nobody    5u     IPv4       2692      0t0        TCP 192.168.1.100:domain (LISTEN)
dnsmasq    907      nobody    6u     IPv4       2693      0t0        UDP localhost:domain 
dnsmasq    907      nobody    7u     IPv4       2694      0t0        TCP localhost:domain (LISTEN)
dnsmasq    907      nobody    8u     IPv6       2695      0t0        UDP [fe80::...:e2a8]:domain 
dnsmasq    907      nobody    9u     IPv6       2696      0t0        TCP [fe80::...:e2a8]:domain (LISTEN)
dnsmasq    907      nobody   10u     IPv6       2697      0t0        UDP localhost:domain 
dnsmasq    907      nobody   11u     IPv6       2698      0t0        TCP localhost:domain (LISTEN)

Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов  dnsmasq dnscrypt-proxy и библиотек для них в Entware)


1.dnsmasq остаеться со своими настройками

2. https_dns_proxy насраивается на порт 60053  (сервера будут googla)


ARGS="-a 127.0.0.1 -p 65053 -d"

Итак имеем


 9855 nobody    6256 S    https_dns_proxy -a 127.0.0.1 -p 60053 -d

tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 192.168.1.100:domain    0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 localhost:domain        :::*                    LISTEN      907/dnsmasq
tcp        0      0 fe80::.........8:domain :::*                    LISTEN      907/dnsmasq
udp        0      0 localhost:60053         0.0.0.0:*                           9855/https_dns_prox
udp        0      0 localhost:domain        0.0.0.0:*                           907/dnsmasq
udp        0      0 192.168.1.100:domain    0.0.0.0:*                           907/dnsmasq
udp        0      0 localhost:domain        :::*                                907/dnsmasq
udp        0      0 fe80::................8:domain :::*                         907/dnsmasq

 

А что делать с dnscrypt proxy?

Share this post


Link to post
Share on other sites

Я его dnscrypt proxy пока отключил переименовав скрипт запуска S* на K*, и пробую связку dnsmasq+https_dns_proxy

  • Upvote 1

Share this post


Link to post
Share on other sites
В 11.08.2017 в 19:53, vasek00 сказал:

Отлично пашет ... и blacklist-domains c автообновлением списочка поддерживается и white-list , т.е. кто пользуется dnsmasq для фильтрации по hosts - можно не пользоваться ибо теперь dnscrypt-прокси теперь это умеет само. И родной dnscrypt-proxy.conf прекрасно заработал со всеми вкусностями и фичами ! Вот спасибки ! 

+ если rng-tools засетапить то можно воспользоваться и всеми "плюшками" от автора dnscrypt-proxy -> https://github.com/jedisct1/dnscrypt-proxy/tree/master/contrib , чуть-чуть "подшаманив" для zyxelя ... 

И все шустро .... очень шустро работает...   

  • Upvote 1

Share this post


Link to post
Share on other sites
В 10.09.2017 в 21:30, Dorik1972 сказал:

И родной dnscrypt-proxy.conf прекрасно заработал со всеми вкусностями и фичами ! Вот спасибки ! 

Поделитесь опытом как настраивали новую версию dnscrypt. Было бы не плохо отсекать рекламу средствами dnscrypt-proxy. 

Share this post


Link to post
Share on other sites
В 10.09.2017 в 21:30, Dorik1972 сказал:

И родной dnscrypt-proxy.conf

Куда положить файл с настройками? 

Share this post


Link to post
Share on other sites
1 час назад, vlad сказал:

Куда положить файл с настройками? 

Example: dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

Options:

  -R    --resolver-name=...
  -a    --local-address=...
  -d    --daemonize
  -E    --ephemeral-keys
  -K    --client-key=...
  -L    --resolvers-list=...
  -l    --logfile=...
  -m    --loglevel=...
  -p    --pidfile=...
  -X    --plugin=...
  -N    --provider-name=...
  -k    --provider-key=...
  -r    --resolver-address=...
  -S    --syslog
  -Z    --syslog-prefix=...
  -n    --max-active-requests=...
  -u    --user=...
  -t    --test=...
  -T    --tcp-only
  -e    --edns-payload-size=...
  -I    --ignore-timestamps
  -V    --version
  -h    --help

 

  • Upvote 1

Share this post


Link to post
Share on other sites
8 часов назад, vlad сказал:

Куда положить файл с настройками? 


 

dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д.

Запускать из init.d слегка переделанным родным скриптиком, дело в том что при запуске надо как аргумент передавать файл настроек

ENABLED=yes                                                                                                   
PROCS=dnscrypt-proxy                                                                                           
ARGS="/opt/etc/dnscrypt-proxy.conf"   

Соответственно где dnscrypt-proxy.conf "покладете" такой путь и передавать 

По настройке "отсекания" рекламы - так там проще паренной репы в dnscrypt-proxy.conf

BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Собственно опять же .. куда "покладете" туда и путь .... Все обновлялки листов и "чекеры" работоспособности текущих dns-серверов есть на гите (ссылку я давал в предыдущем сообщении)... часть на башике часть на питоне ... там все прозрачно и понятно надо просто организовать периодичность обновления , например раз в неделю  + маленько подкорректировать под наших "зверьков" пути и прочее.... Единственно что я от себя добавил в domains-blacklist.conf

# EasyList
https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt
https://easylist-downloads.adblockplus.org/advblock.txt
https://easylist-downloads.adblockplus.org/adwarefilters.txt
https://easylist-downloads.adblockplus.org/antiadblockfilters.txt
https://easylist-downloads.adblockplus.org/cntblock.txt
https://easylist-downloads.adblockplus.org/bitblock.txt

Ибо данные "листы" наиболее заточены под "кириличный" сегмент сети ))) , ну в моем понимании процесса ..... Остальные - не трогал и оставил как есть.

И еще я в dnscrypt-proxy.conf использую 

ResolverName fvz-anyone 

Просто "мегашустрый" резолвер ... рекомендую попробовать и сравнить с остальными ... + поддержа .namecoin ну то такое .. на любителя ... в общем welcome to OpenNIC :grin: 

p.s. Если надумаете пользоваться скриптом dnscrypt-resolvers-check.sh то будет ругаться на "недоэнтропию" ... решается установкой opkg install rng-tools и добавлением скриптика с организацией запуска при старте "зверька" , в начале не забудьте #!/bin/sh  (формочка на форуме не сохраняет) 

ENABLED=yes                                                                                                            
PROCS=rngd                                                                                                             
ARGS="-r /dev/urandom --pid-file=/opt/var/run/rngd.pid"
PREARGS="" 
DESC=$PROCS                                                                                                            
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin                      
. /opt/etc/init.d/rc.func                                                                                              
                               

p.s.s. https://github.com/jedisct1/dnscrypt-proxy/blob/master/man/dnscrypt-proxy.8.markdown 

p.s.s.s. Архив из вложения распаковать в /opt/etc/ - появится папака dnscrypt-proxy со всеми "адаптированными" под Entware скриптами-обновлялками. Ниже скрипт для crone.weekly для еженедельного обновления .... ( opkg install bash - ну или сами под sh "перецарапайте")

#!/opt/bin/bash                                                                                                        
prefix="/opt"                                                                                                          
PATH=${prefix}/bin:${prefix}/sbin:/sbin:/bin:/usr/sbin:/usr/bin                                                        
                                                                                                                       
/opt/etc/dnscrypt-proxy/dnscrypt-update-resolvers.sh                                                                   
/opt/etc/dnscrypt-proxy/dnscrypt-resolvers-check.sh                                                                    
                                                                                                                       
cd /opt/etc/dnscrypt-proxy/                                                                                            
python generate-domains-blacklist.py > list.txt.tmp && mv -f list.txt.tmp /opt/etc/dnscrypt-blacklist-domains.txt      
                                                                                                                       
/opt/etc/init.d/S57dnscrypt-proxy restart                                                                              
                                                                                                                       
exit

dnscrypt-scrypt.tar.gz

Edited by Dorik1972
добавил скрипты-обновлялки подкорректированные для Entware
  • Upvote 2

Share this post


Link to post
Share on other sites

Спасибо огромное. Думаю ваш развернутый ответ будет полезен не только для меня !! 

Edited by vlad

Share this post


Link to post
Share on other sites

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found 

Не запускается dnscrypt. 

Помогите;))) 

Может еще какие-то пакеты необходимо доустановить? 

Вот что установлено 

 opkg list-installed
bash - 4.3.42-1a
busybox - 1.25.1-2
cron - 4.1-3
curl - 7.54.0-1
dnscrypt-proxy - 1.9.5-4a
dnscrypt-proxy-resolvers - 1.9.5+git-20161129-f17bace-2
dropbear - 2017.75-1a
file - 5.25-1
findutils - 4.6.0-1
glib2 - 2.50.3-1
ldconfig - 2.25-8
libattr - 20160302-1
libblkid - 2.29.2-1
libbz2 - 1.0.6-2
libc - 2.25-8
libcurl - 7.54.0-1
libdb47 - 4.7.25.4.NC-5
libexpat - 2.2.0-1
libffi - 3.2.1-2
libgcc - 6.3.0-8
libgdbm - 1.11-1
libiconv-full - 1.11.1-3
libintl-full - 0.19.8.1-1
libldns - 1.6.17-2
libltdl - 2.4-2
libmagic - 5.25-1
libmount - 2.29.2-1
libncurses - 6.0-1c
libncursesw - 6.0-1c
libndm - 1.1.0-1a
libopenssl - 1.0.2k-1
libpcre - 8.40-2
libpthread - 2.25-8
librt - 2.25-8
libslang2 - 2.3.1a-1
libsodium - 1.0.13-1
libsqlite3 - 3170000-1
libssh2 - 1.7.0-1
libssp - 6.3.0-8
libstdcpp - 6.3.0-8
libuuid - 2.29.2-1
libxml2 - 2.9.4-1
locales - 2.25-8
mc - 4.8.19-1a
nano - 2.7.5-1
ndmq - 1.0.2-1a
opt-ndmsv2 - 1.0-8a
php5 - 5.6.30-1
python - 2.7.13-5
python-base - 2.7.13-5
python-codecs - 2.7.13-5
python-compiler - 2.7.13-5
python-ctypes - 2.7.13-5
python-db - 2.7.13-5
python-decimal - 2.7.13-5
python-distutils - 2.7.13-5
python-email - 2.7.13-5
python-gdbm - 2.7.13-5
python-light - 2.7.13-5
python-logging - 2.7.13-5
python-multiprocessing - 2.7.13-5
python-ncurses - 2.7.13-5
python-openssl - 2.7.13-5
python-pydoc - 2.7.13-5
python-sqlite3 - 2.7.13-5
python-unittest - 2.7.13-5
python-xml - 2.7.13-5
rng-tools - 5-5
terminfo - 6.0-1c
zlib - 1.2.11-1
zoneinfo-asia - 2017b-1
zoneinfo-europe - 2017b-1
~ # 

 

Edited by vlad

Share this post


Link to post
Share on other sites

Python выдает ошибку при попытке подключения к https сайтам из domains-blacklist.conf 

Loading data from [https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt]
[https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt] could not be loaded: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] unknown error (_ssl.c:661)>

Сам себе отвечаю;)) эта проблема решилась путём отката на 2.09

 

Edited by vlad

Share this post


Link to post
Share on other sites
В 01.03.2017 в 21:50, KorDen сказал:

У меня так Unbound (с DNSSEC) стоит уже год

Ув. @KorDenмогли бы вы поделиться инструкцией по установке и настройке unbound в Entware-3x?

Edited by Buha

Share this post


Link to post
Share on other sites
В 17.09.2017 в 16:11, Dorik1972 сказал:

ARGS="/opt/etc/dnscrypt-proxy.conf"

Ответь пожалуйста как вы запустили dnscrypt-proxy положив файл с настройками. Что то никак не могу запустить. 

Share this post


Link to post
Share on other sites
8 минут назад, vlad сказал:

Ответь пожалуйста как вы запустили dnscrypt-proxy положив файл с настройками. Что то никак не могу запустить. 

??? Постов 5-6 тому я выложил все рабочие скрипты взятые прямо с РАБОТАЮЩЕГО "зверька" ? Что значит как ?? 

Вот еще раз содержимое скрипта из папки /opt/etc/init.d/ который запускает dnscrypt-proxy

                                                                                                                       
#!/bin/sh                                                                                                              
                                                                                                                       
ENABLED=yes                                                                                                            
PROCS=dnscrypt-proxy                                                                                                   
ARGS="/opt/etc/dnscrypt-proxy.conf"                                                                                    
PREARGS=""                                                                                                             
DESC=$PROCS                                                                                                            
PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin                                   
                                                                                                                       
. /opt/etc/init.d/rc.func                                                                                              
                              

 ЧТО ТАМ НЕПОНЯТНОГО????

  • Upvote 1

Share this post


Link to post
Share on other sites
6 минут назад, Dorik1972 сказал:

ЧТО ТАМ НЕПОНЯТНОГО????

Извините за назойливость;))) Ровно так и сделал как вы указывали. Не запускается.Ругается на вот эти строки

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found 

Образец dnscrypt-proxy.conf брал с оф сайта. Изменил только ResolverName cisco.

Edited by vlad

Share this post


Link to post
Share on other sites
32 минуты назад, vlad сказал:

Извините за назойливость;))) Ровно так и сделал как вы указывали. Не запускается.Ругается на вот эти строки

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found 

Образец dnscrypt-proxy.conf брал с оф сайта. Изменил только ResolverName cisco.

Лучше бы Вы были не "назойливым", а более внимательным к прочтению МАТЕРИАЛА .... цитирую сам себя :grin: "dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д." .... еще раз ВДУМЧИВО ... гляньте взором на содержимое файла с гита .... особенно на комментарии ПО КАЖДОМУ из пунктов в которых у Вас, якобы ошибка ...  

Вот так ? У Вас ? или ?

ResolverName fvz-anyone
ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv
Daemonize yes
PidFile /opt/var/run/dnscrypt-proxy.pid
LocalAddress <your.keenetic.ip>:65053
LocalCache on
EphemeralKeys off
BlockIPv6 no
BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

 

Edited by Dorik1972
  • Upvote 1

Share this post


Link to post
Share on other sites
26 минут назад, Dorik1972 сказал:

ResolverName fvz-anyone ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv Daemonize yes PidFile /opt/var/run/dnscrypt-proxy.pid LocalAddress <your.keenetic.ip>:65053 LocalCache on EphemeralKeys off BlockIPv6 no BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Хе-хе;)) не так. Незнал что надо путь к pid указывать и с localadres ошибся. Спасибо за напутствие. 

Edited by vlad

Share this post


Link to post
Share on other sites

Приведу еще несколько интересных параметров для использования

...
# ResolverName random
# ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv

# LocalAddress 127.0.0.1:65153
# MaxActiveRequests 250
# EDNSPayloadSize 1252
# IgnoreTimestamps no
# TCPOnly no
# BlockIPv6 no

# QueryLogFile /opt/tmp/dns-queries.log
# LogFile /opt/var/log/dnscrypt-proxy.log
# LogLevel 6
# Syslog       off
# SyslogPrefix dnscrypt

## Block both domain names and IP addresses:
# BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt"

## Same as the above + log the blocked queries in a file.
## The log file can be prefixed with ltsv: (ex: ltsv:/tmp/log.txt) in order to
# BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"
# BlackList ips:"/opt/etc/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"
# BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"

По смыслу имен боле менее понятно назначение.

 

17 часов назад, vlad сказал:

Рекламу режет лучше чем вариант с dnsmasq. 

Не поделитесь наработкой в чем лучше по резке рекламы?

  • Upvote 1

Share this post


Link to post
Share on other sites
1 час назад, vasek00 сказал:

Не поделитесь наработкой в чем лучше по резке рекламы?

Открывал определенные сайты на которых реклама оставался при работе dnsmasq. Список хостов брал отсюда 

wget -O /opt/etc/hosts http://winhelp2002.mvps.org/hosts.txt

После Настройки dnscrypt-proxy с block domains рекламы с этих сайтов вырезалась. Пример nnm-club. 

Рабочий конфиг

ResolverName random

ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv

Daemonize yes

PidFile /opt/var/run/dnscrypt-proxy.pid

LocalAddress 192.168.1.19:65053

LocalCache on

EphemeralKeys off

BlockIPv6 yes

BlackList domains:"/opt/tmp/blk-names"

EDNSPayloadSize 1252

QueryLogFile /opt/var/log/dns-queries.log

LogFile /opt/var/log/dnscrypt-proxy.log

LogLevel 6

BlackList domains:"/opt/tmp/blk-names" logfile:"/opt/var/log/dnscrypt-blocked.log"

 

Share this post


Link to post
Share on other sites

Возможно список хостов в dnsmasq был не полный..занимал около 400 кб. А список block domains весит 1.59 мб. И чисто субъективно после замены dnsmasq на dnscrypt в качестве блокировщика рекламы сайты стали шустрее открываться. Dnsmasq снёс. 

Edited by vlad

Share this post


Link to post
Share on other sites
39 минут назад, vlad сказал:

Возможно список хостов в dnsmasq был не полный..занимал около 400 кб. А список block domains весит 1.59 мб. И чисто субъективно после замены dnsmasq на dnscrypt в качестве блокировщика рекламы сайты стали шустрее открываться. Dnsmasq снёс. 

Как вы правильно отметили все зависит от списка который нужно фильтровать - "malwaredom_block" - 1157 записей, "mvps_block" - 13237 создавались на основе

Скрытый текст

"http://winhelp2002.mvps.org/hosts.txt"
"http://jansal.googlecode.com/svn/trunk/adblock/hosts"
"http://adblock.gjtech.net/?format=hostfile"
"http://www.hostsfile.org/Downloads/hosts.txt"

wget -qO- http://www.mvps.org/winhelp2002/hosts.txt| sed 's/0.0.0.0/127.0.0.1/g' |grep "^127.0.0.1" > /opt/tmp/block.host
wget -qO- http://www.malwaredomainlist.com/hostslist/hosts.txt|grep "^127.0.0.1" >> /opt/tmp/block.host
wget -qO- "http://adaway.org/hosts.txt"|grep "^127.0.0.1" >> /opt/tmp/block.host
wget -qO- "http://www.malwaredomainlist.com/hostslist/hosts.txt"|grep "^127.0.0.1" >> /opt/tmp/block.host

Судя по вашему ответу

Цитата

Dnsmasq снёс

Предполагаю у вас родной DNS + dnscrypt.

Только остановлюсь на маленькой справке по работе связки - DNSmasq + dnscrypt (без всяких пере направлений 53->5353, а сразу DNSmasq на 53 - "opkg dns-override" ). От клиента приходит запрос на 53 который контролирует DNSmasq, сопоставляя запрос со списком фильтрации он принимает решение отправить сразу моментально ответ клиенту или согласно двум записям (или одной server=) отправить его далее на локальный сервис dnscrypt который уже сразу отправляет (тут не используется не какой список, а только функции шифрованного запроса). Так же учтем работу cache который есть везде DNSmasq ключ "cache-size=1500" или даже "cache-size=0" и на клиенте Windows или другом.

Share this post


Link to post
Share on other sites
16 минут назад, vasek00 сказал:

Предполагаю у вас родной DNS + dnscrypt.

dns от провайдера отключил командой из cli. У меня сейчас работает dnscrypt-proxy плюс два правила в iptables. 

Я не совсем понял,получается через dnsmasq должно быстрее работать?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...