Jump to content
  • 70

DNS over HTTPS и DNS over TLS


IgaX

Question

Recommended Posts

  • 0
13 часа назад, Le ecureuil сказал:

А размер бинарника сколько?

В верху же было

Цитата

dnscrypt-   604         root  txt       REG        8,2  7126368       2257 /opt/sbin/dnscrypt-proxy2

7126368 - dnscrypt-proxy2

Link to comment
Share on other sites

  • 0

Вся фишка в том что есть USB порт к которому подключен внешний носитель, например что не влезло в прошивку разместить на внешнем устройстве. На данном форуме уже были некоторые решения если нет желания установить полный пакет Entware.

Link to comment
Share on other sites

  • 0

В настоящее время 28/04/2018 не большое тестирование скорости работы DNS со стороны клиента ПК при 100Мбит от РТ.

1. при установке рекламированного сервиса от Cloudflare на адресах 1.1.1.1 на ПК в качестве DNS сервера (скрин 1111 первый), после выполнения на ПК команда "ipconfig /flushdns".

Скрытый текст

Final benchmark results, sorted by nameserver performance:
 (average cached name retrieval speed, fastest to slowest)

    8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
  - Uncached Name | 0,036 | 0,098 | 0,295 | 0,070 | 100,0 |
  - DotCom Lookup | 0,045 | 0,067 | 0,188 | 0,041 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com
                 GOOGLE - Google LLC, US

    8.  8.  4.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
  - Uncached Name | 0,035 | 0,110 | 0,376 | 0,090 | 100,0 |
  - DotCom Lookup | 0,045 | 0,056 | 0,148 | 0,018 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com
                 GOOGLE - Google LLC, US

  208. 67.222.123 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,040 | 0,040 | 0,040 | 0,000 | 100,0 |
  - Uncached Name | 0,042 | 0,153 | 0,544 | 0,137 | 100,0 |
  - DotCom Lookup | 0,070 | 0,131 | 0,306 | 0,074 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                resolver1-fs.opendns.com
               OPENDNS - OpenDNS, LLC, US

  208. 67.220.123 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,040 | 0,041 | 0,041 | 0,000 | 100,0 |
  - Uncached Name | 0,043 | 0,148 | 0,521 | 0,139 | 100,0 |
  - DotCom Lookup | 0,071 | 0,155 | 0,309 | 0,067 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                resolver2-fs.opendns.com
               OPENDNS - OpenDNS, LLC, US

  .....
          ··· no official Internet DNS name ···
              ULTRADNS - NeuStar, Inc., US

    4.  2.  2.  6 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,059 | 0,059 | 0,062 | 0,000 | 100,0 |
  - Uncached Name | 0,060 | 0,106 | 0,348 | 0,077 | 100,0 |
  - DotCom Lookup | 0,150 | 0,151 | 0,153 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                 f.resolvers.level3.net
            LEVEL3 - Level 3 Parent, LLC, US

    1.  1.  1.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  + Cached Name   | 0,061 | 0,061 | 0,061 | 0,000 | 100,0 |
  + Uncached Name | 0,062 | 0,100 | 0,303 | 0,071 | 100,0 |
  + DotCom Lookup | 0,062 | 0,063 | 0,063 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com
        MEGAPATH2-US - MegaPath Networks Inc., US

  156.154. 71. 22 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,061 | 0,061 | 0,061 | 0,000 | 100,0 |
  - Uncached Name | 0,061 | 0,130 | 0,377 | 0,093 | 100,0 |
  - DotCom Lookup | 0,063 | 0,077 | 0,159 | 0,028 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+

2. Установка на ПК адреса DNS IP от роутера на котором при использовании dnsmasq в связке с dnscrypt-proxy, так же на ПК команда "ipconfig /flushdns" плюс перезапуск служб dnsmasq с dnscrypt-proxy вот что получилось (скрин 100 второй).

Скрытый текст

DNSCrypt-proxy

[2018-04-28 08:29:09] [NOTICE] Stopped.
[2018-04-28 08:29:10] [NOTICE] Source [public-resolvers.md] loaded
[2018-04-28 08:29:10] [NOTICE] dnscrypt-proxy 2.0.8
[2018-04-28 08:29:10] [NOTICE] Now listening to 127.0.0.2:65153 [UDP]
[2018-04-28 08:29:10] [NOTICE] Now listening to 127.0.0.2:65153 [TCP]
[2018-04-28 08:29:10] [NOTICE] [cpunks-ru] OK (crypto v1) - rtt: 21ms
[2018-04-28 08:29:11] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 50ms
[2018-04-28 08:29:11] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms
[2018-04-28 08:29:11] [NOTICE] Server with the lowest initial latency: cpunks-ru (rtt: 21ms)
[2018-04-28 08:29:11] [NOTICE] dnscrypt-proxy is ready - live servers: 3

 

Final benchmark results, sorted by nameserver performance:
 (average cached name retrieval speed, fastest to slowest)

  192.168.130.100 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  + Cached Name   | 0,000 | 0,000 | 0,000 | 0,000 | 100,0 |
  + Uncached Name | 0,049 | 0,170 | 0,879 | 0,182 | 100,0 |
  + DotCom Lookup | 0,033 | 0,059 | 0,083 | 0,015 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                         My-Keen
                Local Network Nameserver

    8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,015 | 0,015 | 0,015 | 0,000 | 100,0 |
  - Uncached Name | 0,031 | 0,108 | 0,376 | 0,092 | 100,0 |
  - DotCom Lookup | 0,041 | 0,049 | 0,145 | 0,022 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com
              RICE-AS - Rice University, US

    8.  8.  4.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
  - Uncached Name | 0,035 | 0,115 | 0,394 | 0,102 | 100,0 |
  - DotCom Lookup | 0,045 | 0,060 | 0,150 | 0,029 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com
             UK Defence Research Agency, GB

...

  156.154. 70.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,062 | 0,063 | 0,063 | 0,000 | 100,0 |
  - Uncached Name | 0,063 | 0,118 | 0,346 | 0,083 | 100,0 |
  - DotCom Lookup | 0,064 | 0,090 | 0,146 | 0,027 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                   rdns1.ultradns.net
     ISI-AS - University of Southern California, US

    1.  1.  1.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,067 | 0,067 | 0,068 | 0,000 | 100,0 |
  - Uncached Name | 0,068 | 0,112 | 0,312 | 0,076 | 100,0 |
  - DotCom Lookup | 0,068 | 0,069 | 0,069 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com
              RICE-AS - Rice University, US

  156.154. 70. 25 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,068 | 0,069 | 0,069 | 0,000 | 100,0 |
  - Uncached Name | 0,069 | 0,117 | 0,315 | 0,074 | 100,0 |
  - DotCom Lookup | 0,070 | 0,088 | 0,151 | 0,021 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
          ··· no official Internet DNS name ···
     BULL-HN - Bull HN Information Systems Inc., US

 

 

1111.jpg

100.jpg

Link to comment
Share on other sites

  • 0

Добрый день.

Тоже интересная реализация DoT, создавать прокладку в виде Linux ПК не хочет, удобно если бы маршрутизатор всё делал. Последние модели достаточно мощные, чтобы потянуть такое.

Link to comment
Share on other sites

  • 0

Вопрос только по latency

server_names = ['cloudflare', 'google', 'adguard-dns', 'yandex']
...
# Use servers implementing the DNSCrypt protocol
dnscrypt_servers = true
# Use servers implementing the DNS-over-HTTPS protocol
doh_servers = true
...
[static.'google']
stamp = 'sdns://AgUAAAAAA.....wZXJpbWVudGFs'

[static.'cloudflare']
stamp = 'sdns://AgcAAAAAAA.....kbnMtcXVlcnk'



[2018-10-27 14:55:55] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 48ms
[2018-10-27 14:56:00] [NOTICE] [cloudflare] OK (DoH) - rtt: 42ms
[2018-10-27 14:56:00] [NOTICE] [google] OK (DoH) - rtt: 56ms
[2018-10-27 14:56:00] [NOTICE] [yandex] OK (crypto v1) - rtt: 28ms
[2018-10-27 14:56:00] [NOTICE] Server with the lowest initial latency: yandex (rtt: 28ms)
[2018-10-27 14:56:00] [NOTICE] dnscrypt-proxy is ready - live servers: 4
....
[2018-10-27 15:56:03] [NOTICE] Server with the lowest initial latency: yandex (rtt: 18ms)
[2018-10-27 16:56:06] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms)
[2018-10-27 17:56:09] [NOTICE] Server with the lowest initial latency: yandex (rtt: 33ms)
[2018-10-27 18:56:12] [NOTICE] Server with the lowest initial latency: yandex (rtt: 23ms)
[2018-10-27 19:56:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms)
[2018-10-27 20:56:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 32ms)
[2018-10-27 21:56:21] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms)
[2018-10-27 22:56:24] [NOTICE] Server with the lowest initial latency: yandex (rtt: 23ms)

Как видно выше

[cloudflare] OK (DoH) - rtt: 42ms
[google] OK (DoH) - rtt: 56ms

  • Upvote 1
Link to comment
Share on other sites

  • 0

А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS

Это говорит о том Защищенный DNS в том или ином виде это будущее , и скоро все перейдут точно так же как перешли на HTTPS.
Но DNS это все же не дело браузера, это дело Маршрутизатора.
Так что плюсик поставил, это ИМХО обязательная штука в наше время 

Link to comment
Share on other sites

  • 0
В 28.10.2018 в 16:35, vasek00 сказал:

 

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Link to comment
Share on other sites

  • 0
10 минут назад, eEye сказал:

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Второй dnscrypt

https://habr.com/post/427639/

Скрытый текст

DNS over TLS (DoT) — TCP-подключение происходит на порт 853, внутри тоннеля передается обычный DNS-запрос. Провайдер видит, что это DNS запрос но не может в него вмешаться. При прочих равных, в DNS over TLS должно быть чуть меньше накладных расходов на каждый запрос, чем в over HTTPS.

DNS over HTTP (DoH) — TCP-подключение на порт 443, подобно обычному HTTPS. Внутри другой формат запроса, с HTTP-заголовками.

По сути, DNS over HTTPS и over TLS — одно и то же, с немного отличающемся форматом запросов. Оба эти протокола приняты в качестве стандартов и имеют RFC.

в настройках dnscrypt 

# Use servers implementing the DNS-over-HTTPS protocol
doh_servers = true
...
## DoH: Disable TLS session tickets - increases privacy but also latency
# tls_disable_session_tickets = false

## DoH: Use a specific cipher suite instead of the server preference
## 49199 = TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
## 49195 = TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
## 52392 = TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
## 52393 = TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
##
## On non-Intel CPUs such as MIPS routers and ARM systems (Android, Raspberry Pi...),
## the following suite improves performance.
## This may also help on Intel CPUs running 32-bit operating systems.
##
## Keep tls_cipher_suite empty if you have issues fetching sources or
## connecting to some DoH servers. Google and Cloudflare are fine with it.

# tls_cipher_suite = [52392, 49199]
...

 

  • Upvote 1
Link to comment
Share on other sites

  • 0
1 час назад, eEye сказал:

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Разве dnscrypt-proxy DoT поддерживает?!

Link to comment
Share on other sites

  • 0

Написал же по конфигу только DoH.

Может кому пригодиться 

https://quad9.net/doh-quad9-dns-servers/

https://quad9.net/

у меня на него "quad9-dnscrypt-ip4-filter-pri"

Скрытый текст

[2018-11-04 22:19:57] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 56ms
[2018-11-04 22:19:57] [NOTICE] [quad9-dnscrypt-ip4-filter-pri] OK (crypto v1) - rtt: 73ms
[2018-11-04 22:19:59] [NOTICE] [yandex] OK (crypto v1) - rtt: 27ms

 

Link to comment
Share on other sites

  • 0

dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns») 

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 29.10.2018 в 13:50, hard_alex@mail.ru сказал:

А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS

 

43 минуты назад, r13 сказал:

dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns»)  

Несколькими сообщениями выше и на две недели раньше )

  • Upvote 1
Link to comment
Share on other sites

  • 0
В 12.11.2018 в 19:13, hard_alex@mail.ru сказал:

 

Несколькими сообщениями выше и на две недели раньше )

ну лишний раз ткнуть острой палкой кинетик не повредит ;) 

клауды кстати и под ios/android выкатили

0A661012-64BF-4419-B096-486B4B45D282.thumb.png.97b272439e0e86c0d052464fbf68fc6f.png

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

  • 0

В качестве workaround'а можете в командной строке прописать общедоступный DNS на нестандартном порту и вычистить провайдерские:

ip name-server 77.88.8.88:1253
interface PPPoE0 ipcp no name-servers
system configuration save

где 77.88.8.88:1253 - Яндекс.DNS базовый, PPPoE0 - имя интерфейса в сторону провайдера.

 

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

  • 0

@Александр Рыжов А есть от этого какой-то эффект? Провайдеры не мониторят нестандартные порты известных DNS серверов? Или их не анализирует оборудование?

Есть не стандартный порт для 1.1.1.1? Не могу найти.

Edited by keenet07
Link to comment
Share on other sites

  • 0
3 часа назад, Александр Рыжов сказал:

В качестве workaround'а можете в командной строке прописать общедоступный DNS на нестандартном порту и вычистить провайдерские:


ip name-server 77.88.8.88:1253
interface PPPoE0 ipcp no name-servers
system configuration save

где 77.88.8.88:1253 - Яндекс.DNS базовый, PPPoE0 - имя интерфейса в сторону провайдера.

 

Яндекс я заблокировал через hosts. Нашими поисковиками не пользуюсь (Бережёного Бог бережёт)
В качестве DNS использую 8.8.8.8. Интерфейс IpoE. Провайдерские DNS заблокированны давно (ip dhcp client no name-servers).

Вот и выходит, ждать реализации этой возможности, либо на Авито взять Кинетик с USB портом для пакетов.

Edited by cmisha
Link to comment
Share on other sites

  • 0
10 часов назад, cmisha сказал:

Вот и выходит, ждать реализации этой возможности, либо на Авито взять Кинетик с USB портом для пакетов.

Т.е. другие публичные DNS'ы с нестандартными портами даже не искали.

Ну ОК, продолжайте ждать.

Link to comment
Share on other sites

  • 0
3 часа назад, Александр Рыжов сказал:

Т.е. другие публичные DNS'ы с нестандартными портами даже не искали.

Ну ОК, продолжайте ждать.

А кроме Яндекса и Cloudflare, какие?

Link to comment
Share on other sites

  • 0

Доброе утро!

Это не совсем то, что подразумевалось автором темы, но для "домашних" пользователей вполне будет решением.

skydns объявил о планируемом запуске поддержки DoT в своём решении, возможно без танцев с бубном это появится и в приложении. Инфа взята с офф.сайта.

  • Upvote 2
Link to comment
Share on other sites

  • 0

Плюсуюсь, провайдерские DNS отключены, на винде пользуюсь simplednscrypt и хотел бы видеть поддержку DoH в роутере. Интересно насколько вариант behrooza из первого поста оптимизирован? Понятна критика некоторых что DoH требует больше накладных расходов, поэтому хорошо бы все было максимально оптимизировано и был persistent HTTPS канал с сервером, чтобы не переустанавливать соединение без необходимости

Edited by john ibsuser
Link to comment
Share on other sites

  • 0
В 19.11.2018 в 19:23, Le ecureuil сказал:

Думаем над этим.

В итоге планируется ли реализация в ближайших релизах ?

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...