Jump to content
  • 41
IgaX

DNS over HTTPs и DNS over TLS. Планируется ли реализация на уровне маршрутизатора?

Question

Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS.

Плюсы:

1) Аналог DNSCrypt, но реализация на уровне прошивки;
2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.;
3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий;
4) Поддержка философии открытого интернета и информационной целостности.

Подробности и желательные настройки (для гибкости):
https://developers.google.com/speed/public-dns/docs/dns-over-https

Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации):
https://github.com/behrooza/dnsd

  • Thanks 7
  • Upvote 4

Share this post


Link to post
Share on other sites

54 answers to this question

  • 0

Вся фишка в том что есть USB порт к которому подключен внешний носитель, например что не влезло в прошивку разместить на внешнем устройстве. На данном форуме уже были некоторые решения если нет желания установить полный пакет Entware.

Share this post


Link to post
Share on other sites
  • 0

В настоящее время 28/04/2018 не большое тестирование скорости работы DNS со стороны клиента ПК при 100Мбит от РТ.

1. при установке рекламированного сервиса от Cloudflare на адресах 1.1.1.1 на ПК в качестве DNS сервера (скрин 1111 первый), после выполнения на ПК команда "ipconfig /flushdns".

Скрытый текст

Final benchmark results, sorted by nameserver performance:
 (average cached name retrieval speed, fastest to slowest)

    8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
  - Uncached Name | 0,036 | 0,098 | 0,295 | 0,070 | 100,0 |
  - DotCom Lookup | 0,045 | 0,067 | 0,188 | 0,041 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com
                 GOOGLE - Google LLC, US

    8.  8.  4.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
  - Uncached Name | 0,035 | 0,110 | 0,376 | 0,090 | 100,0 |
  - DotCom Lookup | 0,045 | 0,056 | 0,148 | 0,018 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com
                 GOOGLE - Google LLC, US

  208. 67.222.123 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,040 | 0,040 | 0,040 | 0,000 | 100,0 |
  - Uncached Name | 0,042 | 0,153 | 0,544 | 0,137 | 100,0 |
  - DotCom Lookup | 0,070 | 0,131 | 0,306 | 0,074 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                resolver1-fs.opendns.com
               OPENDNS - OpenDNS, LLC, US

  208. 67.220.123 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,040 | 0,041 | 0,041 | 0,000 | 100,0 |
  - Uncached Name | 0,043 | 0,148 | 0,521 | 0,139 | 100,0 |
  - DotCom Lookup | 0,071 | 0,155 | 0,309 | 0,067 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                resolver2-fs.opendns.com
               OPENDNS - OpenDNS, LLC, US

  .....
          ··· no official Internet DNS name ···
              ULTRADNS - NeuStar, Inc., US

    4.  2.  2.  6 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,059 | 0,059 | 0,062 | 0,000 | 100,0 |
  - Uncached Name | 0,060 | 0,106 | 0,348 | 0,077 | 100,0 |
  - DotCom Lookup | 0,150 | 0,151 | 0,153 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                 f.resolvers.level3.net
            LEVEL3 - Level 3 Parent, LLC, US

    1.  1.  1.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  + Cached Name   | 0,061 | 0,061 | 0,061 | 0,000 | 100,0 |
  + Uncached Name | 0,062 | 0,100 | 0,303 | 0,071 | 100,0 |
  + DotCom Lookup | 0,062 | 0,063 | 0,063 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com
        MEGAPATH2-US - MegaPath Networks Inc., US

  156.154. 71. 22 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,061 | 0,061 | 0,061 | 0,000 | 100,0 |
  - Uncached Name | 0,061 | 0,130 | 0,377 | 0,093 | 100,0 |
  - DotCom Lookup | 0,063 | 0,077 | 0,159 | 0,028 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+

2. Установка на ПК адреса DNS IP от роутера на котором при использовании dnsmasq в связке с dnscrypt-proxy, так же на ПК команда "ipconfig /flushdns" плюс перезапуск служб dnsmasq с dnscrypt-proxy вот что получилось (скрин 100 второй).

Скрытый текст

DNSCrypt-proxy

[2018-04-28 08:29:09] [NOTICE] Stopped.
[2018-04-28 08:29:10] [NOTICE] Source [public-resolvers.md] loaded
[2018-04-28 08:29:10] [NOTICE] dnscrypt-proxy 2.0.8
[2018-04-28 08:29:10] [NOTICE] Now listening to 127.0.0.2:65153 [UDP]
[2018-04-28 08:29:10] [NOTICE] Now listening to 127.0.0.2:65153 [TCP]
[2018-04-28 08:29:10] [NOTICE] [cpunks-ru] OK (crypto v1) - rtt: 21ms
[2018-04-28 08:29:11] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 50ms
[2018-04-28 08:29:11] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms
[2018-04-28 08:29:11] [NOTICE] Server with the lowest initial latency: cpunks-ru (rtt: 21ms)
[2018-04-28 08:29:11] [NOTICE] dnscrypt-proxy is ready - live servers: 3

 

Final benchmark results, sorted by nameserver performance:
 (average cached name retrieval speed, fastest to slowest)

  192.168.130.100 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  + Cached Name   | 0,000 | 0,000 | 0,000 | 0,000 | 100,0 |
  + Uncached Name | 0,049 | 0,170 | 0,879 | 0,182 | 100,0 |
  + DotCom Lookup | 0,033 | 0,059 | 0,083 | 0,015 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                         My-Keen
                Local Network Nameserver

    8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,015 | 0,015 | 0,015 | 0,000 | 100,0 |
  - Uncached Name | 0,031 | 0,108 | 0,376 | 0,092 | 100,0 |
  - DotCom Lookup | 0,041 | 0,049 | 0,145 | 0,022 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com
              RICE-AS - Rice University, US

    8.  8.  4.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
  - Uncached Name | 0,035 | 0,115 | 0,394 | 0,102 | 100,0 |
  - DotCom Lookup | 0,045 | 0,060 | 0,150 | 0,029 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com
             UK Defence Research Agency, GB

...

  156.154. 70.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,062 | 0,063 | 0,063 | 0,000 | 100,0 |
  - Uncached Name | 0,063 | 0,118 | 0,346 | 0,083 | 100,0 |
  - DotCom Lookup | 0,064 | 0,090 | 0,146 | 0,027 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                   rdns1.ultradns.net
     ISI-AS - University of Southern California, US

    1.  1.  1.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,067 | 0,067 | 0,068 | 0,000 | 100,0 |
  - Uncached Name | 0,068 | 0,112 | 0,312 | 0,076 | 100,0 |
  - DotCom Lookup | 0,068 | 0,069 | 0,069 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com
              RICE-AS - Rice University, US

  156.154. 70. 25 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,068 | 0,069 | 0,069 | 0,000 | 100,0 |
  - Uncached Name | 0,069 | 0,117 | 0,315 | 0,074 | 100,0 |
  - DotCom Lookup | 0,070 | 0,088 | 0,151 | 0,021 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
          ··· no official Internet DNS name ···
     BULL-HN - Bull HN Information Systems Inc., US

 

 

1111.jpg

100.jpg

Share this post


Link to post
Share on other sites
  • 0

Добрый день.

Тоже интересная реализация DoT, создавать прокладку в виде Linux ПК не хочет, удобно если бы маршрутизатор всё делал. Последние модели достаточно мощные, чтобы потянуть такое.

Share this post


Link to post
Share on other sites
  • 0

Вопрос только по latency

server_names = ['cloudflare', 'google', 'adguard-dns', 'yandex']
...
# Use servers implementing the DNSCrypt protocol
dnscrypt_servers = true
# Use servers implementing the DNS-over-HTTPS protocol
doh_servers = true
...
[static.'google']
stamp = 'sdns://AgUAAAAAA.....wZXJpbWVudGFs'

[static.'cloudflare']
stamp = 'sdns://AgcAAAAAAA.....kbnMtcXVlcnk'



[2018-10-27 14:55:55] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 48ms
[2018-10-27 14:56:00] [NOTICE] [cloudflare] OK (DoH) - rtt: 42ms
[2018-10-27 14:56:00] [NOTICE] [google] OK (DoH) - rtt: 56ms
[2018-10-27 14:56:00] [NOTICE] [yandex] OK (crypto v1) - rtt: 28ms
[2018-10-27 14:56:00] [NOTICE] Server with the lowest initial latency: yandex (rtt: 28ms)
[2018-10-27 14:56:00] [NOTICE] dnscrypt-proxy is ready - live servers: 4
....
[2018-10-27 15:56:03] [NOTICE] Server with the lowest initial latency: yandex (rtt: 18ms)
[2018-10-27 16:56:06] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms)
[2018-10-27 17:56:09] [NOTICE] Server with the lowest initial latency: yandex (rtt: 33ms)
[2018-10-27 18:56:12] [NOTICE] Server with the lowest initial latency: yandex (rtt: 23ms)
[2018-10-27 19:56:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms)
[2018-10-27 20:56:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 32ms)
[2018-10-27 21:56:21] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms)
[2018-10-27 22:56:24] [NOTICE] Server with the lowest initial latency: yandex (rtt: 23ms)

Как видно выше

[cloudflare] OK (DoH) - rtt: 42ms
[google] OK (DoH) - rtt: 56ms

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS

Это говорит о том Защищенный DNS в том или ином виде это будущее , и скоро все перейдут точно так же как перешли на HTTPS.
Но DNS это все же не дело браузера, это дело Маршрутизатора.
Так что плюсик поставил, это ИМХО обязательная штука в наше время 

Share this post


Link to post
Share on other sites
  • 0
В 28.10.2018 в 16:35, vasek00 сказал:

 

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Share this post


Link to post
Share on other sites
  • 0
10 минут назад, eEye сказал:

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Второй dnscrypt

https://habr.com/post/427639/

Скрытый текст

DNS over TLS (DoT) — TCP-подключение происходит на порт 853, внутри тоннеля передается обычный DNS-запрос. Провайдер видит, что это DNS запрос но не может в него вмешаться. При прочих равных, в DNS over TLS должно быть чуть меньше накладных расходов на каждый запрос, чем в over HTTPS.

DNS over HTTP (DoH) — TCP-подключение на порт 443, подобно обычному HTTPS. Внутри другой формат запроса, с HTTP-заголовками.

По сути, DNS over HTTPS и over TLS — одно и то же, с немного отличающемся форматом запросов. Оба эти протокола приняты в качестве стандартов и имеют RFC.

в настройках dnscrypt 

# Use servers implementing the DNS-over-HTTPS protocol
doh_servers = true
...
## DoH: Disable TLS session tickets - increases privacy but also latency
# tls_disable_session_tickets = false

## DoH: Use a specific cipher suite instead of the server preference
## 49199 = TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
## 49195 = TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
## 52392 = TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
## 52393 = TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
##
## On non-Intel CPUs such as MIPS routers and ARM systems (Android, Raspberry Pi...),
## the following suite improves performance.
## This may also help on Intel CPUs running 32-bit operating systems.
##
## Keep tls_cipher_suite empty if you have issues fetching sources or
## connecting to some DoH servers. Google and Cloudflare are fine with it.

# tls_cipher_suite = [52392, 49199]
...

 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
1 час назад, eEye сказал:

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Разве dnscrypt-proxy DoT поддерживает?!

Share this post


Link to post
Share on other sites
  • 0

Написал же по конфигу только DoH.

Может кому пригодиться 

https://quad9.net/doh-quad9-dns-servers/

https://quad9.net/

у меня на него "quad9-dnscrypt-ip4-filter-pri"

Скрытый текст

[2018-11-04 22:19:57] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 56ms
[2018-11-04 22:19:57] [NOTICE] [quad9-dnscrypt-ip4-filter-pri] OK (crypto v1) - rtt: 73ms
[2018-11-04 22:19:59] [NOTICE] [yandex] OK (crypto v1) - rtt: 27ms

 

Share this post


Link to post
Share on other sites
  • 0

dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns») 

Share this post


Link to post
Share on other sites
  • 0
В 29.10.2018 в 13:50, hard_alex@mail.ru сказал:

А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS

 

43 минуты назад, r13 сказал:

dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns»)  

Несколькими сообщениями выше и на две недели раньше )

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
В 12.11.2018 в 19:13, hard_alex@mail.ru сказал:

 

Несколькими сообщениями выше и на две недели раньше )

ну лишний раз ткнуть острой палкой кинетик не повредит ;) 

клауды кстати и под ios/android выкатили

0A661012-64BF-4419-B096-486B4B45D282.thumb.png.97b272439e0e86c0d052464fbf68fc6f.png

Edited by r13
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

Тоже жду с нетерпением. Чертовски нужная вещь.

Share this post


Link to post
Share on other sites
  • 0

В качестве workaround'а можете в командной строке прописать общедоступный DNS на нестандартном порту и вычистить провайдерские:

ip name-server 77.88.8.88:1253
interface PPPoE0 ipcp no name-servers
system configuration save

где 77.88.8.88:1253 - Яндекс.DNS базовый, PPPoE0 - имя интерфейса в сторону провайдера.

 

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

@Александр Рыжов А есть от этого какой-то эффект? Провайдеры не мониторят нестандартные порты известных DNS серверов? Или их не анализирует оборудование?

Есть не стандартный порт для 1.1.1.1? Не могу найти.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, Александр Рыжов сказал:

В качестве workaround'а можете в командной строке прописать общедоступный DNS на нестандартном порту и вычистить провайдерские:


ip name-server 77.88.8.88:1253
interface PPPoE0 ipcp no name-servers
system configuration save

где 77.88.8.88:1253 - Яндекс.DNS базовый, PPPoE0 - имя интерфейса в сторону провайдера.

 

Яндекс я заблокировал через hosts. Нашими поисковиками не пользуюсь (Бережёного Бог бережёт)
В качестве DNS использую 8.8.8.8. Интерфейс IpoE. Провайдерские DNS заблокированны давно (ip dhcp client no name-servers).

Вот и выходит, ждать реализации этой возможности, либо на Авито взять Кинетик с USB портом для пакетов.

Edited by cmisha

Share this post


Link to post
Share on other sites
  • 0
10 часов назад, cmisha сказал:

Вот и выходит, ждать реализации этой возможности, либо на Авито взять Кинетик с USB портом для пакетов.

Т.е. другие публичные DNS'ы с нестандартными портами даже не искали.

Ну ОК, продолжайте ждать.

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, Александр Рыжов сказал:

Т.е. другие публичные DNS'ы с нестандартными портами даже не искали.

Ну ОК, продолжайте ждать.

А кроме Яндекса и Cloudflare, какие?

Share this post


Link to post
Share on other sites
  • 0

Доброе утро!

Это не совсем то, что подразумевалось автором темы, но для "домашних" пользователей вполне будет решением.

skydns объявил о планируемом запуске поддержки DoT в своём решении, возможно без танцев с бубном это появится и в приложении. Инфа взята с офф.сайта.

  • Upvote 2

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×