Jump to content
  • 2
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
23 часа назад, cheburashkaDNS сказал:

@Le ecureuil, я бы и не обращал если бы при этом не пропадало интернет соединение. продолжительность сессии не сбрасывается, но связь пропадает на это время.

Надолго пропадает?

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuil, смотрите, я изначально настроил шифрование по протоколу dns-over-https на dns.google и заметил что спорадически раз в сутки стало пропадать интернет-соединение, в журнале в этот момент было сообщение о перезапуске службы, сменил на cloudflare история повторилась. пропадает ровно на время между двумя событиями: остановкой службы и поднятием соединения GigabitEthernet1, по логам можете посмотреть. при этом как уже говорил ресурсы не открываются, а в системном мониторе значится "без доступа в интернет", после возобновления продожительность сессии не сбрасывается. в один момент также я смотрел онлайн потоковый стрим на youtube, когда произошла потеря соединения ни один ресурс не открывался, но при этом сам стрим продолжался в течении нескольких минут до нормализации и это был прямой эфир не предзагруженный в кэш сегмент. сейчас настроил DoT на dns.google и cloudlare пока вторые сутки все нормально, один раз в логе был скоротечный перезапуск но я был оффлайн. 

Edited by cheburashkaDNS

Share this post


Link to post
Share on other sites
  • 0

и такой вопрос
в активных соединениях обнаружил вот таких два чучундрика:

848591941_2020-05-27161615.thumb.jpg.2431dfa74838f1fa24bf83a396cda883.jpg

первый вроде имеет отношение к KeenDNS (хотя я его не настраивал) 
второй какой-то проктор энд гэмбл немецкий http://your-server.de/ 

нормальная активность?

Share this post


Link to post
Share on other sites
  • 0

да, вы абсолютно правы. отключил - пропало.

я так понимаю для полного удаления KeenDNS нужно удалить компонент "Агент облачной службы Keenetic Cloud и KeenDNS" и тогда запросы по порту UDP/4044 прекратятся?

Share this post


Link to post
Share on other sites
  • 0
16 часов назад, cheburashkaDNS сказал:

да, вы абсолютно правы. отключил - пропало.

я так понимаю для полного удаления KeenDNS нужно удалить компонент "Агент облачной службы Keenetic Cloud и KeenDNS" и тогда запросы по порту UDP/4044 прекратятся?

Скорее всего да.

Share this post


Link to post
Share on other sites
  • 0

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0

self-test.txt

Edited by Константин Костин

Share this post


Link to post
Share on other sites
  • 0
On 15.08.2020 at 16:08, Константин Костин said:

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0 

self-test.txt 605,21 kB · 6 загрузок

Вот вроде у Сloudflare можно првоерить работает или нет. https://www.cloudflare.com/ssl/encrypted-sni/

Share this post


Link to post
Share on other sites
  • 0
В 06.11.2019 в 23:37, Le ecureuil сказал:

Так оно уже есть - включаете adguard (или начиная с 3.3 еще и skydns), устанавливаете dot/doh - и вуаля! Вообще никуда не нужно тыкать :)

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

Edited by stefbarinov

Share this post


Link to post
Share on other sites
  • 0
1 час назад, stefbarinov сказал:

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

На скринах ситуация, когда удалены введённые ручками DoT/DoH

Screenshot_1.jpg

Screenshot_2.jpg

Screenshot_3.jpg

Share this post


Link to post
Share on other sites
  • 0

Здравствуйте!

Есть проблемы при работе DNS over HTTPS. Постоянно получаю ошибки в системном журнале: "TLS certificate verify error: Error" (https-dns-proxy)

Хотя при проверке в командной строке через обе команды вроде бы всё работает. (Но, правда иногда, эти 2 команды показывают разные результаты, особенно "show cloudflare-dns availability")...

("show adguard-dns availability" и "show cloudflare-dns availability").

DoT_DoH.png.e6cede4d94218c749c27e315d7d75a52.png

 

Использую следующие сервера:

https://mozilla.cloudflare-dns.com/dns-query и https://dns.google/dns-query

Sys_log.thumb.png.1860f76b3ca8b01bca698454146b144f.png

Вопросы:

1) Что нужно сделать, чтобы избежать ошибки "TLS certificate verify error: Error" (https-dns-proxy) ???

2) Насколько я понимаю, то в полях DNS over TLS и DNS over HTTPS не поддерживается протокол IPv6.

Тогда, планируется ли (и примерно когда?) поддержка IPv6 для DoT и DoH ???

P.S. KeeneticOS: 3.6.1 (последняя, стабильная).

Edited by Nick_

Share this post


Link to post
Share on other sites
  • 0
В 16.03.2021 в 11:57, Le ecureuil сказал:

1) Если все работает, можете пока игнорировать.

ОК. Может быть в следующих версиях KeeneticOS что-нибудь подправят в работе DNS over HTTPS...

В 16.03.2021 в 11:57, Le ecureuil сказал:

2) А зачем IPv6?

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Nick_ сказал:

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

Это кто вам такое сказал? :) И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

Share this post


Link to post
Share on other sites
  • 0
20 часов назад, Le ecureuil сказал:

Это кто вам такое сказал?

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

  

20 часов назад, Le ecureuil сказал:

И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

На мой взгляд дополнительная безопасность не помешает... IMHO. 

 

И ещё вопрос:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Edited by Nick_

Share this post


Link to post
Share on other sites
  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

Это все никак не связано с IPsec, если что. А нагрузка даже повыше в чем-то: аппаратная маршрутизация не везде работает для IPv6.

Share this post


Link to post
Share on other sites
  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

На мой взгляд дополнительная безопасность не помешает... IMHO. 

Не верю, что у вас НАСТОЛЬКО важные DNS запросы, что их нельзя показывать никому в мире. Причем скорее всего с CF или там Quad9 коннектитесь, а что они делают дальше никто не знает.

Share this post


Link to post
Share on other sites
  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Оба используются в равной мере. А вот нешифрованные варианты отключаются полностью.

Share this post


Link to post
Share on other sites
  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Мне для AdguardHome больше нравяться dot, пробовал как и оба так и один doh.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...