Jump to content
  • 2
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
23 часа назад, cheburashkaDNS сказал:

@Le ecureuil, я бы и не обращал если бы при этом не пропадало интернет соединение. продолжительность сессии не сбрасывается, но связь пропадает на это время.

Надолго пропадает?

Share this post


Link to post
Share on other sites

  • 0

@Le ecureuil, смотрите, я изначально настроил шифрование по протоколу dns-over-https на dns.google и заметил что спорадически раз в сутки стало пропадать интернет-соединение, в журнале в этот момент было сообщение о перезапуске службы, сменил на cloudflare история повторилась. пропадает ровно на время между двумя событиями: остановкой службы и поднятием соединения GigabitEthernet1, по логам можете посмотреть. при этом как уже говорил ресурсы не открываются, а в системном мониторе значится "без доступа в интернет", после возобновления продожительность сессии не сбрасывается. в один момент также я смотрел онлайн потоковый стрим на youtube, когда произошла потеря соединения ни один ресурс не открывался, но при этом сам стрим продолжался в течении нескольких минут до нормализации и это был прямой эфир не предзагруженный в кэш сегмент. сейчас настроил DoT на dns.google и cloudlare пока вторые сутки все нормально, один раз в логе был скоротечный перезапуск но я был оффлайн. 

Edited by cheburashkaDNS

Share this post


Link to post
Share on other sites

  • 0

и такой вопрос
в активных соединениях обнаружил вот таких два чучундрика:

848591941_2020-05-27161615.thumb.jpg.2431dfa74838f1fa24bf83a396cda883.jpg

первый вроде имеет отношение к KeenDNS (хотя я его не настраивал) 
второй какой-то проктор энд гэмбл немецкий http://your-server.de/ 

нормальная активность?

Share this post


Link to post
Share on other sites

  • 0

да, вы абсолютно правы. отключил - пропало.

я так понимаю для полного удаления KeenDNS нужно удалить компонент "Агент облачной службы Keenetic Cloud и KeenDNS" и тогда запросы по порту UDP/4044 прекратятся?

Share this post


Link to post
Share on other sites

  • 0
16 часов назад, cheburashkaDNS сказал:

да, вы абсолютно правы. отключил - пропало.

я так понимаю для полного удаления KeenDNS нужно удалить компонент "Агент облачной службы Keenetic Cloud и KeenDNS" и тогда запросы по порту UDP/4044 прекратятся?

Скорее всего да.

Share this post


Link to post
Share on other sites

  • 0

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0

self-test.txt

Edited by Константин Костин

Share this post


Link to post
Share on other sites

  • 0
On 15.08.2020 at 16:08, Константин Костин said:

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0 

self-test.txt 605,21 kB · 6 загрузок

Вот вроде у Сloudflare можно првоерить работает или нет. https://www.cloudflare.com/ssl/encrypted-sni/

Share this post


Link to post
Share on other sites

  • 0
В 06.11.2019 в 23:37, Le ecureuil сказал:

Так оно уже есть - включаете adguard (или начиная с 3.3 еще и skydns), устанавливаете dot/doh - и вуаля! Вообще никуда не нужно тыкать :)

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

Edited by stefbarinov

Share this post


Link to post
Share on other sites

  • 0
1 час назад, stefbarinov сказал:

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

На скринах ситуация, когда удалены введённые ручками DoT/DoH

Screenshot_1.jpg

Screenshot_2.jpg

Screenshot_3.jpg

Share this post


Link to post
Share on other sites

  • 0

Здравствуйте!

Есть проблемы при работе DNS over HTTPS. Постоянно получаю ошибки в системном журнале: "TLS certificate verify error: Error" (https-dns-proxy)

Хотя при проверке в командной строке через обе команды вроде бы всё работает. (Но, правда иногда, эти 2 команды показывают разные результаты, особенно "show cloudflare-dns availability")...

("show adguard-dns availability" и "show cloudflare-dns availability").

DoT_DoH.png.e6cede4d94218c749c27e315d7d75a52.png

 

Использую следующие сервера:

https://mozilla.cloudflare-dns.com/dns-query и https://dns.google/dns-query

Sys_log.thumb.png.1860f76b3ca8b01bca698454146b144f.png

Вопросы:

1) Что нужно сделать, чтобы избежать ошибки "TLS certificate verify error: Error" (https-dns-proxy) ???

2) Насколько я понимаю, то в полях DNS over TLS и DNS over HTTPS не поддерживается протокол IPv6.

Тогда, планируется ли (и примерно когда?) поддержка IPv6 для DoT и DoH ???

P.S. KeeneticOS: 3.6.1 (последняя, стабильная).

Edited by Nick_

Share this post


Link to post
Share on other sites

  • 0
В 16.03.2021 в 11:57, Le ecureuil сказал:

1) Если все работает, можете пока игнорировать.

ОК. Может быть в следующих версиях KeeneticOS что-нибудь подправят в работе DNS over HTTPS...

В 16.03.2021 в 11:57, Le ecureuil сказал:

2) А зачем IPv6?

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

Share this post


Link to post
Share on other sites

  • 0
1 час назад, Nick_ сказал:

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

Это кто вам такое сказал? :) И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

Share this post


Link to post
Share on other sites

  • 0
20 часов назад, Le ecureuil сказал:

Это кто вам такое сказал?

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

  

20 часов назад, Le ecureuil сказал:

И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

На мой взгляд дополнительная безопасность не помешает... IMHO. 

 

И ещё вопрос:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Edited by Nick_

Share this post


Link to post
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

Это все никак не связано с IPsec, если что. А нагрузка даже повыше в чем-то: аппаратная маршрутизация не везде работает для IPv6.

Share this post


Link to post
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

На мой взгляд дополнительная безопасность не помешает... IMHO. 

Не верю, что у вас НАСТОЛЬКО важные DNS запросы, что их нельзя показывать никому в мире. Причем скорее всего с CF или там Quad9 коннектитесь, а что они делают дальше никто не знает.

Share this post


Link to post
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Оба используются в равной мере. А вот нешифрованные варианты отключаются полностью.

Share this post


Link to post
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Мне для AdguardHome больше нравяться dot, пробовал как и оба так и один doh.

Share this post


Link to post
Share on other sites

  • 0
В 16.03.2021 в 10:31, Nick_ сказал:

Есть проблемы при работе DNS over HTTPS. Постоянно получаю ошибки в системном журнале: "TLS certificate verify error: Error" (https-dns-proxy)

Всем привет.

Имею такую же ошибку https-dns-proxy TLS certificate verify error: Error

Не обращал внимания пока сегодня не отвалилось разрешение имен через интернет фильтр cloudflare-dns.com. 

Если профиль фильтрации отключить  и перейти на DoT  то  имена резолвятся на ура.

Куда копать ?

 

 

  • Upvote 1

Share this post


Link to post
Share on other sites

  • 0
4 часа назад, Andrey Mindrin сказал:

Всем привет.

Имею такую же ошибку https-dns-proxy TLS certificate verify error: Error

Не обращал внимания пока сегодня не отвалилось разрешение имен через интернет фильтр cloudflare-dns.com. 

Если профиль фильтрации отключить  и перейти на DoT  то  имена резолвятся на ура.

Куда копать ?

 

Не Ваш случай?:

Цитата

 

 

Share this post


Link to post
Share on other sites

  • 0

С обновлением на 3.7 Alpha 9 началась такая шляпа и из-за этого страницы с глюками открываются периодически.

image.png
 

Spoiler

А почему бы основу прошивок не перевести там на, например, Windows IoT? Столько проблем разом решилось и за одно выделяться на рынке можно мощно.

 

Edited by funkerwolf
  • Confused 1

Share this post


Link to post
Share on other sites

  • 0

Привет. Подскажите пожалуйста: Я установил стандартный компонент DOH-proxy, прописал DOH-сервер Adguard, смотрю активные соединения и из сети провайдера идёт трафик к Adguard-DNS по 443 порту. НО, раз приблизительно в 3 минуты идут запросы к стандартным серверам моего провайдера по порту 53. Это нормально? Причём шлёт их видимо сам роутер, по скольку из домашней сети все dns-запросы идут только к 192.168.1.1 (Роутеру) по udp/53 порту.

Share this post


Link to post
Share on other sites

  • 0
34 минуты назад, Mihail_Boyanskiy сказал:

Привет. Подскажите пожалуйста: Я установил стандартный компонент DOH-proxy, прописал DOH-сервер Adguard, смотрю активные соединения и из сети провайдера идёт трафик к Adguard-DNS по 443 порту. НО, раз приблизительно в 3 минуты идут запросы к стандартным серверам моего провайдера по порту 53. Это нормально? Причём шлёт их видимо сам роутер, по скольку из домашней сети все dns-запросы идут только к 192.168.1.1 (Роутеру) по udp/53 порту.

Да, несколько служебных открытых DNS запросов роутер будет периодически слать при работе DOH. Это нормально. Основной трафик к DNS внутри DOH.

Вот вам https://www.dnsleaktest.com

Edited by keenet07

Share this post


Link to post
Share on other sites

  • 0
2 часа назад, keenet07 сказал:

Да, несколько служебных открытых DNS запросов роутер будет периодически слать при работе DOH. Это нормально. Основной трафик к DNS внутри DOH.

Вот вам https://www.dnsleaktest.com

 

Ага, тут возникает следующий вопрос, если честно хотелось бы даже услышать мнение разработчиков.

При работе Adgurrd-DNS через HTTPS роутер шлёт запросы через разные DNS.

Ниже напишу через какие.

В разделе проводные подключения, там где провайдер, я удалил все DNS и поставил галочку "Игнорировать DNS, но раз в некоторое время вижу открытые запросы. И если служебные dns-запросы через udp/53 норма, возникает вопрос почему эти запросы каждый раз через разные серверы: То через Гугл, то через Cloudflare, ну и как собственно этого избежать?

Через Wireshark я выяснил что хоть все запросы и через разные серверы, но запрос всё время один, запрашивается домен "dns.adguard.com".

Вот IP серверов:

1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4 и это бы ладно, но ведь это не все. Вот ещё: 145.100.185.15, 145.100.185.16, 185.49.141.37 (getdnsapi.net).

Чьи вот эти dns? Какая политика у них? Я о них абсолютно ничего не знаю, я их в роутер не прописывал.

Как сделать так, чтобы не иметь дел с DNS которым я не доверяю?

Share this post


Link to post
Share on other sites

  • 0
11 час назад, funkerwolf сказал:

 

  Скрыть содержимое

А почему бы основу прошивок не перевести там на, например, Windows IoT? Столько проблем разом решилось и за одно выделяться на рынке можно мощно.

 

ШТА?

Share this post


Link to post
Share on other sites

  • 0

@Mihail_Boyanskiy

Это лучшие публичные DNS сервера. Используются все и сразу для лучшей отказоустойчивости. Нужны для резолвинга рабочих доменов DOH или  "dns.adguard.com" как вы выше уже писали.

Отключить это нельзя. Если хотите чтоб прям роутер совсем не обращался ни к каким обычным DNS серверам, то работайте только через DOT. Для него эта процедура не требуется.

Edited by keenet07
  • Thanks 1

Share this post


Link to post
Share on other sites

  • 0
42 минуты назад, keenet07 сказал:

@Mihail_Boyanskiy

Это лучшие публичные DNS сервера. Используются все и сразу для лучшей отказоустойчивости. Нужны для резолвинга рабочих доменов DOH или  "dns.adguard.com" как вы выше уже писали.

Отключить это нельзя. Если хотите чтоб прям роутер совсем не обращался ни к каким обычным DNS серверам, то работайте только через DOT. Для него эта процедура не требуется.

 

Возможно это и лучшие сервера, но о последних трёх я абсолютно ничего не слышал. Более того, даже в Яндексе инфы о них не так много. Ну да ладно. Как бы там нибыло, было бы просто замечательно если бы сделали выбор через какой открытый DNS-сервер получать информацию о DOH. Так например сделано вот здесь:

https://github.com/AdguardTeam/dnsproxy

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...