Jump to content
  • 2
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
1 час назад, Mihail_Boyanskiy сказал:

 

1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4 и это бы ладно, но ведь это не все. Вот ещё: 145.100.185.15, 145.100.185.16, 185.49.141.37 (getdnsapi.net).

Чьи вот эти dns? Какая политика у них? Я о них абсолютно ничего не знаю, я их в роутер не прописывал.

https://kb.adguard.com/ru/general/dns-providers

Share this post


Link to post
Share on other sites

  • 0
1 час назад, Mihail_Boyanskiy сказал:

И если служебные dns-запросы через udp/53 норма, возникает вопрос почему эти запросы каждый раз через разные серверы: То через Гугл, то через Cloudflare, ну и как собственно этого избежать?

Если речь действительно о служебном, то вот статья, что и как. Пункт 6. И отключить можно. Служебный трафик

Вообще, на сайте много очень полезных статей. В том числе и по DoT/DoH, и про чеки интернета, и пр.

Share this post


Link to post
Share on other sites

  • 0

Продублирую тут свой вопрос из ветки 4pda.

День добрый, как я понял по данному комментарию, лучше не использовать DoH в данной модели (Keenetic Lite KN-1310), на данном чипе?

 

1).
В настройках роутера установлена галочка "Игнорировать DNS"
Прописаны DoT адреса от cloudflare:
1.1.1.2 - security.cloudflare-dns.com
1.0.0.2 - security.cloudflare-dns.com

компонент DoH установлен но пока не используется.

Почему в интерфейсе выхода в интернет, проскакивает 53 порт?
на скрине с адресом 1.0.0.1, так же был 1.1.1.1

 

Скрытый текст

1.thumb.png.5ae1a2ddda842a62240f2a014aeca5f0.png

 

2).
В соединениях моего ПК не видно 853 порта, есть 80, 53, 443 и остальные которые используют различные приложения такие как гугл, антивирус, сам майкрософт...
Я так понял это норма?

 

Скрытый текст

2.thumb.png.498e5a5a0163d51b84124c88b5c83962.png

 

3).

Если допустим активировать фильтр "AdGuard DNS"
На некоторые ус-ва выставить профиль "семейный", а на остальные "Без фильтрации". Будут ли работать устройства на которых выставлен профиль "Без фильтрации", с прописанными вручную DoT (в моём случае от Cloudflare) и DoH?

KeeneticOS 3.6.10

Share this post


Link to post
Share on other sites

  • 0
2 часа назад, Le ecureuil сказал:

1. Да, все норм. 53 порт используется для bootstrap.

2. Да, норм.

3. Да.

Благодарю. Не совсем понял что такое bootstrap. мои проблемы.

 

На этот ответьте пожалуйста:

День добрый, как я понял по данному комментарию, лучше не использовать DoH в данной модели (Keenetic Lite KN-1310), на данном чипе?

Если не против ссылку на ваш ответ скину обратно в ветку по данному роутеру на 4pda, для будущих любопытных пользователей.

Share this post


Link to post
Share on other sites

  • 0
В 16.04.2020 в 22:03, cmisha сказал:

это не правильно: https upstream https://cloudflare-dns.com/dns-query json

должно быть:  https upstream https://cloudflare-dns.com/dns-query dnsm

а лучше так;

----DoH----
DNS Message:
https://1.0.0.1/dns-query

https://1.1.1.1/dns-query

 

В 17.04.2020 в 14:57, Le ecureuil сказал:

Без sni нехорошо, не будет валидации сертификата и провайдер может подменить вашу сессию с CF.

Le ecureuil, скажите, это вы ответили на сообщение cmisha ?

Share this post


Link to post
Share on other sites

  • 0
В 12.08.2021 в 01:03, НиколайLT сказал:

Благодарю. Не совсем понял что такое bootstrap. мои проблемы.

 

На этот ответьте пожалуйста:

День добрый, как я понял по данному комментарию, лучше не использовать DoH в данной модели (Keenetic Lite KN-1310), на данном чипе?

Если не против ссылку на ваш ответ скину обратно в ветку по данному роутеру на 4pda, для будущих любопытных пользователей.

bootstrap это изначальное преобразование FQDN -> IP для установки соединения с адресами DoH.

Использовать можно, если нет проблем. Если наблюдаются проблемы, то стоит отключить.

  • Thanks 1

Share this post


Link to post
Share on other sites

  • 0

И вот:

Массовая блокировка сервисов Google

 

- Мы зафиксировали блокировку публичных DNS-сервисов CF 1.1.1.1 и Google 8.8.8.8 плюс публичные URL этих сервисов со стороны Роскомнадзора (РКН). Блокировка производилась с 21:00 до 22:00 на нескольких крупных провайдерах с ТСПУ. То есть целый час большое количество людей остались без Интернета.

 

https://www.fontanka.ru/2021/09/09/70126808/

 

- "Закон не о блокировках, а о создании резервной системы обеспечения доступности ресурсов сети Интернет для российских пользователей, повышающей надежность и качество услуг связи".

 

- "Закон о суверенном Рунете не позволит создать рубильник, чтобы отсечь российский сегмент интернета от остальной сети".

 

говорили они...

 

- https://t.me/Runet90fz/39

- https://t.me/Runet90fz/226

- https://t.me/Runet90fz/247

Edited by Usatyj

Share this post


Link to post
Share on other sites

  • 0

Всегда можно пропустить DoH/DoT трафик внутри любого иностранного VPN. Да, скорость отклика конечно пострадает.

Edited by keenet07

Share this post


Link to post
Share on other sites

  • 0
6 минут назад, keenet07 сказал:

Всегда можно пропустить DoH/DoT трафик внутри любого иностранного VPN. Да, скорость отклика конечно пострадает.

Дело за малым, купить себе где-то личный сервер и поднять "там" VPN. Потому как чуть ранее нам обещали заблокировать все серверы нелояльных VPN-сервисов.

 

36 минут назад, Usatyj сказал:

Массовая блокировка сервисов Google

Все новости ссылаются на один и тот же источник. Как-то неразумно этому верить сразу же, тем более, что ужасов не произошло. 

Share this post


Link to post
Share on other sites

  • 0
17 минут назад, Le ecureuil сказал:

И зачем это здесь? Никто не же спрашивает "что будет" когда обычные DNS/UDP/53 серверы блокируют.

Имелось ввиду какие сервера использовать для дох/дот в Кинетике в случае «ядерной войны»

Share this post


Link to post
Share on other sites

  • 0
38 минут назад, Mixin сказал:

Дело за малым, купить себе где-то личный сервер и поднять "там" VPN. Потому как чуть ранее нам обещали заблокировать все серверы нелояльных VPN-сервисов.

 

Все новости ссылаются на один и тот же источник. Как-то неразумно этому верить сразу же, тем более, что ужасов не произошло. 

Я и сейчас из-под Билайна не могу зайти на 

https://1.1.1.1

https://doh.opendns.com

С впн захожу.

Edited by Usatyj

Share this post


Link to post
Share on other sites

  • 0
В 09.09.2021 в 23:43, Usatyj сказал:

Я и сейчас из-под Билайна не могу зайти на 

https://1.1.1.1

https://doh.opendns.com

С впн захожу.

Так же, если в cli маршрутизатора прописана команда

dns-proxy intercept enable

с сохранением

system configuration save

То адреса:

https://doh.opendns.com

https://1.1.1.1/help

тоже не доступны.

А через впн заходит.

Share this post


Link to post
Share on other sites

  • 0

привет! а как можно зафорсить DoH ходить к dns.google через 6in4 туннель? я так понял, что `https upstream .. on <interface>` не позволяет указать через какой интерфейс ходить, а дропнуть A record для dns.google на кинетике нельзя, да и не знаю пойдет ли DoH клиент за АААА тогда. 

Share this post


Link to post
Share on other sites

  • 0
46 минут назад, Eugeny Novozhilov сказал:

привет! а как можно зафорсить DoH ходить к dns.google через 6in4 туннель? я так понял, что `https upstream .. on <interface>` не позволяет указать через какой интерфейс ходить, а дропнуть A record для dns.google на кинетике нельзя, да и не знаю пойдет ли DoH клиент за АААА тогда. 

Dot/doh кинетика только v4 умеет вроде

Share this post


Link to post
Share on other sites

  • 0
14 hours ago, Eugeny Novozhilov said:

привет! а как можно зафорсить DoH ходить к dns.google через 6in4 туннель? я так понял, что `https upstream .. on <interface>` не позволяет указать через какой интерфейс ходить, а дропнуть A record для dns.google на кинетике нельзя, да и не знаю пойдет ли DoH клиент за АААА тогда. 

по идее, это делается через прописывание маршрута. тостер нативно умеет 6to4, а значит фейс будет виден в гуе маршрутизации. если не нативно(тот же teredo), тогда ip route add. нэ?

Edited by pol newman

Share this post


Link to post
Share on other sites

  • 0
On 9/9/2021 at 11:34 PM, Usatyj said:

Имелось ввиду какие сервера использовать для дох/дот в Кинетике в случае «ядерной войны»

tor умеет днс через себя(параметр dnsport). скорость- абзац, конечно же, но есть вариант держать отдельную инстанцию тора с укороченной цепочкой именно под днс

Edited by pol newman

Share this post


Link to post
Share on other sites

  • 0
On 9/9/2021 at 11:34 PM, Usatyj said:

Имелось ввиду какие сервера использовать для дох/дот в Кинетике в случае «ядерной войны»

Le ecureuil имеет в виду, что вы ищете понимания, или даже сочувствия, там, где его в принципе быть не может- на русскоязычном форуме. попробуйте иностранные площадки, но там у людей свои проблемы, им не до нас

Share this post


Link to post
Share on other sites

  • 0
В 14.09.2021 в 21:12, Eugeny Novozhilov сказал:

привет! а как можно зафорсить DoH ходить к dns.google через 6in4 туннель? я так понял, что `https upstream .. on <interface>` не позволяет указать через какой интерфейс ходить, а дропнуть A record для dns.google на кинетике нельзя, да и не знаю пойдет ли DoH клиент за АААА тогда. 

Можно попробовать через NextDNS CLI Client он умеет IPv6 + там есть встроенный Multi upstream healthcheck / fallback 

Share this post


Link to post
Share on other sites

  • 0
3 часа назад, Sim-Sim сказал:

Можно попробовать через NextDNS CLI Client он умеет IPv6 + там есть встроенный Multi upstream healthcheck / fallback 

подскажите, а как заставить этот клиент ещё одного левого сервиса днс, коих нынче миллион, решить конкретную проблему маршрутизации на локальном тостере? я не наблюдаю у него таких возможностей, да и дико неуместно было бы ему такие возможности иметь. или вы рекламы ради?

Share this post


Link to post
Share on other sites

  • 0
В 09.09.2021 в 23:07, Mixin сказал:

Дело за малым, купить себе где-то личный сервер и поднять "там" VPN. Потому как чуть ранее нам обещали заблокировать все серверы нелояльных VPN-сервисов.

 

Все новости ссылаются на один и тот же источник. Как-то неразумно этому верить сразу же, тем более, что ужасов не произошло. 

не купить, а арендовать. не vpn, а vps. а так всё верно- тема неминуемой тотальной блокировки объединяет как хостеров, так и готовые vpn-сервисы. странно, что не наблюдается не то, что массового, а вообще хоть какого-либо исхода россиян в tor и i2p.

Share this post


Link to post
Share on other sites

  • 0
5 часов назад, BABUT сказал:

подскажите, а как заставить этот клиент ещё одного левого сервиса днс, коих нынче миллион, решить конкретную проблему маршрутизации на локальном тостере? я не наблюдаю у него таких возможностей, да и дико неуместно было бы ему такие возможности иметь. или вы рекламы ради?

Да, похоже это не решает задачу, тут есть только:

Using Another DoH Provide

sudo nextdns install \
    -listen :53 \
    -forwarder https://1.1.1.1/dns-query
и
Split Horizon
sudo nextdns config set \
    -forwarder mycompany.com=1.2.3.4,1.2.3.5 \
    -forwarder mycompany2.com=https://doh.mycompany.com/dns-query#1.2.3.4
sudo nextdns restart

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...