Jump to content
  • 2
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
8 минут назад, vasek00 сказал:

Маленький вопрос, в dnscrypt можно было блокировать IP по списку, как быть с данным функционалом тогда?

А поподробнее? Я dnscrypt в глаза не видел, для меня "блокировать IP по списку" ничего не значит.

Share this post


Link to post
Share on other sites
  • 0
Только что, cool сказал:

Вот я и спрашиваю, как правильно это сделать?

Ну в web же можно все сделать на странице Интернет-фильтров. Или в cli.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, Le ecureuil сказал:

Ну в web же можно все сделать на странице Интернет-фильтров. Или в cli.

Как раз хотел спросить про веб, но вы опередили. Просто я еще не поставил новую 3.1 Alpha 1.2, заранее интересуюсь путями отхода )), а также попутно делаю выводы - имеет ли смысл ее вообще сейчас ставить.

Edited by cool

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, cool сказал:

Как раз хотел спросить про веб, но вы опередили. Просто я еще не поставил новую 3.1 Alpha 1.2, заранее интересуюсь путями отхода )), а также попутно делаю выводы имеет ли смысл ее вообще сейчас ставить.

Можно тупо компоненты dot и doh удалить на странице компонентов, и будет прям как вы хотите :)

  • Thanks 2

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, Le ecureuil сказал:

Можно тупо компоненты dot и doh удалить на странице компонентов, и будет прям как вы хотите :)

Ok, принял к сведению. Спасибо.

Share this post


Link to post
Share on other sites
  • 0
56 минут назад, Le ecureuil сказал:

А поподробнее? Я dnscrypt в глаза не видел, для меня "блокировать IP по списку" ничего не значит.

Вы же написали "В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории."

По мимо это в dnscrypt еще был функционал

# Use servers implementing the DNSCrypt protocol
# Use servers implementing the DNS-over-HTTPS protocol
# Server must support DNS security extensions



# Server must not enforce its own blacklist (for parental control, ads blocking...)
# require_nofilter = true

[blacklist]
## Path to the file of blocking rules (absolute, or relative to the same directory as the executable file)
# blacklist_file = '/opt/tmp/blacklist.txt'

[ip_blacklist]
## Path to the file of blocking rules (absolute, or relative to the same directory as the executable file)
# blacklist_file = '/opt/tmp/ip-blacklist.txt'

[whitelist]
## Path to the file of whitelisting rules (absolute, or relative to the same directory as the executable file)
# whitelist_file = '/opt/tmp/whitelist.txt'

https://github.com/jedisct1/dnscrypt-proxy/wiki/Public-blacklists

 

Share this post


Link to post
Share on other sites
  • 0

Тема уходит на свалку истории, потому что его реализовывать не будут. Ну а dnscrypt-proxy и протокол сами туда отойдут, без нас.

А блеклисты - это совсем другая фича, никак именно к DC не относящаяся. Можно создавать тему с голосовалкой по ней.

Share this post


Link to post
Share on other sites
  • 0

Попробовал, настроил. Но при работающем transmission процессор постепенно выходит на 98-100%. Удалил настройки "Серверы DNS-over-TLS", все нормализовалось( процессор 15-20%).

  • Upvote 2

Share this post


Link to post
Share on other sites
  • 0

При использовании DNS over https в логе периодически такие записи, это нормально ?

Screenshot.png

В графе сигнатура SPKI надо что-то прописывать? Какой формат выбирать JSON или DNS message?

Edited by mega1volt

Share this post


Link to post
Share on other sites
  • 0
33 минуты назад, mega1volt сказал:

При использовании DNS over https в логе периодически такие записи

А у меня и после отключения DNS over https в логах такое остается.

Share this post


Link to post
Share on other sites
  • 0

Пока не ставил эту прошивку. Скажите, данный функционал реализован только через консоль? Или из веб-интерфейса уже можно включать и настраивать?

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, keenet07 сказал:

Пока не ставил эту прошивку. Скажите, данный функционал реализован только через консоль? Или из веб-интерфейса уже можно включать и настраивать?

Через веб

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, mega1volt сказал:

В графе сигнатура SPKI надо что-то прописывать? Какой формат выбирать JSON или DNS message?

SPKI - это замена авторизации через CA по домену, "не заполнять, если не знаете, для чего нужно".

У DNS Message оверхед меньше

Share this post


Link to post
Share on other sites
  • 0
4 часа назад, mega1volt сказал:

При использовании DNS over https в логе периодически такие записи, это нормально ?

Screenshot.png

В графе сигнатура SPKI надо что-то прописывать? Какой формат выбирать JSON или DNS message?

Такое бывает, если сервер разрывает соединение и мы его устанавливаем заново. Страшного ничего нет.

Share this post


Link to post
Share on other sites
  • 0
4 часа назад, Le ecureuil сказал:

Такое бывает, если сервер разрывает соединение и мы его устанавливаем заново. Страшного ничего нет.

Лог правда показывает подобный разрыв каждые 10-11 минут и львиная часть лога посвящена именно этим событиям.

Share this post


Link to post
Share on other sites
  • 0
31 минуту назад, SigmaPlus сказал:

Лог правда показывает подобный разрыв каждые 10-11 минут и львиная часть лога посвящена именно этим событиям.

Подтюним, наверное перестанем показывать столь часто или переведем в system debug.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
5 часов назад, Le ecureuil сказал:

команда и URL выглядят так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm

Ввел в cli эту команду, посмотрел в лог, а там ошибки:

doh_bug.jpg.beb98d579a3b1d226828c1bf663c3dee.jpg

Соответственно, DNS не работает. Что я делаю не так?

PS. У меня установлен dnsmasq из Entware, но я перед этим выключил OPKG в вебе.

Edited by cool

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, Кинетиковод сказал:

Сделайте так:

Так после ввода команды в cli эта запись в вебе появилась, я проверял. Или надо именно в вебе заполнять настройки?

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, cool сказал:

Так после ввода команды в cli эта запись в вебе появилась, я проверял. Или надо именно в вебе заполнять настройки?

Я ввёл в вебе. Всё работает.

Share this post


Link to post
Share on other sites
  • 0
12 минуты назад, Кинетиковод сказал:

Я ввёл в вебе. Всё работает.

Попробовал через веб - без изменений:

608107072_doh_bug.jpg.88e76488531f7451e9e495829bde65ff.jpg

Ждем помощи от Le ecureuil.

Edited by cool

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, cool сказал:

608107072_doh_bug.jpg.88e76488531f7451e9e495829bde65ff.jpg

Сейчас удалил, добавил и получил такую же картину. Повторил на бис, всё заработало. Не знаю как объяснить сие явление.

Share this post


Link to post
Share on other sites
  • 0
10 минут назад, Кинетиковод сказал:

Повторил на бис, всё заработало.

А у меня ни разу не заработало.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Le ecureuil сказал:

Используйте json-формат.

Да, с ним заработало.

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, Le ecureuil сказал:

В этом случае команда и URL выглядят так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm

> dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json

По-моему, вот здесь https://cloudflare-dns.com/dns-query?ct=application/dns-json& json амперсанд лишний, верно? Должно быть так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

Share this post


Link to post
Share on other sites
  • 0
1 час назад, cmisha сказал:

Проверить работу DOH, DOT для Cloudflare можно здесь - Privacy-First DNS Resolver

Тогда возникает вопрос: почему тестирование сообщает что DOH не используется? Использую json вариант. По логу кинетика всё касательно DOH функционирует.

Screenshot_2019-06-16 1 1 1 1 — the Internet’s Fastest, Privacy-First DNS Resolver.png

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...