Jump to content
  • 0
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
4 часа назад, Le ecureuil сказал:

Такое бывает, если сервер разрывает соединение и мы его устанавливаем заново. Страшного ничего нет.

Лог правда показывает подобный разрыв каждые 10-11 минут и львиная часть лога посвящена именно этим событиям.

Share this post


Link to post
Share on other sites
  • 0
31 минуту назад, SigmaPlus сказал:

Лог правда показывает подобный разрыв каждые 10-11 минут и львиная часть лога посвящена именно этим событиям.

Подтюним, наверное перестанем показывать столь часто или переведем в system debug.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
5 часов назад, Le ecureuil сказал:

команда и URL выглядят так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm

Ввел в cli эту команду, посмотрел в лог, а там ошибки:

doh_bug.jpg.beb98d579a3b1d226828c1bf663c3dee.jpg

Соответственно, DNS не работает. Что я делаю не так?

PS. У меня установлен dnsmasq из Entware, но я перед этим выключил OPKG в вебе.

Edited by cool

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, Кинетиковод сказал:

Сделайте так:

Так после ввода команды в cli эта запись в вебе появилась, я проверял. Или надо именно в вебе заполнять настройки?

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, cool сказал:

Так после ввода команды в cli эта запись в вебе появилась, я проверял. Или надо именно в вебе заполнять настройки?

Я ввёл в вебе. Всё работает.

Share this post


Link to post
Share on other sites
  • 0
12 минуты назад, Кинетиковод сказал:

Я ввёл в вебе. Всё работает.

Попробовал через веб - без изменений:

608107072_doh_bug.jpg.88e76488531f7451e9e495829bde65ff.jpg

Ждем помощи от Le ecureuil.

Edited by cool

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, cool сказал:

608107072_doh_bug.jpg.88e76488531f7451e9e495829bde65ff.jpg

Сейчас удалил, добавил и получил такую же картину. Повторил на бис, всё заработало. Не знаю как объяснить сие явление.

Share this post


Link to post
Share on other sites
  • 0
10 минут назад, Кинетиковод сказал:

Повторил на бис, всё заработало.

А у меня ни разу не заработало.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Le ecureuil сказал:

Используйте json-формат.

Да, с ним заработало.

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, Le ecureuil сказал:

В этом случае команда и URL выглядят так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm

> dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json

По-моему, вот здесь https://cloudflare-dns.com/dns-query?ct=application/dns-json& json амперсанд лишний, верно? Должно быть так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

Share this post


Link to post
Share on other sites
  • 0
1 час назад, cmisha сказал:

Проверить работу DOH, DOT для Cloudflare можно здесь - Privacy-First DNS Resolver

Тогда возникает вопрос: почему тестирование сообщает что DOH не используется? Использую json вариант. По логу кинетика всё касательно DOH функционирует.

Screenshot_2019-06-16 1 1 1 1 — the Internet’s Fastest, Privacy-First DNS Resolver.png

Share this post


Link to post
Share on other sites
  • 0

Лучше реально пример из которого можно что-то выбрать по приемлемым "ms"

    tls upstream 1.1.1.1 853 sni cloudflare-dns.com
    tls upstream 8.8.8.8 853 sni dns.google.com
    tls upstream 9.9.9.9 853 sni dns.quad9.net
    tls upstream 176.103.130.131 853 sni dns.adguard.com
    https upstream https://dns.adguard.com/dns-query dnsm
    https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40500     780      96       76      88ms     114ms     3  
               127.0.0.1  40501     855      70       84      72ms      78ms     3  
               127.0.0.1  40502     869      80       76      74ms     104ms     3  
               127.0.0.1  40503     936       0        1      83ms      83ms     0  
               127.0.0.1  40508     918      48       36      83ms     103ms     3  
               127.0.0.1  40509     791     119       97      71ms      71ms     3  

Что-то и выбрать из данного набора не чего, так чтоб 30-50ms

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Добавьте все, хуже не будет.

30-50 мс это труднодостижимое время для dot/doh, укладка в 100 мс - это уже отличный показатель для average response time.

Попробуйте через dnsperf бенчмарки провести, сравним результаты.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
58 минут назад, vasek00 сказал:

Что-то и выбрать из данного набора не чего, так чтоб 30-50ms

Оно на самом деле очень скачет, если подампить вывод несколько раз в течение продолжительного времени. Пиковые цифры как я понимаю выскакивают когда keepalive закончился и он пересогласовывает TLS - если активности в сети не много, оно кмк часто будет дохнуть. У меня например такая картина получается

tls upstream 8.8.8.8 sni dns.google
tls upstream 1.1.1.1 sni cloudflare-dns.com
tls upstream 9.9.9.9 sni dns.quad9.net

       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     184     168       11      24ms      32ms    10
127.0.0.1  40501     317     226       10     314ms    1102ms     4
127.0.0.1  40502      19       3        7     207ms    1296ms     5

---чуть позже---
       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     285     255       11      24ms      23ms    10
127.0.0.1  40501     336     236       10      52ms     250ms     8
127.0.0.1  40502      33       3        7     207ms    1296ms     3

 

Edited by KorDen
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
15 часов назад, r777ay сказал:

На 1810 DoH работает? Пробовал разные публично доступные серверы.  Не могу попасть не на один сайт

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

Share this post


Link to post
Share on other sites
  • 0
51 минуту назад, KorDen сказал:

Оно на самом деле очень скачет, если подампить вывод несколько раз в течение продолжительного времени. Пиковые цифры как я понимаю выскакивают когда keepalive закончился и он пересогласовывает TLS - если активности в сети не много, оно кмк часто будет дохнуть. У меня например такая картина получается


tls upstream 8.8.8.8 sni dns.google
tls upstream 1.1.1.1 sni cloudflare-dns.com
tls upstream 9.9.9.9 sni dns.quad9.net

       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     184     168       11      24ms      32ms    10
127.0.0.1  40501     317     226       10     314ms    1102ms     4
127.0.0.1  40502      19       3        7     207ms    1296ms     5

---чуть позже---
       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     285     255       11      24ms      23ms    10
127.0.0.1  40501     336     236       10      52ms     250ms     8
127.0.0.1  40502      33       3        7     207ms    1296ms     3

 

Разумеется, нужно смотреть в момент, когда запросы идут непрерывно. В остальные времена это "погода на Марсе".

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, Кинетиковод сказал:

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

Откуда проверялся DoT? С ПК или с роутера?

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, Le ecureuil сказал:

Откуда проверялся DoT? С ПК или с роутера?

C ПК. Причём не открывались не только страницы в интернете, но и вебморда роутера переставала отвечать и выходила из коматоза через некоторое время. Удивляло то, что при настройке DoT в логах шли сообщения о adguard, хотя adguard я не трогал. Решил в итоге его удалить и DoT заработал.

Share this post


Link to post
Share on other sites
  • 0
On 6/14/2019 at 8:55 PM, Le ecureuil said:

Тема уходит на свалку истории, потому что его реализовывать не будут. Ну а dnscrypt-proxy и протокол сами туда отойдут, без нас.

А блеклисты - это совсем другая фича, никак именно к DC не относящаяся. Можно создавать тему с голосовалкой по ней.

Тоже пользовался блокировкой рекламы через блеклисты в dnscrypt-proxy. Подскажите как теперь(используя DoT и DoH) реализовать блокировку? 

Через dnsmasq получится(я правда не силен в этом)? 

 

ps попробовал dnsmasq с конфигом,  не фильтрует.

user=nobody
bogus-priv
no-negcache
clear-on-reload
bind-dynamic
listen-address=192.168.0.1
listen-address=127.0.0.1
min-port=4096
cache-size=1536
expand-hosts
log-async

no-resolv

conf-file=/opt/etc/adblock.dnsmasq

 

Edited by Dima Babanakov
ps

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, Dima Babanakov сказал:

Тоже пользовался блокировкой рекламы через блеклисты в dnscrypt-proxy. Подскажите как теперь(используя DoT и DoH) реализовать блокировку? 

Через dnsmasq получится(я правда не силен в этом)?  

Ну так и оставайтесь на dnscrypt, в чем фишка перепрыгивания?

Share this post


Link to post
Share on other sites
  • 0
4 minutes ago, vasek00 said:

dnscrypt, в чем фишка перепрыгивания?

Он не работал у меня так как должен был почему то, подмена от провайдера так и лезла, а тут добавил 5 строк, что выше указаны и сайты стали открываться.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, cmisha сказал:

Попробуйте 1.0.0.1 он находится в Москве. 

Как то не "реальная" картника от DNS Bench, например при

dns-proxy
1    tls upstream 1.0.0.1 853 sni cloudflare-dns.com
2    tls upstream 8.8.8.8 853 sni dns.google.com
3    tls upstream 176.103.130.131 853 sni dns.adguard.com

Total incoming requests: 1004
Proxy requests sent:     1956
Cache hits ratio:        0.213 (214)
Memory usage:            209.63K
DNS Servers
                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
1               127.0.0.1  40500     692     175      130      46ms      46ms     7  
2               127.0.0.1  40501     731     101       86      72ms     122ms     5  
3               127.0.0.1  40502     533       0        3     114ms     106ms     0  

После запуска DNS Bench
1.0.0.1 cloudflare-dns.com = 46ms/46ms
8.8.8.8 dns.google.com = 72ms/122ms
176.103.130.131 dns.adguard.com = 114ms/106ms

956493297_-2.jpg.21311f1d19d95e047f12bb3c91bdc359.jpg

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...