Jump to content
  • 2
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
1 минуту назад, Кинетиковод сказал:

Вот! Считайте что памяти у вас уже нет, т.к. где-то около 400 килобайт занимает загрузчик, а у моделей с поддержкой HDD ещё метр оттяпан для нужд системы. На Омни из 8 мегабайт было доступно около 6,6.

на последней модели Омни - 16Mb)

Меня не 8Mb парят в моем уст-ве, меня парит, если под DoH минимальный Кинетик это Вива, так как меня не устраивает ни сама модель, ни ее стоимость.

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, Igor Puteev сказал:

если под DoH минимальный Кинетик это Вива, так как меня не устраивает ни сама модель, ни ее стоимость.

Вообще DoH работает и на 7628. И чем собственно DoT не устраивает? Я разницы между ними не заметил. Заметно лишь небольшое отставание от незашифрованных DNS и только.

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, Кинетиковод сказал:

Вообще DoH работает и на 7628. И чем собственно DoT не устраивает? Я разницы между ними не заметил. Заметно лишь небольшое отставание от незашифрованных DNS и только.

"На устройствах с 7628 DoH работает не через http/2, а через http/1.1 keepalive. Это связано с большим размером библиотеки nghttp2, места для которой не хватает. Нагрузка на CPU от DoH тоже заметно выше, чем от DoT, потому на 7628 DoH стоит рассмотривать в основном лишь как last resort - когда другое не работает или заблокировано провайдером.

 Потому на 7628 рекомендуется в основном DoT"

разница в том, что DoH работает через 443 порт, как и HTTPS.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
Spoiler

(config)> show dns-proxy

     proxy-status: 
              proxy-name: System

            proxy-config: 

rpc_port = 54321
rpc_ttl = 10000
rpc_wait = 10000
timeout = 7000
proceed = 500
stat_file = /var/ndnproxymain.stat
stat_time = 10000
dns_server = 127.0.0.1:40500 .
dns_server = 127.0.0.1:40501 .
dns_server = 127.0.0.1:40508 .
static_a = my.keenetic.net 78.47.125.180
static_a = c543558c5591983de32082b5.keenetic.io 78.47.125.180
set-profile-ip 127.0.0.1 0
set-profile-ip ::1 0
dns_tcp_port = 53
dns_udp_port = 53

              proxy-stat: 

# ndnproxy statistics file

Total incoming requests: 0
Proxy requests sent:     0
Cache hits ratio:        0.000 (0)
Memory usage:            7.53K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40500       0       0        0       0ms       0ms     1  
               127.0.0.1  40501       0       0        0       0ms       0ms     1  
               127.0.0.1  40508       0       0        0       0ms       0ms     1  

              proxy-safe: 


               proxy-tls: 
               server-tls: 
                      address: 9.9.9.9
                         port: 853
                          sni: dns.quad9.net
                         spki: 
                    interface: 

               server-tls: 
                      address: 8.8.8.8
                         port: 853
                          sni: dns.google.com
                         spki: 
                    interface: 

               server-tls: 
                      address: dns.adguard.com
                         port: 
                          sni: dns.adguard.com
                         spki: 
                    interface: 

               server-tls: 
                      address: dns-family.adguard.com
                         port: 
                          sni: dns-family.adguard.com
                         spki: 
                    interface: 

       proxy-tls-filters: 
               server-tls: 
                      address: dns.adguard.com
                         port: 
                          sni: dns.adguard.com
                         spki: 
                    interface: 

               server-tls: 
                      address: dns-family.adguard.com
                         port: 
                          sni: dns-family.adguard.com
                         spki: 
                    interface: 

             proxy-https: 
             server-https: 
                          uri: https://dns.quad9.net/dns-query
                       format: json
                         spki: 
                    interface: 

             server-https: 
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

             server-https: 
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

     proxy-https-filters: 
             server-https: 
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

             server-https: 
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

(config)> 
 

похоже баг какой то, включил попробовал и выключил интернет фильтр adguardDNS через веб. но в cli от него остались хвосты. Прошлый раз они ушли после перезагрузки роутера. 

Share this post


Link to post
Share on other sites
  • 0
2 hours ago, Le ecureuil said:

Все само работает по dot/doh без настроек, с заворотом всех DNS-запросов принудительно на роутер.

Даже для клиентов, у которых фильтрация отключена?

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Sergey Zozulya сказал:

Даже для клиентов, у которых фильтрация отключена?

С ними пока есть баг - они не работоспособны вообще :) Планируем поправить на днях.

Будет работать обычный dot/doh для них, который задали system-wide руками или plaintext, если не задан.

Share this post


Link to post
Share on other sites
  • 0
В 18.06.2019 в 12:32, Le ecureuil сказал:

DoH на 7628 работает нормально, отличия между http/2 и http/1.1 на самом деле не так значительны, как может показаться. Разница при суровой нагрузке в pipeline только, и то процентов на 20-30.

Вообще на мой взгляд незаслуженно забываете про крутые и недорогие устройства DSL и DUO. DSL за 3,5 тысячи на мой взгляд хуже 1910 только в части WiFi. Все остальное там даже лучше, чем на 7621S. Это отличная замена для любого устройства на 7628, если нужны именно сетевые фичи без сильного акцента на WiFi.

Не обращайте внимания, что это DSL, просто не пользуйтесь этим куском. Зато там есть аппаратный IPsec и процессор мощнее, чем MT7621S. И ОЗУ и flash много.

Фактически, это прямой наследник Keenetic II на Big Endian и с DSL, но еще мощнее и со всеми новыми фичами.

Что самое смешное, как раз сам дошел до этих двух устр-в, внимательнее сравнив модели Кинетика, но смутили именно процессоры - думал их два потока медленнее четырех потоков MT7621S.

Получается данные модели - DUO и ADSL работают с VPN со скоростями близкими к Giga, естественно учитывая что там гиговые порты а тут только 100Мбит?

То бишь те же PPTP и IPsec упрутся в скорость интерфейса роутера?

SharedScreenshot.jpg

Share this post


Link to post
Share on other sites
  • 0

У 7621S два потока, это у 7621A(T) - 4 с 2 ядрами.

Да, должны упереться в 100 mbps.

Share this post


Link to post
Share on other sites
  • 0
В 17.06.2019 в 13:20, Кинетиковод сказал:

C ПК. Причём не открывались не только страницы в интернете, но и вебморда роутера переставала отвечать и выходила из коматоза через некоторое время. Удивляло то, что при настройке DoT в логах шли сообщения о adguard, хотя adguard я не трогал. Решил в итоге его удалить и DoT заработал.

На 3.1A4 тоже воспроизводится?

Есть пачка фиксов, должно уйти по идее.

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, Le ecureuil сказал:

На 3.1A4 тоже воспроизводится?

Я сейчас на 2.15. Позже попробую отпишусь.

Share this post


Link to post
Share on other sites
  • 0

100% загрузка проца ExtraII. Для клиента LAN DNS является ExtraII, просто на клиенте запущен DNSBench и нажата кнопка "Nameservers" ( скрин 1-3). Дело до запуска "Run Benchmark" не дошло.

Спустя некоторое время примерно до 1мин все в исходное состояние.

При конфиге

!
adguard-dns
    enable


dns-proxy
    tls upstream 176.103.130.130 853 sni dns.adguard.com
    tls upstream 176.103.130.131 853 sni dns.adguard.com
    tls upstream 1.0.0.1 853 sni cloudflare-dns.com
    https upstream https://dns.adguard.com/dns-query dnsm
    https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json


tcp        0      0 127.0.0.1:40301         0.0.0.0:*               LISTEN      749/https_dns_proxy
tcp        0      0 127.0.0.1:40303         0.0.0.0:*               LISTEN      750/https_dns_proxy
tcp        0      0 127.0.0.1:40508         0.0.0.0:*               LISTEN      747/https_dns_proxy
tcp        0      0 127.0.0.1:40509         0.0.0.0:*               LISTEN      748/https_dns_proxy
udp        0      0 127.0.0.1:40508         0.0.0.0:*                           747/https_dns_proxy
udp        0      0 127.0.0.1:40509         0.0.0.0:*                           748/https_dns_proxy
udp        0      0 127.0.0.1:40301         0.0.0.0:*                           749/https_dns_proxy
udp        0      0 127.0.0.1:40303         0.0.0.0:*                           750/https_dns_proxy

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      751/ndnproxy
tcp        0      0 :::53                   :::*                    LISTEN      751/ndnproxy
udp        0      0 0.0.0.0:54321           0.0.0.0:*                           751/ndnproxy
udp        0      0 0.0.0.0:53              0.0.0.0:*                           751/ndnproxy
udp        0      0 0.0.0.0:54838           0.0.0.0:*                           751/ndnproxy
udp        0      0 :::53                   :::*                                751/ndnproxy

 

958932224_-5.thumb.jpg.684a2050810e35acc3157e1f4ad8db82.jpg

Ситуацию проверил три раза и она не изменилась.

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0

С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.

Вот например:

# nslookup ya.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'ya.ru': Temporary failure in name resolution
~ #
Скрытый текст

image.png.4f8dc44367168fd8e58d0891bac4aae3.png

image.png.8c7eb02224ed67939b994991ace26d82.png

То есть совсем не резолвит. 

А у меня на этом скрипт построен.

Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено. 

Хотя это может быть у меня что-то не работает.

Edited by ankar84

Share this post


Link to post
Share on other sites
  • 0
45 минут назад, ankar84 сказал:

С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.

Вот например:


# nslookup ya.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'ya.ru': Temporary failure in name resolution
~ #

То есть совсем не резолвит.  

Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено. 

Хотя это может быть у меня что-то не работает.

Все нормально c adguard

/ # nslookup mail.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      mail.ru
Address 1: 217.69.139.202 mail.ru
Address 2: 94.100.180.202 mail.ru
Address 3: 217.69.139.200 mail.ru
Address 4: 94.100.180.200 mail.ru
Address 5: 2a00:1148:db00:0:b0b0::1 mail.ru


/ # nslookup keenetic.net
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      keenetic.net
Address 1: 46.105.148.88
/ # 

Отключил adguard

/ # nslookup ixbt.com
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      ixbt.com
Address 1: 91.208.42.67 www.ixbt.com
/ # 
/ # nslookup rbc.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      rbc.ru
Address 1: 80.68.253.13 redirector.rbc.ru
Address 2: 185.72.229.13 redirector.rbc.ru
/ # 

На тех серверах что выше

https upstream https://dns.adguard.com/dns-query dnsm
https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

Share this post


Link to post
Share on other sites
  • 0
12 часа назад, ankar84 сказал:

С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.

Вот например:


# nslookup ya.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'ya.ru': Temporary failure in name resolution
~ #
  Показать содержимое

То есть совсем не резолвит. 

 А у меня на этом скрипт построен.

Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено. 

 Хотя это может быть у меня что-то не работает.

Нужен self-test с версии 3.1A4.

Share this post


Link to post
Share on other sites
  • 0
19 часов назад, Le ecureuil сказал:

Нужен self-test с версии 3.1A4.

Эту странность в работе DNS выловил при создании второго подключения OpenVPN. Как только его выключал, DNS начинал работать. Сейчас оставил только одно подключение, все работает штатно. 

Share this post


Link to post
Share on other sites
  • 0
В 22.06.2019 в 13:28, Le ecureuil сказал:

На 3.1A4 тоже воспроизводится?

Интернет с DoT теперь работает нормально, но вебморда всё же отвалилась. После этого попасть в роутер ни через веб, ни через оба приложения не удалось, авторизовался только через cli. В итоге помогла только перезагрузка. В момент коматоза сделал захват логов, которые и прилагаю.

Сейчас перешел на DoH, посмотрим отвалится ли вебморда с ним.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

Сейчас выбран интернет-фильтр AdGuard и ранее на странице с описанием это было видно. Теперь пишет, что я его не использую.

Как проверить?

Скрытый текст

image.png.f7e436435048a55259553698a201c5a8.png

image.thumb.png.c6f0ec18a56daf6accc5d28bd0006f52.png

 

Share this post


Link to post
Share on other sites
  • 0
1 час назад, ankar84 сказал:

Сейчас выбран интернет-фильтр AdGuard и ранее на странице с описанием это было видно. Теперь пишет, что я его не использую.

Как проверить?

  Скрыть содержимое

image.png.f7e436435048a55259553698a201c5a8.png

image.thumb.png.c6f0ec18a56daf6accc5d28bd0006f52.png

 

А вы с зарегистрированного устройства проверяли? У меня отображает, что "используется".

Share this post


Link to post
Share on other sites
  • 0
38 минут назад, AndreBA сказал:

А вы с зарегистрированного устройства проверяли? У меня отображает, что "используется".

Проверяю с двух зарегистрированных устройств домашней сети. Прошивка последняя Альфа.

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, ankar84 сказал:

Проверяю с двух зарегистрированных устройств домашней сети. Прошивка последняя Альфа.

Вот так у меня:

Цитата

204437709__214.thumb.png.3b26ce15193a10e9a55a0d1302cccfea.png567884809__213.thumb.png.e95715f74f21a1abdd8f77dade5f2b9c.png

 

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
17 часов назад, AndreBA сказал:

Вот так у меня:

Вот у меня тоже так раньше было, определялось нормально. 

Видимо проблема у меня какая-то частная. Сделал тему по ней.

Share this post


Link to post
Share on other sites
  • 0

Установлен и включен adguard, так же установлены компоненты doh/dot. Журнал завален сообщениями. Нормально ли такое поведение? И как можно исправить? 

Ошибки.jpg

Share this post


Link to post
Share on other sites
  • 0
26 minutes ago, Сергей Германов said:

Установлен и включен adguard, так же установлены компоненты doh/dot. Журнал завален сообщениями. Нормально ли такое поведение? И как можно исправить?

То же самое. И те же вопросы.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Сергей Германов сказал:

Установлен и включен adguard, так же установлены компоненты doh/dot. Журнал завален сообщениями. Нормально ли такое поведение? И как можно исправить? 

Ошибки.jpg

Подтверждаю, таких сообщений довольно много. А какие именно запросы отклонены не понятно.

Так же при использовании AdGuard DNS с установленными dot/doh компонентами заметно все тормозит в приложении HD VideoBox. Открытие карточки фильма, поиск самих видно файлов происходит после тайм аута секунд в 20. Если выбрать на странице Интернет-фильтр Без фильтрации, то все открывается мгновенно.

Share this post


Link to post
Share on other sites
  • 0

Вчера был вселенский развал cloudflare и dns, потому я бы еще понаблюдал.

HD VideoBox - это где такое приложение, как это воспроизвести?

Share this post


Link to post
Share on other sites
  • 0
13 часа назад, Le ecureuil сказал:

HD VideoBox - это где такое приложение, как это воспроизвести?

Это приложение для Android, которое многим здесь на форуме (и в чате в телеге) изменило паттерн потребления медиа контента в сети.

Вот тема приложения на 4пда

Суть проста - смотришь все фильмы (сериалы, передачи) онлайн, без скачивания.

13 часа назад, Le ecureuil сказал:

Вчера был вселенский развал cloudflare и dns, потому я бы еще понаблюдал.

Да, об этом писали. Но у меня проблема именно с AdGuard. Хотя я прекрасно понимаю, что они используют CloudFlare как апстрим, но все же проблема с ним.

  • Confused 1

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuil кстати, а если я хочу использовать интернет-фильтр AdGuard DNS но только по DoT, то есть без DoH, возможно ли это?

И получится ли у меня это, если у меня будет установлен компоненты AdGuard DNS + DoT, но не установлен DoH? Или они всегда должны быть установлены оба, чтобы интернет-фильтр AdGuard DNS работал не в plain text, а в зашифрованном виде?

Share this post


Link to post
Share on other sites
  • 0

Что-то совсем не радует работа DOT последние дни. Постоянно в логе такое. Пробовал разные DNS Cloudflare, Quad 9, SecureDNS, Adguard и другие. На момент этих записей доступа в интернет нет.

IMG_20190705_132126.jpg

Share this post


Link to post
Share on other sites
  • 0
4 часа назад, ankar84 сказал:

Да, об этом писали. Но у меня проблема именно с AdGuard. Хотя я прекрасно понимаю, что они используют CloudFlare как апстрим, но все же проблема с ним. 

Не только. Наблюдаю у себя аналогичные сообщения в логе при использовании dns.aaflalo.me , апстрим тоже от CloudFlare. Использую формат DNS message.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...