Jump to content
  • 2

Настройка DoT/DoH


KorDen

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Link to comment
Share on other sites

Recommended Posts

  • 0
4 часа назад, ankar84 сказал:

Да, об этом писали. Но у меня проблема именно с AdGuard. Хотя я прекрасно понимаю, что они используют CloudFlare как апстрим, но все же проблема с ним. 

Не только. Наблюдаю у себя аналогичные сообщения в логе при использовании dns.aaflalo.me , апстрим тоже от CloudFlare. Использую формат DNS message.

Link to comment
Share on other sites

  • 0
В 16.06.2019 в 00:45, Кинетиковод сказал:

Сделайте так:

tyryrty.thumb.PNG.055d01e4f39d2ab9837fd16aa0858f48.PNG

А как вообще при таком варианте работы (когда у нас в настройках прописано только https://dns.cloudflare.com/dns-query) через DOH резолвится IP адрес самого DNS сервера?

Edited by keenet07
Link to comment
Share on other sites

  • 0
4 часа назад, keenet07 сказал:

А как вообще при таком варианте работы (когда у нас в настройках прописано только https://dns.cloudflare.com/dns-query) через DOH резолвится IP адрес самого DNS сервера?

Через обычные гугловые

Link to comment
Share on other sites

  • 0

Какой приоритет использования DNS серверов, если настроен и DOT и DOH. Что будет использоваться по факту? Или лучше зачищать альтернативный вариант?

 

И ещё, будет ли автоматически использоваться прописанный классический DNS, в случае временной недоступности серверов по DOH и DOT? 

Link to comment
Share on other sites

  • 0
3 минуты назад, keenet07 сказал:

Какой приоритет использования DNS серверов, если настроен и DOT и DOH. Что будет использоваться по факту? Или лучше зачищать альтернативный вариант?

 

И ещё, будет ли автоматически использоваться прописанный классический DNS, в случае временной недоступности серверов по DOH и DOT? 

При наличии dot/doh обычные не используются совсем.

Недоступность dot/doh не влияет на поведение.

Link to comment
Share on other sites

  • 0

Хорошо. Но вот как уже выясняется при работе DOH используются в некоторой степени. Причем ещё и с какой-то периодичностью. Вижу в Диагностике в Активных соединениях среди соединений роутера появляются соединения на эти служебные простые DNS сервера. Довольно часто.

Link to comment
Share on other sites

  • 0
2 минуты назад, keenet07 сказал:

Хорошо. Но вот как уже выясняется при работе DOH используются в некоторой степени. Причем ещё и с какой-то периодичностью. Вижу в Диагностике в Активных соединениях среди соединений роутера появляются соединения на эти служебные простые DNS сервера. Довольно часто.

Хотите без bootstrap, используйте dot.

PS в хотя подмены в bootstrap можно в принципе не боятся, так как не верный ресурс не пройдет валидацию по сертификатам.

Edited by r13
Link to comment
Share on other sites

  • 0

Заметил что при работе DOH роутер открывает большое количество отдельных соединений на  свой DNS сервер. Это нормально? На каждый запрос отдельное соединение как при работе обычного DNS? Я думал будет работать внутри установленного HTTPS соединения.

При настроенном DOT соединение висело одно. (в Активных соединениях)

Edited by keenet07
Link to comment
Share on other sites

  • 0

DOH почему-то вообще отказывался работать при запрещённых исходящих для роутера на 80 порт. Разве он не по 443 сразу работает?

Link to comment
Share on other sites

  • 0

Всё понятно. Сложная конструкция при работе через DOH получается. Для меня преимущества пока не очевидны. Останусь пока на DOT.

Хотя работа через DOT  у меня почему-то в два раз медленнее чем через DOH (через тот же CloudFlare)

Edited by keenet07
Link to comment
Share on other sites

  • 0
16 минут назад, Le ecureuil сказал:

Можно и то, и другое одновременно включить, а роутер сам выберет самое быстрое/доступное и будет работать через него.

Это хорошо. Но я стремлюсь к уменьшению лишних соединений, чтоб всё было визуально понятно кто куда и зачем.

Кстати, подскажите на порту 4044 роутер что делает?

 

Le ecureuil: offtop, прекращаем

Edited by Le ecureuil
Link to comment
Share on other sites

  • 0
8 минут назад, Le ecureuil сказал:

Можно и то, и другое одновременно включить, а роутер сам выберет самое быстрое/доступное и будет работать через него.

Решил попробовать DoH. Мои настройки.

JSON:
https://dns.google/resolve
https://cloudflare-dns.com/dns-query?ct=application/dns-json

Запускаю DNS Leak Test:

  • Your IP: 189.42.183.166
  • DNS IP: 162.158.87.78
  • Hostname: 162.158.87.78
  • ISP: Cloudflare
  • Country: Germany
  • City: Frankfurt Am Main
  • Хотя ближайший - 1.0.0.1 находится в Москве.
  • А это Гугл:
  • Your IP: 189.42.183.166
  • DNS IP: 74.125.112.13
  • Hostname: 74.125.112.13
  • ISP: Google
  • Country: Finland
  • City: Lappeenranta
Edited by cmisha
Link to comment
Share on other sites

  • 0

Ближайший по географии - не всегда ближайший в Интернет. Порой из-за пиринговых войн Стокгольм оказывается ближе чем соседняя квартира но с другим провайдером.

  • Thanks 1
Link to comment
Share on other sites

  • 0
1 минуту назад, Le ecureuil сказал:

Ближайший по географии - не всегда ближайший в Интернет. Порой из-за пиринговых войн Стокгольм оказывается ближе чем соседняя квартира но с другим провайдером.

То да. Просто привел свой пример. Если будет время проверьте команду bantime, не хочет прописываться в конфиг.

Link to comment
Share on other sites

  • 0
48 минут назад, cmisha сказал:

То да. Просто привел свой пример. Если будет время проверьте команду bantime, не хочет прописываться в конфиг.

Эти команды давно устарели и больше ничего не делают.

  • Thanks 1
Link to comment
Share on other sites

  • 0

Иногда бывает ситуация когда у провайдера падает аплинк и нет инета, но остальные локальные его сервисы работают. Но по понятным причинам все эти DOT/DOH сервера становятся не доступными и местные адреса серверов не резолвятся. Например не зайти в ЛК.

Так вот в этом случае приходится временно прописывать DNS провайдера. Но когда у тебя забито куча полей в настройках DOT/DOH удалять всё, пусть даже временно не хочется, а только так можно вернуться к работе стандартного DNS. 

Вот были бы отдельные выключатели полностью для сервисов  DOT/DOH без удаления записей. Нажал, поработал. Вернулся интернет, переключил обратно.

Особенно актуально когда наступает новый месяц, а интернет ещё не проплачен и соответственно он блокируется, включая DNS сервисы. И в личный кабинет провайдера, чтобы пополнить счёт просто так уже не попасть без смены DNS.

Edited by keenet07
  • Upvote 3
Link to comment
Share on other sites

  • 0
22 минуты назад, Sergey Zozulya сказал:

@keenet07 случалось такое уже три раза. Мне помогает прописать любой "обычный" DNS в свойствах проводного соединения.

В случае с DOT/DOH это никак не поможет. Когда они активны простые DNS игнорируются.

Link to comment
Share on other sites

  • 0
1 minute ago, keenet07 said:

Когда они активны простые DNS игнорируются.

Это мне известно, но факт - добавление DNS в настройки проводного интерфейса помогло во всех трех случаях.

Link to comment
Share on other sites

  • 0

Про оптимальные настройки.

Вроде тут пишут https://developers.google.com/speed/public-dns/docs/dns-over-tls

The stub resolver is configured with the DNS-over-TLS resolver name dns.google. 

А не dns.google.com. Нет?

 

И там же, что у Google DoH есть JSON? 

Google Public DNS provides two distinct DoH APIs at these endpoints:

  • https://dns.google/dns-query – RFC 8484 (GET and POST)
  • https://dns.google/resolve? – JSON API (GET)
Link to comment
Share on other sites

  • 0
5 часов назад, Татьяна Любимцева сказал:

Вроде тут пишут https://developers.google.com/speed/public-dns/docs/dns-over-tls

The stub resolver is configured with the DNS-over-TLS resolver name dns.google. 

А не dns.google.com. Нет?

Да, Google рекомендует использовать в качестве Authentication Domain Name (ADN) адрес dns.google. Он же прописан в их сертификате как «Common Name» (CN).

Но в этом же сертификате есть поле «Subject Alternative Name» (SAN), в котором есть адрес dns.google.com. Поэтому проблем с подключением по такому адресу быть не должно.

Mac-mini:~ rustrict$ echo | openssl s_client -connect dns.google.com:853 | openssl x509 -text | grep "DNS:"
depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = US, O = Google Trust Services, CN = GTS CA 1O1
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = dns.google
verify return:1
DONE
                DNS:dns.google, DNS:*.dns.google.com, DNS:8888.google, DNS:dns.google.com, DNS:dns64.dns.google,
                IP Address:2001:4860:4860:0:0:0:0:64, IP Address:2001:4860:4860:0:0:0:0:6464, IP Address:2001:4860:4860:0:0:0:0:8844,
                IP Address:2001:4860:4860:0:0:0:0:8888, IP Address:8.8.4.4, IP Address:8.8.8.8

Ну и собственно пример запроса:

rustrict@debian:~$ kdig -d @dns.google.com +tls-ca +tls-host=dns.google.com keenetic.com
;; DEBUG: Querying for owner(keenetic.com.), class(1), type(1), server(dns.google.com), port(853), protocol(TCP)
;; DEBUG: TLS, imported 128 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=California,L=Mountain View,O=Google LLC,CN=dns.google
;; DEBUG:      SHA-256 PIN: vEbqO29VPXOULHxmGJxvrlGDm1MJ4XJQ6MtmlpgvL40=
;; DEBUG:  #2, C=US,O=Google Trust Services,CN=GTS CA 1O1
;; DEBUG:      SHA-256 PIN: YZPgTZ+woNCCCIW3LH2CxQeLzB/1m42QcCTBSdgayjs=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted. 
;; TLS session (TLS1.3)-(ECDHE-X25519)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 13351
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 512 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; keenetic.com.       		IN	A

;; ANSWER SECTION:
keenetic.com.       	3599	IN	A	46.105.148.88

;; Received 57 B
;; Time 2019-09-01 18:49:02 MSK
;; From 2001:4860:4860::8888@853(TCP) in 58.0 ms

 

Link to comment
Share on other sites

  • 0
В 18.06.2019 в 14:36, Le ecureuil сказал:

К счастью, adguard полностью поддерживает doh/dot.

kn-1010

3.3 Alpha 1.1

установлены компоненты dot/doh, включен интернет-фильтр Adguard, другие dns  в роутере не прописаны

в лог пишется много таких сообщений, нужно ли  с этим что-то делать и на что это влияет?

Sep  8 19:51:49 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:49 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:54 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:54 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:54 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled

 

Link to comment
Share on other sites

  • 0
2 минуты назад, r13 сказал:

Нет, на блокировку это не влияет. 

А что за хайп сейчас везде начинается, что файрфокс и хром "научились" обходить блокировку РКН благодаря DoH? Или суть разная ?

Link to comment
Share on other sites

  • 0
15 минут назад, Егор Бредюк сказал:

А что за хайп сейчас везде начинается, что файрфокс и хром "научились" обходить блокировку РКН благодаря DoH? Или суть разная ?

Ни DoH, ни DoT вам не поможет. Но решение для пацанов всё же есть. Правда данное решение Windows only.

Link to comment
Share on other sites

  • 0

@Егор Бредюк Такое срабатывает у тех у кого древний отсталый провайдер который не использует правильную блокировку. А тупо подменяет все проходящие DNS запросы по блэклисту перенаправляя вас на страничку-заглушку.

И то как правило сам этот провайдер может закупать интернет у вышестоящего в котором уже есть полноценная блокировка с анализом заголовков пакетов. Даже если вы получили правильный IP через скрытый DNS запрос, подключиться вы всё-равно не сможете, т.к. первый же пакет на адрес выдаст вас с потрохами.

Link to comment
Share on other sites

  • 0

Пожалуйста, подскажите: в настоящий момент можно ограничить работу DoT/DoH каким-то отдельным сегментом? То есть я хочу, чтобы в Home устройства резолвились только через DoT, а в Guest — только через провайдерские сервера. Или я слишком губу раскатал?

P. S. Да, можно прописать в настройках DHCP для сегмента сервера провайдера, но по IPv6 link-local все равно работает DoT/DoH (во всех сегментах), а он клиентскими устройствами с IPv6 выбирается как приоритетный.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...