Jump to content
  • 2

Настройка DoT/DoH


KorDen

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Link to comment
Share on other sites

Recommended Posts

  • 0

При добавлении серверов DoT получаю такое сообщение:

Quote
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: DNS-over-TLS name server 185.228.169.9:853 added.
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.google.
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.google.
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.quad9.net.

Если указать Доменное имя TLS dns.google.com, то Гугл серверы добавляются,

Quote
Сен 27 00:06:23
 
ndm
Dns::Secure::ManagerDot: DNS-over-TLS name server 8.8.8.8:853 added.
Сен 27 00:06:23
 
ndm
Dns::Secure::ManagerDot: DNS-over-TLS name server 8.8.4.4:853 added.

а quad9 я не понял как заставить работать.
Все это на Ultra 1810, 3.1

Link to comment
Share on other sites

  • 0
В 23.09.2019 в 15:13, WMac сказал:

А что насчет ESNI?

А что насчет ESNI?

Там даже стандарта еще вменяемого нет - то им в _esni@TXT пихайте публичный ключ, то уже в IN ESNI...

Пусть сперва выйдет хоть что-то типа RFC или хотя бы дефакто будет поддержка сразу и в Chrome, и в Firefox.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

  • 0

@enpa, возможно стоит перенести из английской версии статьи про DoT/DoH в русскую уточнение про флаг ESNI в чекере Cloudflare?

The Encrypted SNI (ESNI) feature must be enabled in the browser itself to pass the test on that page.

Сейчас не совсем понятно из русской статьи, что резолвер в кинетике проверку ESNI не обеспечивает на той странице. Это уж не говоря про особенности браузеров. В Firefox, например, ESNI не будет задействовано без работы через встроенный DoH-резолвер и включенной опции в about:config. И только на тех сайтах, что добавили TXT-запись с публичным ключом к поддомену _esni (на эту тему есть тикет в баг-трекере Мозиллы — https://bugzilla.mozilla.org/show_bug.cgi?id=1500289).

Edited by rustrict
  • Thanks 1
Link to comment
Share on other sites

  • 0

ESNI не панацея... 

https://habr.com/ru/post/468603/        // заголовок слишком громкий...

В комментах отписались, что  "провайдерские DPI уже если не видят в TLS-хендшейке имени хоста (как это происходит и в случае с eSNI), сразу рвут соединение. И не исключено, что рано или поздно РКНом или провайдерами просто будет заявлено «Хотите, чтобы все работало — отключайте eSNI. А не хотите — как хотите».

Link to comment
Share on other sites

  • 0

@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil

Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.

Link to comment
Share on other sites

  • 0
12 минуты назад, enpa сказал:

@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil

Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.

Это не была реклама ESNI :)

Мне казалось, что пользователей будет смущать "x" в том тесте после настройки. Видимо, вы правы, текущего текста достаточно.

Link to comment
Share on other sites

  • 0

Интересно, а почему для DoT решили сделать настройку с IP и SNI, а не использовать только URL с bootstrap'ом через указанные/полученные name-servers или через встроенный список, если "из коробки"? Почему не сделали по аналогии с DoH? Ведь так, кажется, гибче.

Link to comment
Share on other sites

  • 0
5 минут назад, dpokrovsky сказал:

Интересно, а почему для DoT решили сделать настройку с IP и SNI, а не использовать только URL с bootstrap'ом через указанные/полученные name-servers или через встроенный список, если "из коробки"? Почему не сделали по аналогии с DoH? Ведь так, кажется, гибче.

Вроде url тоже работает. 

  • Thanks 1
Link to comment
Share on other sites

  • 0

Заметил, что начиная с версии 3.3 Alpha 7 начал отваливаться DNS Гугла, примерно через 2 дня после перезагрузки роутера. В субботу через 3 часа после выхода. установил Alpha 8 и сегодня в понедельник утром заметил что DNS Гугла опять нет. Проверяю здесь.

Настройки такие:

----DoH----
DNS Message:
https://1.0.0.1/dns-query
https://dns.google/dns-query

При этом Cloudflare продолжает работать.

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40508    2401    2209      137       9ms      76ms    10  
               127.0.0.1  40509    3299    3123      110     253ms     220ms     4  

              proxy-safe: 


             proxy-https: 
             server-https: 
                          uri: https://1.0.0.1/dns-query
                       format: dnsm
                         spki: 
                    interface: GigabitEthernet1

             server-https: 
                          uri: https://dns.google/dns-query
                       format: dnsm
                         spki: 
                    interface: GigabitEthernet1
Время отклика очень большое может это связано с этим хотя не думаю. Команды bantime больше нет.

Link to comment
Share on other sites

  • 0

Они оба используются, но тот, кто быстрее отвечает - от того ответ вам и пересылают. Вот и выглядит так, что google отвалился, хотя по факту он просто стал медленнее и его ответы игнорируются.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

  • 0

Попутный вопрос. Если включён DoT/DoH, что происходит с "проходящими" DNS запросами? Если пропускаются, то можно ли завернуть из на DoT/DoH резолвер Кинетика?

Link to comment
Share on other sites

  • 0
59 минут назад, Alex M. Jake сказал:

Попутный вопрос. Если включён DoT/DoH, что происходит с "проходящими" DNS запросами? Если пропускаются, то можно ли завернуть из на DoT/DoH резолвер Кинетика?

Да. Нужно активировать Интернет-фильтр AdGuard и выбрать в нем без фильтации (или что-то подобное). И всё транзитные обращения на 53 должны будет заворачиваться на DoH/DoT.

Edited by keenet07
Link to comment
Share on other sites

  • 0

Всем привет, я правильно понимаю, если прописать DOT/DOH, можно не удалять DNS от провайдера в интернет соединении? они будут просто отключены, правильно?

Link to comment
Share on other sites

  • 0
3 минуты назад, Anton_link сказал:

Всем привет, я правильно понимаю, если прописать DOT/DOH, можно не удалять DNS от провайдера в интернет соединении? они будут просто отключены, правильно?

Цитата:

Цитата

Важно! При включении протокола DoT/DoH все DNS-запросы будут направляться на указанный при настройке адрес сервера. Полученные ранее DNS-сервера от вашего интернет-провайдера и прописанные вручную DNS-сервера использоваться не будут.

Статья для чтения.

Link to comment
Share on other sites

  • 0

Непонятно как активные соединения обновляются. 

Иногда что то проскакивает на 53й

Но обычно одна строка: 

Keenetic_Start (KMTN)
ххх,ххх,ххх,ххх
 
 
:58172
8.8.4.4
TCP/443

или

:53025
1.0.0.1
UDP/53
:51499
8.8.4.4
UDP/53

 

Что это вообще :)

1233.png

Edited by Татьяна Любимцева
Link to comment
Share on other sites

  • 0

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов инициированных роутером по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

Edited by keenet07
Link to comment
Share on other sites

  • 0
5 минут назад, keenet07 сказал:

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов с роутера по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

@Татьяна Любимцева

Там bootstrap идет через plain dns гугла что бы сам doh сервер отрезолвить в ip.

Edited by r13
Link to comment
Share on other sites

  • 0
2 минуты назад, r13 сказал:

Там bootstrap идет через plain dns гугла что бы сам doh сервер отрезолвить в ip.

Точно. Скорее всего. ) Я сам только на DOT у меня этого не требуется. )

Edited by keenet07
Link to comment
Share on other sites

  • 0
4 минуты назад, Татьяна Любимцева сказал:

Пусто. А настройки то правильные у меня?

Если нет специфических требований, настраивайте DNS-over-TLS он и в настройке проще, и менее ресурсоемкий.

Link to comment
Share on other sites

  • 0
Только что, r13 сказал:

Если нет специфических требований, настраивайте DNS-over-TLS он и в настройке проще, и менее ресурсоемкий.

и более безопасный.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...