Jump to content
  • 2
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0

@Егор Бредюк Такое срабатывает у тех у кого древний отсталый провайдер который не использует правильную блокировку. А тупо подменяет все проходящие DNS запросы по блэклисту перенаправляя вас на страничку-заглушку.

И то как правило сам этот провайдер может закупать интернет у вышестоящего в котором уже есть полноценная блокировка с анализом заголовков пакетов. Даже если вы получили правильный IP через скрытый DNS запрос, подключиться вы всё-равно не сможете, т.к. первый же пакет на адрес выдаст вас с потрохами.

Share this post


Link to post
Share on other sites
  • 0

Пожалуйста, подскажите: в настоящий момент можно ограничить работу DoT/DoH каким-то отдельным сегментом? То есть я хочу, чтобы в Home устройства резолвились только через DoT, а в Guest — только через провайдерские сервера. Или я слишком губу раскатал?

P. S. Да, можно прописать в настройках DHCP для сегмента сервера провайдера, но по IPv6 link-local все равно работает DoT/DoH (во всех сегментах), а он клиентскими устройствами с IPv6 выбирается как приоритетный.

Share this post


Link to post
Share on other sites
  • 0

При добавлении серверов DoT получаю такое сообщение:

Quote
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: DNS-over-TLS name server 185.228.169.9:853 added.
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.google.
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.google.
Сен 26 23:06:07
 
ndm
Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.quad9.net.

Если указать Доменное имя TLS dns.google.com, то Гугл серверы добавляются,

Quote
Сен 27 00:06:23
 
ndm
Dns::Secure::ManagerDot: DNS-over-TLS name server 8.8.8.8:853 added.
Сен 27 00:06:23
 
ndm
Dns::Secure::ManagerDot: DNS-over-TLS name server 8.8.4.4:853 added.

а quad9 я не понял как заставить работать.
Все это на Ultra 1810, 3.1

Share this post


Link to post
Share on other sites
  • 0
В 23.09.2019 в 15:13, WMac сказал:

А что насчет ESNI?

А что насчет ESNI?

Там даже стандарта еще вменяемого нет - то им в _esni@TXT пихайте публичный ключ, то уже в IN ESNI...

Пусть сперва выйдет хоть что-то типа RFC или хотя бы дефакто будет поддержка сразу и в Chrome, и в Firefox.

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

@enpa, возможно стоит перенести из английской версии статьи про DoT/DoH в русскую уточнение про флаг ESNI в чекере Cloudflare?

The Encrypted SNI (ESNI) feature must be enabled in the browser itself to pass the test on that page.

Сейчас не совсем понятно из русской статьи, что резолвер в кинетике проверку ESNI не обеспечивает на той странице. Это уж не говоря про особенности браузеров. В Firefox, например, ESNI не будет задействовано без работы через встроенный DoH-резолвер и включенной опции в about:config. И только на тех сайтах, что добавили TXT-запись с публичным ключом к поддомену _esni (на эту тему есть тикет в баг-трекере Мозиллы — https://bugzilla.mozilla.org/show_bug.cgi?id=1500289).

Edited by rustrict
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

ESNI не панацея... 

https://habr.com/ru/post/468603/        // заголовок слишком громкий...

В комментах отписались, что  "провайдерские DPI уже если не видят в TLS-хендшейке имени хоста (как это происходит и в случае с eSNI), сразу рвут соединение. И не исключено, что рано или поздно РКНом или провайдерами просто будет заявлено «Хотите, чтобы все работало — отключайте eSNI. А не хотите — как хотите».

Share this post


Link to post
Share on other sites
  • 0

@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil

Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.

Share this post


Link to post
Share on other sites
  • 0
12 минуты назад, enpa сказал:

@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil

Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.

Это не была реклама ESNI :)

Мне казалось, что пользователей будет смущать "x" в том тесте после настройки. Видимо, вы правы, текущего текста достаточно.

Share this post


Link to post
Share on other sites
  • 0

Интересно, а почему для DoT решили сделать настройку с IP и SNI, а не использовать только URL с bootstrap'ом через указанные/полученные name-servers или через встроенный список, если "из коробки"? Почему не сделали по аналогии с DoH? Ведь так, кажется, гибче.

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, dpokrovsky сказал:

Интересно, а почему для DoT решили сделать настройку с IP и SNI, а не использовать только URL с bootstrap'ом через указанные/полученные name-servers или через встроенный список, если "из коробки"? Почему не сделали по аналогии с DoH? Ведь так, кажется, гибче.

Вроде url тоже работает. 

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, r13 сказал:

Вроде url тоже работает. 

Действительно. Супер.

Share this post


Link to post
Share on other sites
  • 0

Заметил, что начиная с версии 3.3 Alpha 7 начал отваливаться DNS Гугла, примерно через 2 дня после перезагрузки роутера. В субботу через 3 часа после выхода. установил Alpha 8 и сегодня в понедельник утром заметил что DNS Гугла опять нет. Проверяю здесь.

Настройки такие:

----DoH----
DNS Message:
https://1.0.0.1/dns-query
https://dns.google/dns-query

При этом Cloudflare продолжает работать.

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40508    2401    2209      137       9ms      76ms    10  
               127.0.0.1  40509    3299    3123      110     253ms     220ms     4  

              proxy-safe: 


             proxy-https: 
             server-https: 
                          uri: https://1.0.0.1/dns-query
                       format: dnsm
                         spki: 
                    interface: GigabitEthernet1

             server-https: 
                          uri: https://dns.google/dns-query
                       format: dnsm
                         spki: 
                    interface: GigabitEthernet1
Время отклика очень большое может это связано с этим хотя не думаю. Команды bantime больше нет.

Share this post


Link to post
Share on other sites
  • 0

Они оба используются, но тот, кто быстрее отвечает - от того ответ вам и пересылают. Вот и выглядит так, что google отвалился, хотя по факту он просто стал медленнее и его ответы игнорируются.

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Попутный вопрос. Если включён DoT/DoH, что происходит с "проходящими" DNS запросами? Если пропускаются, то можно ли завернуть из на DoT/DoH резолвер Кинетика?

Share this post


Link to post
Share on other sites
  • 0
59 минут назад, Alex M. Jake сказал:

Попутный вопрос. Если включён DoT/DoH, что происходит с "проходящими" DNS запросами? Если пропускаются, то можно ли завернуть из на DoT/DoH резолвер Кинетика?

Да. Нужно активировать Интернет-фильтр AdGuard и выбрать в нем без фильтации (или что-то подобное). И всё транзитные обращения на 53 должны будет заворачиваться на DoH/DoT.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

Всем привет, я правильно понимаю, если прописать DOT/DOH, можно не удалять DNS от провайдера в интернет соединении? они будут просто отключены, правильно?

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, Anton_link сказал:

Всем привет, я правильно понимаю, если прописать DOT/DOH, можно не удалять DNS от провайдера в интернет соединении? они будут просто отключены, правильно?

Цитата:

Цитата

Важно! При включении протокола DoT/DoH все DNS-запросы будут направляться на указанный при настройке адрес сервера. Полученные ранее DNS-сервера от вашего интернет-провайдера и прописанные вручную DNS-сервера использоваться не будут.

Статья для чтения.

Share this post


Link to post
Share on other sites
  • 0

Непонятно как активные соединения обновляются. 

Иногда что то проскакивает на 53й

Но обычно одна строка: 

Keenetic_Start (KMTN)
ххх,ххх,ххх,ххх
 
 
:58172
8.8.4.4
TCP/443

или

:53025
1.0.0.1
UDP/53
:51499
8.8.4.4
UDP/53

 

Что это вообще :)

1233.png

Edited by Татьяна Любимцева

Share this post


Link to post
Share on other sites
  • 0

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов инициированных роутером по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, keenet07 сказал:

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов с роутера по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

@Татьяна Любимцева

Там bootstrap идет через plain dns гугла что бы сам doh сервер отрезолвить в ip.

Edited by r13

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, r13 сказал:

Там bootstrap идет через plain dns гугла что бы сам doh сервер отрезолвить в ip.

Точно. Скорее всего. ) Я сам только на DOT у меня этого не требуется. )

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

У меня тоже DoH и все запросы идут через 443 порт.  А в разделе "Серверы DNS" у вас пусто?

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, Татьяна Любимцева сказал:

Пусто. А настройки то правильные у меня?

Если нет специфических требований, настраивайте DNS-over-TLS он и в настройке проще, и менее ресурсоемкий.

Share this post


Link to post
Share on other sites
  • 0
Только что, r13 сказал:

Если нет специфических требований, настраивайте DNS-over-TLS он и в настройке проще, и менее ресурсоемкий.

и более безопасный.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...