Jump to content
  • 2
KorDen

Настройка DoT/DoH

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0

Пример оптимальной настройки, с учетом использования DoT \ DoH серверов таких компаний, как Adguard, Google, Cloudflare, Quad9 + с форматами DNS JSON & DNSM.

Настройка в Command Line Interface, CLI:

dns-proxy
tls upstream 8.8.8.8 853 sni dns.google.com
tls upstream 8.8.4.4 853 sni dns.google.com
tls upstream 1.1.1.1 853 sni cloudflare-dns.com
tls upstream 1.0.0.1 853 sni cloudflare-dns.com
tls upstream 176.103.130.130 853 sni dns.adguard.com
tls upstream 176.103.130.131 853 sni dns.adguard.com
tls upstream 9.9.9.9 853 sni dns.quad9.net
https upstream https://cloudflare-dns.com/dns-query dnsm
https upstream https://dns.google/dns-query dnsm
exit
system configuration save
show dns-proxy

# ndnproxy statistics file

Total incoming requests: 133
Proxy requests sent:     134
Cache hits ratio:        0.113 (15)
Memory usage:            31.29K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40500       2       0        2      22ms      21ms     1  
               127.0.0.1  40501       2       0        2      36ms      36ms     1  
               127.0.0.1  40502       2       0        0       0ms       0ms     4  
               127.0.0.1  40503       2       0        0       0ms       0ms     2  
               127.0.0.1  40504       2       0        0       0ms       0ms     1  
               127.0.0.1  40505       2       0        0       0ms       0ms     4  
               127.0.0.1  40506       2       0        0       0ms       0ms     1  
               127.0.0.1  40508       3       1        2     350ms     310ms     3  
               127.0.0.1  40509     117     115        2      21ms      21ms    10

2020-07-27_21-28-16.png

Среднее время отклика med. avg. response time конечно скачет, может достигать выше 1000 ms, но в целом отклик хороший, практически у всех адресов.

Также написана статья в базе знаний по настройке, с описанием и примерами - Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов, которая дополняется информацией.

Проверка работоспособности шифрования - ТОЛЬКО для адресов от Cloudflare:

https://www.cloudflare.com/ssl/encrypted-sni/

image.png

https://1.1.1.1/help

image.png

https://adguard.com/ru/test.html

image.png


Настройка фильтрации рекламы, трекеров, вредоносных сайтов с подробной аналитикой от https://nextdns.io/ через протокол DNS over TLS.

Настройка в Command Line Interface, CLI:

!
dns-proxy
    tls upstream 45.90.28.0 853 sni xxx.dns1.nextdns.io
    tls upstream 45.90.30.0 853 sni xxx.dns2.nextdns.io
# ndnproxy statistics file

Total incoming requests: 613
Proxy requests sent:     493
Cache hits ratio:        0.225 (138)
Memory usage:            33.91K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40516      25      12        8     119ms     449ms     3  
               127.0.0.1  40517     468     453        8      89ms      94ms     4  

               proxy-tls: 
               server-tls: 
                      address: 45.90.28.0
                         port: 853
                          sni: xxx.dns1.nextdns.io
                         spki: 
                    interface: 

               server-tls: 
                      address: 45.90.30.0
                         port: 853
                          sni: xxx.dns2.nextdns.io
                         spki: 
                    interface: 

       proxy-tls-filters: 
             proxy-https: 
     proxy-https-filters: 


где xxx - Ваш ID профиля nextdns.

Настройка в WebUI:

image.png

Проверка доступности https://my.nextdns.io/configuration/xxx/setup:

image.png


Корректная фильтрация контента зависит от выбранных Вами готовых профилей в https://my.nextdns.io/configuration/xxx/lists.

Мой лист:

EasyList
Malware Domain Blocklist by RiskAnalytics
Ransomware Tracker
AdGuard Simplified Domain Names filter
hpHosts (ATS / Ads & trackers)
hpHosts (EMD / Malware)
pornhosts
Sinfonietta (Porn)
RU AdList
CoinBlockerLists (browser)

Проверка фильтрации https://checkadblock.ru/:

image.png
 

image.png

image.png

image.png

image.png

  • Thanks 5
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
Только что, Татьяна Любимцева сказал:

DOH  вроде быстрее пишут, нет?

Не, DOT :)

Share this post


Link to post
Share on other sites
  • 0

Установлен и настроен DOT.

DOH не установлен.

Активировал фильтр AdGuard DNS и выбрал в нем "без фильтрации", просто чтобы завернуть все прямые обращения к DNS по 53 на DOT.

В Активных соединениях в Диагностике вижу различные исходящие обращения на 53 порт. Откуда они берутся? Что это такое? Без AdGuard такого не было.

Если бы у меня был установлен DOH, подумал бы на bootstrap. А так кто там ещё напрямую пролазит? Сам AdGuard тоже для чего то использует bootstrap? Зачем он ему DOH всё-равно не установлен? Как вылечить?

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

Есть возможность реализовать в web интерфейсе такую фичу для DoH, DoT?

image-1.png.832ebbc93b9f09bae624a1d88bba27d2.png

 

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, Classic сказал:

Есть возможность реализовать в web интерфейсе такую фичу для DoH, DoT?

На счёт включения и выключения с галочки согласен. А на счёт нередактируемых предустановок серверов нет.

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, keenet07 сказал:

А на счёт нередактируемых предустановок серверов нет.

Я предлагаю это как опцию, без убирания ручного ввода адресов.

 

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, Classic сказал:

Я предлагаю это как опцию, без убирания ручного ввода адресов.

 

Так оно уже есть - включаете adguard (или начиная с 3.3 еще и skydns), устанавливаете dot/doh - и вуаля! Вообще никуда не нужно тыкать :)

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuil А что по моему вопросу повыше? 

Настройки у меня такие:

available: yes
            port: 53
    doh-supported: no
    doh-available: yes
    dot-supported: yes
    dot-available: yes 

Но вижу активность с 53.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, keenet07 сказал:

Установлен и настроен DOT.

DOH не установлен.

Активировал фильтр AdGuard DNS и выбрал в нем "без фильтрации", просто чтобы завернуть все прямые обращения к DNS по 53 на DOT.

В Активных соединениях в Диагностике вижу различные исходящие обращения на 53 порт. Откуда они берутся? Что это такое? Без AdGuard такого не было.

Если бы у меня был установлен DOH, подумал бы на bootstrap. А так кто там ещё напрямую пролазит? Сам AdGuard тоже для чего то использует bootstrap? Зачем он ему DOH всё-равно не установлен? Как вылечить?

Снимите дамп по "udp port 53", посмотрим что там у вас вылазит наружу. Еще self-test надобно.

Share this post


Link to post
Share on other sites
  • 0
23 минуты назад, Le ecureuil сказал:

Так оно уже есть - включаете adguard (или начиная с 3.3 еще и skydns), устанавливаете dot/doh - и вуаля! Вообще никуда не нужно тыкать :)

И всё равно, что бы пользоваться Cloudflare или Google их надо вписывать вручную, а предлагаю реализовывать выбор из списка. 

Share this post


Link to post
Share on other sites
  • 0
18 минут назад, Le ecureuil сказал:

Снимите дамп по "udp port 53", посмотрим что там у вас вылазит наружу. Еще self-test надобно.

Сейчас нет возможности.

Могу сказать, что сразу при активизации фильтра AdGuard и при первом же DNS запросе из локалки открывается целая связка DNS серверов. Которые у меня даже не прописаны нигде.

Источник Адрес назначения Служба
 
 
 
:59401
145.100.185.15
UDP/53
:59401
1.1.1.1
UDP/53
:59401
8.8.8.8
UDP/53
:59401
185.49.141.37
UDP/53
:59401
176.103.130.130
UDP/53

Это похоже на то что делает bootstrap для работы DOH?

И вопрос делает ли он такое обращение всегда когда активен просто на всякий случай? Без учета выбран ли какой-то реальный фильтр и без учета активирован ли DOH? Если да, тогда всё понятно. Если не должен так делать, тогда нужно исправить.

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, Classic сказал:

И всё равно, что бы пользоваться Cloudflare или Google их надо вписывать вручную, а предлагаю реализовывать выбор из списка. 

Вы понимаете что ваш выбор из списка предполагает работу только с одним из выбранных серверов?

А когда заполнен весь список разными серверами, то они работают все. Только автоматом выбирается самый скоростной.

И это могут быть не только гугл и клодфлэйр, но ещё и множество других.

 

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, keenet07 сказал:

Вы понимаете что ваш выбор из списка это работа только с одним из выбранных серверов?

Конечно понимаю, поэтому и предлагаю как опцию.

 

2 минуты назад, keenet07 сказал:

А когда заполнен весь список разными серверами, то они работают все. Только автоматом выбирается самый скоростной.

А этого не знал.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Le ecureuil сказал:

Снимите дамп по "udp port 53", посмотрим что там у вас вылазит наружу. Еще self-test надобно.

В общем поковырялся сам. Снял дамп. Увидел что все запросы со всех этих DNS идут только на 

dns-family.adguard.com
dns.adguard.com

Т.е. служебный трафик AdGuard. Но вопрос остается открытым. Для чего он всё время обновляет информацию по этим адресам даже когда везде выбрано "Без фильтрации"? А он это делает часто. Можно ли так оптимизировать код, чтоб лишних действий просто так не выполнялось? И соответственно эти UDP 53 в Активных соединениях не светились зря. Пусть обновляет только тогда когда активирован фильтр хотя бы на одном из устройств.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0
10 часов назад, keenet07 сказал:

В общем поковырялся сам. Снял дамп. Увидел что все запросы со всех этих DNS идут только на 


dns-family.adguard.com
dns.adguard.com

Т.е. служебный трафик AdGuard. Но вопрос остается открытым. Для чего он всё время обновляет информацию по этим адресам даже когда везде выбрано "Без фильтрации"? А он это делает часто. Можно ли так оптимизировать код, чтоб лишних действий просто так не выполнялось? И соответственно эти UDP 53 в Активных соединениях не светились зря. Пусть обновляет только тогда когда активирован фильтр хотя бы на одном из устройств.

Чтобы при смене IP на сервере у вас ничего не отвалилось. Или если эти IP заблокируют случайно, чтобы выбрать другие.

Share this post


Link to post
Share on other sites
  • 0
В 01.08.2019 в 12:50, enpa сказал:

Пример оптимальной настройки, с учетом использования DoT \ DoH серверов таких компаний, как Adguard, Google, Cloudflare, Quad9 + с форматами DNS JSON & DNSM.

Добрый день!

Настроил роутер согласно этой инструкции. Провайдер Ростелеком.

Результаты проверок на https://www.cloudflare.com/ssl/encrypted-sni/ и https://1.1.1.1/help совпадают с тем, что в посте. Однако при попытке зайти на некоторые сайты, блокируемые провайдером, получаю всё тоже сообщение о блокировке. Например как на скрине.

Скрытый текст

Снимок.PNG

show dns-proxy:

Скрытый текст


# ndnproxy statistics file

Total incoming requests: 512
Proxy requests sent:     766
Cache hits ratio:        0.033 (17)
Memory usage:            21.25K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
               127.0.0.1  40302       0       0        0       0ms       0ms     2
               127.0.0.1  40303       0       0        0       0ms       0ms     5
               127.0.0.1  40300       0       0        0       0ms       0ms     4
               127.0.0.1  40301       0       0        0       0ms       0ms     3
               127.0.0.1  40500      13       1        9      22ms      22ms     9
               127.0.0.1  40501      10       0        4      23ms      22ms     1
               127.0.0.1  40502      11       0        7      48ms      73ms     1
               127.0.0.1  40503     336     316        9       4ms      15ms    10
               127.0.0.1  40504      13       0        3    1353ms    1344ms     1
               127.0.0.1  40505      13       0        2      46ms      46ms     1
               127.0.0.1  40506      12       0        9      47ms     143ms     1
               127.0.0.1  40508     187       8        0      49ms      86ms     9
               127.0.0.1  40509      25      11        9      23ms      71ms     9

              proxy-safe:

profile 1 safe-access
profile 2 safe-access
profile-set-server 1 127.0.0.1:40300
profile-set-server 1 127.0.0.1:40301
profile-set-server 2 127.0.0.1:40302
profile-set-server 2 127.0.0.1:40303
set-profile 54:bd:79:49:58:5b 0
set-profile 6c:c7:ec:83:83:c5 0
set-profile 6c:c7:ec:83:a0:98 0
set-profile 50:ec:50:30:55:75 0
set-profile 1c:1b:0d:a7:ca:68 0
set-profile b4:69:21:22:35:35 0
set-profile e0:06:e6:aa:3f:e7 0
set-profile mac_default 0

               proxy-tls:
               server-tls:
                      address: 8.8.8.8
                         port: 853
                          sni: dns.google.com
                         spki:
                    interface:

               server-tls:
                      address: 8.8.4.4
                         port: 853
                          sni: dns.google.com
                         spki:
                    interface:

               server-tls:
                      address: 1.1.1.1
                         port: 853
                          sni: cloudflare-dns.com
                         spki:
                    interface:

               server-tls:
                      address: 1.0.0.1
                         port: 853
                          sni: cloudflare-dns.com
                         spki:
                    interface:

               server-tls:
                      address: 176.103.130.130
                         port: 853
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: 176.103.130.131
                         port: 853
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: 9.9.9.9
                         port: 853
                          sni: dns.quad9.net
                         spki:
                    interface:

               server-tls:
                      address: dns.adguard.com
                         port:
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: dns-family.adguard.com
                         port:
                          sni: dns-family.adguard.com
                         spki:
                    interface:

       proxy-tls-filters:
               server-tls:
                      address: dns.adguard.com
                         port:
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: dns-family.adguard.com
                         port:
                          sni: dns-family.adguard.com
                         spki:
                    interface:

             proxy-https:
             server-https:
                          uri: https://cloudflare-dns.com/dns-query
                       format: json
                         spki:
                    interface:

             server-https:
                          uri: https://dns.google/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

     proxy-https-filters:
             server-https:
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:
 

Что я делаю не так?

 

 

Edited by Dell

Share this post


Link to post
Share on other sites
  • 0
Только что, Dell сказал:

Добрый день!

Настроил роутер согласно этой инструкции. Провайдер Ростелеком.

Результаты проверок на https://www.cloudflare.com/ssl/encrypted-sni/ и https://1.1.1.1/help совпадают с тем, что в посте. Однако при попытке зайти на некоторые сайты, блокируемые провайдером, получаю всё тоже сообщение о блокировке. Например как на скрине.

  Показать содержимое

Снимок.PNG

show dns-proxy:

  Скрыть содержимое


# ndnproxy statistics file

Total incoming requests: 512
Proxy requests sent:     766
Cache hits ratio:        0.033 (17)
Memory usage:            21.25K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
               127.0.0.1  40302       0       0        0       0ms       0ms     2
               127.0.0.1  40303       0       0        0       0ms       0ms     5
               127.0.0.1  40300       0       0        0       0ms       0ms     4
               127.0.0.1  40301       0       0        0       0ms       0ms     3
               127.0.0.1  40500      13       1        9      22ms      22ms     9
               127.0.0.1  40501      10       0        4      23ms      22ms     1
               127.0.0.1  40502      11       0        7      48ms      73ms     1
               127.0.0.1  40503     336     316        9       4ms      15ms    10
               127.0.0.1  40504      13       0        3    1353ms    1344ms     1
               127.0.0.1  40505      13       0        2      46ms      46ms     1
               127.0.0.1  40506      12       0        9      47ms     143ms     1
               127.0.0.1  40508     187       8        0      49ms      86ms     9
               127.0.0.1  40509      25      11        9      23ms      71ms     9

              proxy-safe:

profile 1 safe-access
profile 2 safe-access
profile-set-server 1 127.0.0.1:40300
profile-set-server 1 127.0.0.1:40301
profile-set-server 2 127.0.0.1:40302
profile-set-server 2 127.0.0.1:40303
set-profile 54:bd:79:49:58:5b 0
set-profile 6c:c7:ec:83:83:c5 0
set-profile 6c:c7:ec:83:a0:98 0
set-profile 50:ec:50:30:55:75 0
set-profile 1c:1b:0d:a7:ca:68 0
set-profile b4:69:21:22:35:35 0
set-profile e0:06:e6:aa:3f:e7 0
set-profile mac_default 0

               proxy-tls:
               server-tls:
                      address: 8.8.8.8
                         port: 853
                          sni: dns.google.com
                         spki:
                    interface:

               server-tls:
                      address: 8.8.4.4
                         port: 853
                          sni: dns.google.com
                         spki:
                    interface:

               server-tls:
                      address: 1.1.1.1
                         port: 853
                          sni: cloudflare-dns.com
                         spki:
                    interface:

               server-tls:
                      address: 1.0.0.1
                         port: 853
                          sni: cloudflare-dns.com
                         spki:
                    interface:

               server-tls:
                      address: 176.103.130.130
                         port: 853
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: 176.103.130.131
                         port: 853
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: 9.9.9.9
                         port: 853
                          sni: dns.quad9.net
                         spki:
                    interface:

               server-tls:
                      address: dns.adguard.com
                         port:
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: dns-family.adguard.com
                         port:
                          sni: dns-family.adguard.com
                         spki:
                    interface:

       proxy-tls-filters:
               server-tls:
                      address: dns.adguard.com
                         port:
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: dns-family.adguard.com
                         port:
                          sni: dns-family.adguard.com
                         spki:
                    interface:

             proxy-https:
             server-https:
                          uri: https://cloudflare-dns.com/dns-query
                       format: json
                         spki:
                    interface:

             server-https:
                          uri: https://dns.google/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

     proxy-https-filters:
             server-https:
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:
 

Что я делаю не так?

 

 

Все так. У РТ включен DPI, потому и не пускает. Ждем реализацию - Encrypted SNI

Share this post


Link to post
Share on other sites
  • 0
32 минуты назад, Dell сказал:

Добрый день!

Настроил роутер согласно этой инструкции. Провайдер Ростелеком.

Результаты проверок на https://www.cloudflare.com/ssl/encrypted-sni/ и https://1.1.1.1/help совпадают с тем, что в посте. Однако при попытке зайти на некоторые сайты, блокируемые провайдером, получаю всё тоже сообщение о блокировке. Например как на скрине.

  Показать содержимое

Снимок.PNG

show dns-proxy:

  Показать содержимое


# ndnproxy statistics file

Total incoming requests: 512
Proxy requests sent:     766
Cache hits ratio:        0.033 (17)
Memory usage:            21.25K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
               127.0.0.1  40302       0       0        0       0ms       0ms     2
               127.0.0.1  40303       0       0        0       0ms       0ms     5
               127.0.0.1  40300       0       0        0       0ms       0ms     4
               127.0.0.1  40301       0       0        0       0ms       0ms     3
               127.0.0.1  40500      13       1        9      22ms      22ms     9
               127.0.0.1  40501      10       0        4      23ms      22ms     1
               127.0.0.1  40502      11       0        7      48ms      73ms     1
               127.0.0.1  40503     336     316        9       4ms      15ms    10
               127.0.0.1  40504      13       0        3    1353ms    1344ms     1
               127.0.0.1  40505      13       0        2      46ms      46ms     1
               127.0.0.1  40506      12       0        9      47ms     143ms     1
               127.0.0.1  40508     187       8        0      49ms      86ms     9
               127.0.0.1  40509      25      11        9      23ms      71ms     9

              proxy-safe:

profile 1 safe-access
profile 2 safe-access
profile-set-server 1 127.0.0.1:40300
profile-set-server 1 127.0.0.1:40301
profile-set-server 2 127.0.0.1:40302
profile-set-server 2 127.0.0.1:40303
set-profile 54:bd:79:49:58:5b 0
set-profile 6c:c7:ec:83:83:c5 0
set-profile 6c:c7:ec:83:a0:98 0
set-profile 50:ec:50:30:55:75 0
set-profile 1c:1b:0d:a7:ca:68 0
set-profile b4:69:21:22:35:35 0
set-profile e0:06:e6:aa:3f:e7 0
set-profile mac_default 0

               proxy-tls:
               server-tls:
                      address: 8.8.8.8
                         port: 853
                          sni: dns.google.com
                         spki:
                    interface:

               server-tls:
                      address: 8.8.4.4
                         port: 853
                          sni: dns.google.com
                         spki:
                    interface:

               server-tls:
                      address: 1.1.1.1
                         port: 853
                          sni: cloudflare-dns.com
                         spki:
                    interface:

               server-tls:
                      address: 1.0.0.1
                         port: 853
                          sni: cloudflare-dns.com
                         spki:
                    interface:

               server-tls:
                      address: 176.103.130.130
                         port: 853
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: 176.103.130.131
                         port: 853
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: 9.9.9.9
                         port: 853
                          sni: dns.quad9.net
                         spki:
                    interface:

               server-tls:
                      address: dns.adguard.com
                         port:
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: dns-family.adguard.com
                         port:
                          sni: dns-family.adguard.com
                         spki:
                    interface:

       proxy-tls-filters:
               server-tls:
                      address: dns.adguard.com
                         port:
                          sni: dns.adguard.com
                         spki:
                    interface:

               server-tls:
                      address: dns-family.adguard.com
                         port:
                          sni: dns-family.adguard.com
                         spki:
                    interface:

             proxy-https:
             server-https:
                          uri: https://cloudflare-dns.com/dns-query
                       format: json
                         spki:
                    interface:

             server-https:
                          uri: https://dns.google/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

     proxy-https-filters:
             server-https:
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:

             server-https:
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki:
                    interface:
 

Что я делаю не так?

 

 

DOT/DOH никак не связан с обходом блокировок. Если вас интересует защита от подмены DNS ответов провайдера тогда да.

Edited by r13

Share this post


Link to post
Share on other sites
  • 0
37 минут назад, cmisha сказал:

Все так. У РТ включен DPI, потому и не пускает. Ждем реализацию - Encrypted SNI

С учетом блокировок по ip Encrypted SNI не поможет ;)

Share this post


Link to post
Share on other sites
  • 0
33 минуты назад, r13 сказал:

С учетом блокировок по ip Encrypted SNI не поможет ;)

Поскольку в интернете на одном IP-адресе могут располагаться сотни доменов, то ESNI эффективно скрывает информацию, на какой домен заходит пользователь.

Share this post


Link to post
Share on other sites
  • 0
36 минут назад, cmisha сказал:

Поскольку в интернете на одном IP-адресе могут располагаться сотни доменов, то ESNI эффективно скрывает информацию, на какой домен заходит пользователь.

Не видя домена пров будет блочить весь ip, не обольщайтесь. DOT/DOH/eSNI это все про приватность в основном, а не про обход блокировок

Edited by r13

Share this post


Link to post
Share on other sites
  • 0

Блокировка по IP не выше по эффективности чем по домену и по адресу в пакетах. Пиратский сайт просто меняет либо IP, либо хостера и продолжает работать на том же доменном имени. И народ не теряется в поисках нового сайта или зеркала. Иногда просто переадрессацию ставят на главной странице.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0
26 минут назад, keenet07 сказал:

Блокировка по IP не выше по эффективности чем по домену и по адресу в пакетах. Пиратский сайт просто меняет либо IP, либо хостера и продолжает работать на том же доменном имени. И народ не теряется в поисках нового сайта или зеркала. Иногда просто переадрессацию ставят на главной странице.

Да об эффективности речь уже давно не идёт, список блокировок уже несколько раз fullview перекрыл. 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
В 10.11.2019 в 12:34, cmisha сказал:

Все так. У РТ включен DPI, потому и не пускает. Ждем реализацию - Encrypted SNI

А чего её ждать? Вот Cloudflare для всех кто размещён у них сделал.
Например зеркало одного сайта из реестра блокировок находящиеся на Cludflare, работает через лису уже вчера.

esni.png

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
On 11/6/2019 at 11:37 PM, Le ecureuil said:

или начиная с 3.3 еще и skydns

А как это проверить? Просто при тесте вот тут: https://www.cloudflare.com/ssl/encrypted-sni/ на SkyDNS DNSSEC отображается красным крестиком. Или этот сайт не подходит для теста? При включении фильтра AdGuard имеем зелёную галочку там же.

Share this post


Link to post
Share on other sites
  • 0

В Диагностике в Активных соединениях на интерфейсе WAN можно посмотреть через какие DNS идёт трафик. Там должны появиться адреса skydns серверов на порт TCP 853. И скорее всего не должно быть соединений на 53 порт.

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...