Jump to content
  • 2

Настройка DoT/DoH


KorDen

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Link to comment
Share on other sites

Recommended Posts

  • 0

Добрый день, подскажите пожалуйста, могу ли я включить DOH на кинетике 2? не вижу таких компонентов которые в мануале. или только с opkg колдовать?)

Link to comment
Share on other sites

  • 0
4 минуты назад, Stas Zevs сказал:

Добрый день, подскажите пожалуйста, могу ли я включить DOH на кинетике 2? не вижу таких компонентов которые в мануале. или только с opkg колдовать?)

Цитата

Начиная с версии KeeneticOS 3.00 была добавлена поддержка протоколов DNS over TLS и DNS over HTTPS.

Для кинетике 2  прошивки 3.0 нет

Link to comment
Share on other sites

  • 0
8 минут назад, Timophei сказал:

Включил у себя DoH, всё завелось. Подскажите, почему Wireshark'ом я до сих пор ловлю DNS query с WAN интерфейса?

Потому-что вы включили именно DoH. А адрес сервера там прописан не в виде IP а в виде доменного имени. Для того что-бы DoH заработал ему требуется как-то преобразовать эту ссылку в IP адрес и для этого в его коде жестко прописаны несколько публичных серверов DNS. Именно их работу вы и видите в шарке.

Всё остальное идёт через DoH. (за исключением прямых обращений к DNS на 53 отличных от адреса роутера)

При работе DoT обращения на 53 порт незадействуются.

Edited by keenet07
Link to comment
Share on other sites

  • 0
В 05.12.2019 в 17:23, keenet07 сказал:

Потому-что вы включили именно DoH. А адрес сервера там прописан не в виде IP а в виде доменного имени. Для того что-бы DoH заработал ему требуется как-то преобразовать эту ссылку в IP адрес и для этого в его коде жестко прописаны несколько публичных серверов DNS. Именно их работу вы и видите в шарке.

Всё остальное идёт через DoH. (за исключением прямых обращений к DNS на 53 отличных от адреса роутера)

При работе DoT обращения на 53 порт незадействуются.

Если сервер DoT задать как fqdn, то будет то же самое :)

Link to comment
Share on other sites

  • 0
3 минуты назад, Le ecureuil сказал:

Если сервер DoT задать как fqdn, то будет то же самое :)

Но практика указания для DoT как IP. А DoH везде в виде fqdn. Если DOH указать как IP работать будет? Или там тоже для правильной работы сертификата нужно обращение по fqdn?

Link to comment
Share on other sites

  • 0
On 12/17/2019 at 7:00 PM, keenet07 said:

Но практика указания для DoT как IP. А DoH везде в виде fqdn. Если DOH указать как IP работать будет? Или там тоже для правильной работы сертификата нужно обращение по fqdn?

1.1.1.1 работать будет и по ИП, 8.8.8.8 пока не работает по ИП и делает редирект на fqdn.

Link to comment
Share on other sites

  • 0

А подскажите пожалуйста, есть ли какие то ограничения на резолвинг внутренних имен при использовании DoT&DoH?

Просто у меня с недавнего времени перестали резолвить друг друга внутренние хосты в домашней сети, с самого кинетика тоже не резолвится по имени ни один хост, только по IP, только хардкор.

Link to comment
Share on other sites

  • 0
1 час назад, Станислав Поветьев сказал:

А подскажите пожалуйста, есть ли какие то ограничения на резолвинг внутренних имен при использовании DoT&DoH?

Просто у меня с недавнего времени перестали резолвить друг друга внутренние хосты в домашней сети, с самого кинетика тоже не резолвится по имени ни один хост, только по IP, только хардкор.

Нет таких ограничений, по какой технологии резолвите в локалке?

Link to comment
Share on other sites

  • 0

Свой DNS сервер, подключаюсь по DOH, кинетик ругается на сертификат, при этом SPKI fingerprint прописан в веб-панели и получен так:

openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

Пробовал к этому же серверу подключиться фаерфоксовым DOH - работает, но перед этим заходил в FF на https://IP:PORT/dns-query и нажимал, что не боюсь этого серта.

То есть проблема в непризнании сертификата кинетиком при помощи SPKI fingerprint.

Link to comment
Share on other sites

  • 0

Спасибо, с самоподписанным сертификатом и голым айпи всё ок.

Теперь далее, проба с доменом и настоящим сертификатом.
Тестирую на https://domain.tld:5300/ (dnsm) - firefox с такой настройкой работает, всё ресолвит. Кинетик - нет. В System log кинетика в веб интерфейсе всё зелёненькое, ошибок нет.
Меняю на сервере единственные цифры в конфиге 5300 на 443, урл превращается в https://domain.tld/ - фаерфокс нормально, кинетик тоже работает

Думал, может, кинетик не понимает вообще обозначение порта, изменил урл на https://domain.tl:443/ - кинетик работает так же, как на https://domain.tld/

Куда копать?

Link to comment
Share on other sites

  • 0
12 hours ago, Doctor said:

Спасибо, с самоподписанным сертификатом и голым айпи всё ок.

Теперь далее, проба с доменом и настоящим сертификатом.
Тестирую на https://domain.tld:5300/ (dnsm) - firefox с такой настройкой работает, всё ресолвит. Кинетик - нет. В System log кинетика в веб интерфейсе всё зелёненькое, ошибок нет.
Меняю на сервере единственные цифры в конфиге 5300 на 443, урл превращается в https://domain.tld/ - фаерфокс нормально, кинетик тоже работает

Думал, может, кинетик не понимает вообще обозначение порта, изменил урл на https://domain.tl:443/ - кинетик работает так же, как на https://domain.tld/

Куда копать?

В сторону проброса портов?

ip static tcp ISP 5300 192.168.xx.xx 5300 !dnsm

 

Link to comment
Share on other sites

  • 0
7 hours ago, avn said:

В сторону проброса портов?

Я указанную строку понял, как проброс порта с наружной стороны кинетика в локалку. Верно? Если да, это не тот случай.

Свой днс сервер находится в интернете.

Схема такая - устройства с внутренней стороны кинетика обращаются к нему на 192.168.1.1:53.
далее, кинетик принимает днс запрос с локалки, заворачивает в https и отправляет на удалённый сервер:5300 (так не работает) или сервер:443 (так работает).
Номер порта смущает только кинетик, фф менее капризный, тк с собственной настройкой DOH, работает и так и этак.

Пробовал сменить протокол на обеих сторонах с DOH на DOT, кинетик работает и с сервер:443 и с сервер:5300.

Link to comment
Share on other sites

  • 0
2 hours ago, rustrict said:

Я попробовал у себя связку доменное имя + нестандартный порт для HTTPS на сервере dns.seby.io - Vultr (https://doh.seby.io:8443/dns-query), и она также не взлетела. Для работы DoH используется, судя по всему, этот прокси, а я так и не смог понять умеет ли он в что-то отличное от :443.

Подтверждаю, работает фф и не работает кинетик с https://doh.seby.io:8443/dns-query

Надо составить багрепорт на этот счёт.

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 17.12.2019 в 19:00, keenet07 сказал:

Но практика указания для DoT как IP. А DoH везде в виде fqdn. Если DOH указать как IP работать будет? Или там тоже для правильной работы сертификата нужно обращение по fqdn?

Нет, поскольку идет валидация сертификатов через список корневых CA.

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 10.01.2020 в 21:21, Doctor сказал:

Подтверждаю, работает фф и не работает кинетик с https://doh.seby.io:8443/dns-query

Надо составить багрепорт на этот счёт.

Спасибо, багрепорт принят.

Вообще странно, что только что заметили :)

 

Будет исправлено в следующих сборках.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

  • 0

KN-1010, Версия ОС 3.3.16, включил AdGuard, компоненты DoT/DoH установлены. Почему-то в активных соединениях постоянно идут соединения на 53 порт DNS провайдера. По идее если включен AdGuard и установлены компоненты DoT/DoH, то DNS провайдера должны автоматом игнорироваться, но этого не происходит! Роутер перезагружал. Может надо ещё ручками прописать дополнительно DoT/DoH?

Screenshot_1.jpg

Screenshot_2.jpg

Screenshot_3.jpg

Screenshot_4.jpg

Screenshot_5.jpg

Screenshot_6.jpg

Screenshot_7.jpg

Edited by stefbarinov
Link to comment
Share on other sites

  • 0
57 минут назад, stefbarinov сказал:

KN-1010, Версия ОС 3.3.16, включил AdGuard, компоненты DoT/DoH установлены. Почему-то в активных соединениях постоянно идут соединения на 53 порт DNS провайдера. По идее если включен AdGuard и установлены компоненты DoT/DoH, то DNS провайдера должны автоматом игнорироваться, но этого не происходит! Роутер перезагружал. Может надо ещё ручками прописать дополнительно DoT/DoH?

Screenshot_1.jpg

Screenshot_2.jpg

Screenshot_3.jpg

Screenshot_4.jpg

Screenshot_5.jpg

Screenshot_6.jpg

Screenshot_7.jpg

Проблема ушла после установки маркера в указанном на скрине чек-боксе! Автоматом не игнорировались!!!

Screenshot_8.jpg

Screenshot_9.jpg

Edited by stefbarinov
Link to comment
Share on other sites

  • 0
5 часов назад, stefbarinov сказал:

KN-1010, Версия ОС 3.3.16, включил AdGuard, компоненты DoT/DoH установлены. Почему-то в активных соединениях постоянно идут соединения на 53 порт DNS провайдера. По идее если включен AdGuard и установлены компоненты DoT/DoH, то DNS провайдера должны автоматом игнорироваться, но этого не происходит! Роутер перезагружал. Может надо ещё ручками прописать дополнительно DoT/DoH?

Всё нормально. Так и должно быть. Это только служебные запросы на несколько серверов native DNS для резолвинга адресов сервиса AdGuard. Все остальные запросы идут в защищенном виде.

Link to comment
Share on other sites

  • 0
Только что, keenet07 сказал:

Всё нормально. Так и должно быть. Это только служебные запросы на несколько серверов native DNS для резолвинга адресов сервиса AdGuard. Все остальные запросы идут в защищенном виде.

Я правильно понимаю, что маркер в чек-боксе "Игнорировать DNS" можно снять?

Link to comment
Share on other sites

  • 0
10 минут назад, stefbarinov сказал:

Я правильно понимаю, что маркер в чек-боксе "Игнорировать DNS" можно снять?

В вашей конфигурации со включенным AdGuard он не должен оказывать никакого влияния.

Проверьте утечки DNS в обоих случаях на этом https://www.dnsleaktest.com/ сайте.

Заметил что у вас в Адгуарде стоит Без фильтрации для незарегистрированных и при этом вы упомянули что у вас не прописан вручную ни один DoT или DoH сервер. В этом случае, возможно, что запросы для незарегистрированных устройств проходили через то что выдал провайдер. А когда вы его заигнорили,то они вообще не должны были куда-то проходить с незарегистрированных. В общем пропишите хотя бы один DoT в ручную для них.

Edited by keenet07
Link to comment
Share on other sites

  • 0
11 минуту назад, keenet07 сказал:

В вашей конфигурации со включенным AdGuard он не должен оказывать никакого влияния.

Проверьте утечки DNS в обоих случаях на этом https://www.dnsleaktest.com/ сайте.

Заметил что у вас в Адгуарде стоит Без фильтрации для незарегистрированных и при этом вы упомянули что у вас не прописан вручную ни один DoT или DoH сервер. В этом случае, возможно, что запросы для незарегистрированных устройств проходили через то что выдал провайдер. А когда вы его заигнорили,то они вообще не должны были куда-то проходить с незарегистрированных. В общем пропишите хотя бы один DoT в ручную для них.

Незарегистрированных устройств у меня в сети нет!

Screenshot_1.jpg

Link to comment
Share on other sites

  • 0
1 час назад, stefbarinov сказал:

Незарегистрированных устройств у меня в сети нет!

Screenshot_1.jpg

Устройств нет, а режим для них выбран.

В многопроходном режиме нужен тест.

Edited by keenet07
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...