Jump to content
  • 20
ankar84

Разрешение не стандартных доменов при включенном DoT/DoH

Question

Добрый день!

Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо.

И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib

Разрешать такие домены умеют DNS серверы проекта OpenNIC

Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC

Скрытый текст

image.thumb.png.ff1733657180bb5ecac8c4f6a4fb1abd.png

image.thumb.png.82081b6b7578b6b577d71878b62195f1.png

Ранее я делал это вот такой настройкой в WebUI

Скрытый текст

image.png.3afd08d07e56c69c1dd4a1da6172d002.png

Но теперь это не работает.

Просьба реализовать данный функционал.

Спасибо!

Edited by ankar84
  • Thanks 3
  • Upvote 1

Share this post


Link to post
Share on other sites

11 answers to this question

Recommended Posts

  • 3

Спасибо за подсветку проблемы.

Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib).

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh.

Добавляйте их к обычным dot/doh серверам, и все будет работать:

https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue
 

Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.

  • Thanks 5

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Le ecureuil сказал:

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh

Большое спасибо за серверы!

Но тогда у меня 2 вопроса:

1. Как это будет работать с интернет-фильтром AdGuard DNS? Как настроить в этом случае?

2. Как можно добавить DoT\DoH сервер для разрешения конкретного домена подобно тому, как это можно сделать для обычного DNS сервера?

Просто сейчас у меня сейчас установлен интернет-фильтр AdGuard DNS, но в фильтрах выбрано "Без фильтрации". Добавлено 2 DoT сервера AdGuard DNS (сделал так, потому, что считал, что с фильтром в таком виде есть проблема, которой как оказалось нет).

Я добавил предложенный DoT сервер okashi.me [144.76.103.143] и rutor.lib у меня открылся запроса (обновления страницы) с 5-6. Но все же открылся (то есть оно в целом работает).

Видимо серверы AdGuard были чаще быстрее, а потом все же первым ответил сервер OpenNIC и имя разрешилось в адрес.

Поэтому хочется, чтобы и при включенном интернет-фильтре (AdGuard) и\или при просто заданных DoT\DoH серверах приоритет в разрешении определенных доменов всегда был у заданных DoT\DoH серверов (OpenNIC для *.lib)

Edited by ankar84

Share this post


Link to post
Share on other sites
  • 0

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

  • Upvote 2

Share this post


Link to post
Share on other sites
  • 0
В 09.08.2019 в 17:45, Le ecureuil сказал:

нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

@Le ecureuil еще не пришло время для этого?

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
38 minutes ago, ankar84 said:

@Le ecureuil еще не пришло время для этого?

dnsmasq решает данные проблемы в полном объеме.

Spoiler

user=nobody

interface=br0
#bind-interfaces# Bind only to interfaces in use
#bind-dynamic	# Bind to interfaces in use - check for new interfaces

#listen-address=192.168.97.97
#listen-address=127.0.0.1
#listen-address=::

min-port=4096	# Specify lowest port available for DNS query transmission
cache-size=1536	# Specify the size of the cache in entries

bogus-priv	# Fake reverse lookups for RFC1918 private address ranges
no-negcache	# Do NOT cache failed search results
no-resolv	# Do NOT read resolv.conf
no-poll		# Do NOT poll resolv.conf file, reload only on SIGHUP
clear-on-reload	# Clear DNS cache when reloading dnsmasq
expand-hosts	# Expand simple names in /etc/hosts with domain-suffix
log-async	# Enable async. logging; optionally set queue length

# DNS over TLS-HTTPS /tmp/ndnproxymain.stat
server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509
address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

# Tor onion
ipset=/.onion/unblock
server=/.onion/127.0.0.1#9153

# I2P
address=/.i2p/172.17.17.17

# OpenNIC DNS
# https://servers.opennicproject.org/
server=/.lib/2001:67c:13e4:1::37
server=/.lib/91.217.137.37
server=/.lib/2a03:4000:28:365::1
server=/.lib/94.16.114.254

conf-file=/opt/etc/unblock.dnsmasq
conf-file=/opt/etc/adblock.dnsmasq

 

 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, avn сказал:

dnsmasq решает данные проблемы в полном объеме.

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

Share this post


Link to post
Share on other sites
  • 0
Just now, ankar84 said:

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

Так тут и используется DoT/DoH из коробки

server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509

Это DoT и DoH сервисы из коробки.

А это

address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

Share this post


Link to post
Share on other sites
  • 0
18 минут назад, avn сказал:

Так тут и используется DoT/DoH из коробки

и это я понимаю. Не хотелось городить что-либо стороннее для разрешения имен, так как в прошивку добавили мощные шифрованные DNS

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
21 минуту назад, avn сказал:

Так тут и используется DoT/DoH из коробки


server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509

Это DoT и DoH сервисы из коробки.

А это


address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

из коробки, это когда без Entware

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
В 09.08.2019 в 21:45, Le ecureuil сказал:

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

Share this post


Link to post
Share on other sites
  • 0
20 минут назад, ankar84 сказал:

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

Спасибо за напоминание, наверное пришло. :) Запишу себе

  • Upvote 3

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...