Разрешение не стандартных доменов при включенном DoT/DoH

ankar84 · July 19, 2019

Добрый день!

Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо.

И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib

Разрешать такие домены умеют DNS серверы проекта OpenNIC

Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC

Скрытый текст

Ранее я делал это вот такой настройкой в WebUI

Скрытый текст

image.png.3afd08d07e56c69c1dd4a1da6172d002.png

Но теперь это не работает.

Просьба реализовать данный функционал.

Спасибо!

Edited July 19, 2019 by ankar84

Le ecureuil · 08/07/2019 10:45 AM

Спасибо за подсветку проблемы.

Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib).

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh.

Добавляйте их к обычным dot/doh серверам, и все будет работать:

https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue

Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.

ankar84 · August 7, 2019

1 час назад, Le ecureuil сказал:

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh

Большое спасибо за серверы!

Но тогда у меня 2 вопроса:

1. Как это будет работать с интернет-фильтром AdGuard DNS? Как настроить в этом случае?

2. Как можно добавить DoT\DoH сервер для разрешения конкретного домена подобно тому, как это можно сделать для обычного DNS сервера?

Просто сейчас у меня сейчас установлен интернет-фильтр AdGuard DNS, но в фильтрах выбрано "Без фильтрации". Добавлено 2 DoT сервера AdGuard DNS (сделал так, потому, что считал, что с фильтром в таком виде есть проблема, которой как оказалось нет).

Я добавил предложенный DoT сервер okashi.me [144.76.103.143] и rutor.lib у меня открылся запроса (обновления страницы) с 5-6. Но все же открылся (то есть оно в целом работает).

Видимо серверы AdGuard были чаще быстрее, а потом все же первым ответил сервер OpenNIC и имя разрешилось в адрес.

Поэтому хочется, чтобы и при включенном интернет-фильтре (AdGuard) и\или при просто заданных DoT\DoH серверах приоритет в разрешении определенных доменов всегда был у заданных DoT\DoH серверов (OpenNIC для *.lib)

Edited August 7, 2019 by ankar84

Le ecureuil · 08/09/2019 02:45 PM

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

ankar84 · 02/11/2020 11:04 AM

В 09.08.2019 в 17:45, Le ecureuil сказал:

нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

@Le ecureuil еще не пришло время для этого?

avn · 02/11/2020 11:44 AM

38 minutes ago, ankar84 said:

@Le ecureuil еще не пришло время для этого?

dnsmasq решает данные проблемы в полном объеме.

Spoiler


user=nobody

interface=br0
#bind-interfaces# Bind only to interfaces in use
#bind-dynamic	# Bind to interfaces in use - check for new interfaces

#listen-address=192.168.97.97
#listen-address=127.0.0.1
#listen-address=::

min-port=4096	# Specify lowest port available for DNS query transmission
cache-size=1536	# Specify the size of the cache in entries

bogus-priv	# Fake reverse lookups for RFC1918 private address ranges
no-negcache	# Do NOT cache failed search results
no-resolv	# Do NOT read resolv.conf
no-poll		# Do NOT poll resolv.conf file, reload only on SIGHUP
clear-on-reload	# Clear DNS cache when reloading dnsmasq
expand-hosts	# Expand simple names in /etc/hosts with domain-suffix
log-async	# Enable async. logging; optionally set queue length

# DNS over TLS-HTTPS /tmp/ndnproxymain.stat
server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509
address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

# Tor onion
ipset=/.onion/unblock
server=/.onion/127.0.0.1#9153

# I2P
address=/.i2p/172.17.17.17

# OpenNIC DNS
# https://servers.opennicproject.org/
server=/.lib/2001:67c:13e4:1::37
server=/.lib/91.217.137.37
server=/.lib/2a03:4000:28:365::1
server=/.lib/94.16.114.254

conf-file=/opt/etc/unblock.dnsmasq
conf-file=/opt/etc/adblock.dnsmasq

ankar84 · 02/11/2020 11:49 AM

1 минуту назад, avn сказал:

dnsmasq решает данные проблемы в полном объеме.

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

avn · 02/11/2020 11:52 AM

Just now, ankar84 said:

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

Так тут и используется DoT/DoH из коробки

server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509

Это DoT и DoH сервисы из коробки.

А это

address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

ankar84 · 02/11/2020 12:11 PM

18 минут назад, avn сказал:

Так тут и используется DoT/DoH из коробки

и это я понимаю. Не хотелось городить что-либо стороннее для разрешения имен, так как в прошивку добавили мощные шифрованные DNS

bigpu · 02/11/2020 12:14 PM

21 минуту назад, avn сказал:
Так тут и используется DoT/DoH из коробки
server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509
Это DoT и DoH сервисы из коробки.

А это
address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1
Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

из коробки, это когда без Entware

ankar84 · 01/11/2021 02:25 PM

В 09.08.2019 в 21:45, Le ecureuil сказал:

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

Le ecureuil · 01/11/2021 02:46 PM

20 минут назад, ankar84 сказал:

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

Спасибо за напоминание, наверное пришло. Запишу себе

Sign In

Разрешение не стандартных доменов при включенном DoT/DoH

Question

Share this post

Link to post

Share on other sites

11 answers to this question

Recommended Posts

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Join the conversation

Recently Browsing 0 members

Browse

Activity