Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 1

3.8.1 Интернет-фильтры. Не добавляются адреса DoH в "пользовательский профиль" и доступ к https://1.1.1.1/

project_fcc

Ответ от project_fcc,

 Поделиться

Вопрос

project_fcc Поставщик контента

project_fcc

Опубликовано
Опубликовано

KN-2710. 3.8.1

1. Не добавляются  адреса DoH в "пользовательский профиль".

Т.е. создаем свой профиль, добавляем адрес DoH, сохраняем, веб "не ругается" и отображает добавленный адрес в профиле.

Обновляем страницу, DoH отсутствует.

В логе роутера: 

[E] Dec 27 19:46:27 ndm: Dns::Secure::ManagerDoh: invalid DNS-over-HTTPS format value: .

В cli получаем: 

(config)> dns-proxy filter profile my https upstream https://dns.google/dns-query
Dns::Secure::ManagerDoh error[22610220]: invalid DNS-over-HTTPS format value: .

Пробовал разные адреса DoH

В "системный профиль" этот же адрес добавляется нормально.

 

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Если режим фильтрации включен  и указан "Форсировать системный профиль DNS" или "Публичные DNS-резолверы и настраиваемые профили", то сайт https://1.1.1.1/  не открывается: "время ожидания истекло".

Пробовал оставлять в системном профиле только dns провайдера, также не открывается.

Если отключить режим фильтрации поставить "отключено", то сайт доступен.

  • Лайк 1

7 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
НиколайLT Пользователь

НиколайLT

Опубликовано
Опубликовано
4 часа назад, valeramalko сказал:

Т.е. создаем свой профиль, добавляем адрес DoH,

Обновляем страницу, DoH отсутствует.

+

 

4 часа назад, valeramalko сказал:

В "системный профиль" этот же адрес добавляется нормально.

+

  • 0
4c4127db756b4affbf2a2b3186 Новичок

4c4127db756b4affbf2a2b3186

Опубликовано
Опубликовано (изменено)
On 12/27/2021 at 7:30 PM, valeramalko said:

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Это не 3.8.1 проблема. На 3.7.1 точно так же. Включённый тут /controlPanel/secureInternet в Service (в описании команд называют "профиль защиты") что-нибудь из предустановленных, кроме no protection, блокирует подключение к https://1.1.1.1/ .

Вписывание тех же DoT и/или DoH без профиля защиты (no protection) не мешает подключению.

Изменено пользователем deNoor
  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
В 27.12.2021 в 19:30, valeramalko сказал:

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Если режим фильтрации включен  и указан "Форсировать системный профиль DNS" или "Публичные DNS-резолверы и настраиваемые профили", то сайт https://1.1.1.1/  не открывается: "время ожидания истекло".

Пробовал оставлять в системном профиле только dns провайдера, также не открывается.

Если отключить режим фильтрации поставить "отключено", то сайт доступен.

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Первый пункт проверим, спасибо.

  • 0
project_fcc Поставщик контента

project_fcc

Опубликовано
  • Автор
Опубликовано
4 минуты назад, Le ecureuil сказал:

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Тогда вопрос к размещению информации и ссылок в веб.

Для каждого сервиса идет краткое описание, данный текст содержит ссылку на страницу сервиса в Интернете.

Получается при включенном интернет-фильтре на страницу cloudflare dns не попасть.

descr.png

  • 0
snark Продвинутый пользователь

snark

Опубликовано
Опубликовано (изменено)
40 минут назад, Le ecureuil сказал:

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Первый пункт проверим, спасибо.

ИМХО, такое поведение должно быть настраиваемым. Опять же имхо, у меня на мобильных устройствах настроен DoT, какой смысл мне дропать свои же устройства. Ну и например, поставили роутер в кафе или гостишке, блокировать DoT/DoH и навязывать свой днс, это уже чуть-ли ни mitm

Изменено пользователем snark
  • Лайк 1
  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
Только что, snark сказал:

ИМХО, такое поведение должно быть настраиваемым. Опять же имхо, у меня но мобильных устройствах настроен DoT, какой смысл мне дропать свои же устройства. Ну и например, поставили роутер в кафе или гостишке, блокировать DoT/DoH и навязывать свой днс, это уже чуть-ли ни mitm

Этот MITM существовал всегда и он всегда является волей администратора устройства, который форсирует профили для хостов и интерфейсов.

Впрочем насчет отключения можете написать в поддержку, они запишут идею.

  • Лайк 3
  • 0
project_fcc Поставщик контента

project_fcc

Опубликовано
  • Автор
Опубликовано

В 3.8.6 добавление в пользовательский профиль адресов DoH работает как через веб, так и через CLI. 

(config)> dns-proxy filter profile DnsProfile0 https upstream https://dns.quad9.net/dns-query
Dns::Filter::Public: Added DNS-over-HTTPS name server https://dns.quad9.net/dns-query to profile "DnsProfile0".

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю