Защита от перехвата DNS-трафика с помощью dnscrypt-proxy

Александр Рыжов · 2 июня, 2018

В 15.12.2017 в 12:57, vasek00 сказал:

В моем списке серверов yandex нет, так как давно с сентября 2017 от него ушел из-за проблем с UDP на TCP работал стабильно, сейчас по нему не в курсе. По ping до 77.88.8.78

Просто для информации. Dnscrypt вычеркнул из своего открытого списка серверы Яндекса за десятилетний сертификат, мол, без ротации ключей затея утрачивает смысл, а с 2017-го года dnscrypt серверы Яндекса заглохли навсегда. Традиционные DNS-серверы работают прекрасно как и раньше, в т.ч. на нестандартных портах UDP1253.

vasek00 · 2 июня, 2018

13 минуты назад, Александр Рыжов сказал:

Просто для информации. Dnscrypt вычеркнул из своего открытого списка серверы Яндекса за десятилетний сертификат, мол, без ротации ключей затея утрачивает смысл, а с 2017-го года dnscrypt серверы Яндекса заглохли навсегда. Традиционные DNS-серверы работают прекрасно как и раньше, в т.ч. на нестандартных портах UDP1253.

Не понял немного так как в настоящие время использую вот что

server_names = ['cs-fi', 'adguard-dns', 'yandex']
...
## Delay, in minutes, after which certificates are reloaded
cert_refresh_delay = 60


и в итоге

[2018-06-02 09:57:17] [NOTICE] Source [public-resolvers.md] loaded
[2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy 2.0.8
[2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [UDP]
[2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [TCP]
[2018-06-02 09:57:17] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 27ms
[2018-06-02 09:57:17] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 45ms
[2018-06-02 09:57:17] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms
[2018-06-02 09:57:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy is ready - live servers: 3

и ранее на 2 (ниже), а сейчас включено 3 сервера (выше)

[2018-06-01 09:18:13] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-01 10:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-01 11:18:14] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 12:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-01 13:18:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 14:18:15] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 15:18:16] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 16:18:17] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-01 17:18:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 18:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-01 19:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms)
[2018-06-01 20:18:19] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms)
[2018-06-01 21:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-01 22:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-01 23:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 00:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 01:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 02:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 22ms)
[2018-06-02 03:18:22] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-02 04:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 05:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-02 06:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-02 07:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-02 08:18:23] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms)

по md файлу
## yandex
Yandex public DNS server (anycast)
sdns://AQQAAAAAAAAAEDc3Ljg4LjguNzg6MTUzNTMg04TAccn3RmKvKszVe13MlxTUB7atNgHhrtwG1W1JYyciMi5kbnNjcnlwdC1jZXJ0LmJyb3dzZXIueWFuZGV4Lm5ldA

так же как и 
## cloudflare
Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1
sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk

Изменено 2 июня, 2018 пользователем vasek00

vasek00 · 2 июня, 2018

14 часа назад, Вежливый Снайпер сказал:
Большое спасибо автору. Йота блокирует смену DNS. Мне только частично с помощью официального саппорта (keenetic) удалось обойти ограничение.
С Entware и вашей инструкцией по dnscrypt-proxy ограничения обошлись полностью. Отдельное спасибо KorDen и awoland за важные замечания к инструкции.
Без модификации файла S09dnscrypt-proxy и команды "opkg dns-override" в telnet'е у меня лично не работало.

P.S. Вы вроде как рулите этим пакетом. Добавьте в csv пожалуйста DNS от Cloudflare:
Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1 https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md
Или подскажите, как это сделать самостоятельно. Все, что я нагуглил не понимаю как вставлять в конфиги. Особенно моменты, где говорится про .toml файлы. Пожалуйста, если не будете обновлять .csv, ткните ламера в нужный ман носом, был бы очень признателен

Должен работать так как https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

Александр Рыжов · 2 июня, 2018

4 часа назад, vasek00 сказал:

Не понял немного так как в настоящие время использую вот что

Отлично, значит, я его зря хоронил.

От себя хочу предостеречь форумчан от использования серверов OpenDNS, ныне принадлежащих Cisco. Это несмотря на то, что dnscrypt-proxy был создан под крылом OpenDNS. Спасибо за острый глаз @MercuryV:

# traceroute my.mail.ru
traceroute to my.mail.ru (146.112.61.106), 30 hops max, 38 byte packets
 1  xxxxx.static.corbina.ru (95.29.0.1)  83.039 ms  60.937 ms  201.231 ms
 2  xxxxx.static.corbina.ru (95.29.0.1)  110.630 ms  199.677 ms  120.940 ms
 3  10.2.255.250 (10.2.255.250)  0.953 ms  0.887 ms  0.821 ms
 4  hq-crs-be10.corbina.net (195.14.54.100)  43.975 ms  44.175 ms  44.282 ms
 5  m9-crs-be14.msk.corbina.net (195.14.62.159)  44.094 ms  44.150 ms  44.041 ms
 6  noginsk-rs1-fa0-1.corbina.net (78.107.184.86)  43.643 ms  43.482 ms  43.509 ms
 7  mx01.Amsterdam.gldn.net (62.105.135.92)  43.733 ms  43.565 ms  43.604 ms
 8  ae-6.r25.amstnl02.nl.bb.gin.ntt.net (80.249.208.36)  45.188 ms  44.702 ms  44.428 ms
 9  ae-19.r24.amstnl02.nl.bb.gin.ntt.net (129.250.2.102)  46.507 ms  54.374 ms  44.245 ms
10  ae-2.r03.londen01.uk.bb.gin.ntt.net (129.250.3.8)  56.328 ms  56.132 ms  54.574 ms
11  ae-1.a01.londen01.uk.bb.gin.ntt.net (129.250.6.184)  59.163 ms  67.643 ms  60.216 ms
12  ae-0.cisco-opendns.londen01.uk.bb.gin.ntt.net (83.231.146.186)  57.228 ms  57.680 ms  59.133 ms
13  *  *  *
14  *  *  *
15  *  *  *

Непрошеная MiTM-забота в полный рост. «Спасибо», Cisco!

Вежливый Снайпер · 3 июня, 2018

В 02.06.2018 в 06:44, Александр Рыжов сказал:

Признаться, решение устарело..
...
Когда дойдут руки, обязательно обновлю архив.

Будем верить, надеяться, ждать

В 02.06.2018 в 07:10, vasek00 сказал:

Должен работать так как https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

"The dnscrypt-proxy 2.0+ support" эхх, печаль. Под версию 1ой линейки не вариант настроить? Там если я правильно понял можно только в csv подобные настройки вписывать:

Name,"Full name","Description","Location","Coordinates",URL,Version,DNSSEC validation,No logs,Namecoin,Resolver address,Provider name,Provider public key,Provider public key TXT record
Пример на яндексе:
yandex,"Yandex","Yandex public DNS server","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt-cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,

2ая линейка имеет отличия в настройке.

saqwe · 26 мая, 2020

Использую DNS от adguard, от провайдера DNS заблокировал на модеме ip dhcp client no name-servers

Роутер Keenetic DSL, Версия NDMS 2.11.D.6.0-2

Установил все из шапки темы, как мне теперь проверить шифруется мой трафик или нет?

kvsplz9860 · 1 февраля, 2023

В 03.06.2018 в 15:24, Вежливый Снайпер сказал:
Будем верить, надеяться, ждать

"The dnscrypt-proxy 2.0+ support" эхх, печаль. Под версию 1ой линейки не вариант настроить? Там если я правильно понял можно только в csv подобные настройки вписывать:
Name,"Full name","Description","Location","Coordinates",URL,Version,DNSSEC validation,No logs,Namecoin,Resolver address,Provider name,Provider public key,Provider public key TXT record
Пример на яндексе:
yandex,"Yandex","Yandex public DNS server","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt-cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,
2ая линейка имеет отличия в настройке.

Как doq настроить на роутере keenetic?

Изменено 1 февраля, 2023 пользователем kvsplz9860

MDP · 3 февраля, 2023

В 02.02.2023 в 01:16, kvsplz9860 сказал:

Как doq настроить на роутере keenetic?

Adguardhome умеет doq

kvsplz9860 · 3 февраля, 2023

7 часов назад, MDP сказал:

Adguardhome умеет doq

Да его поставил только не найду инструкции как настроить в нём doq

MDP · 3 февраля, 2023

8 минут назад, kvsplz9860 сказал:

Да его поставил только не найду инструкции как настроить в нём doq

Там настраивать ничего не надо, просто указать DNS и всё

kvsplz9860 · 3 февраля, 2023

5 минут назад, MDP сказал:

Там настраивать ничего не надо, просто указать DNS и всё

Только

quic://unfiltered.adguard-dns.com

?

kvsplz9860 · 3 февраля, 2023

13 минуты назад, MDP сказал:

Там настраивать ничего не надо, просто указать DNS и всё

Не нравятся ему quic

avn · 3 февраля, 2023

4 минуты назад, kvsplz9860 сказал:

Не нравятся ему quic

Внешний IP у Вас есть? Если нет, скорее всего провайдер блокирует входящий UDP трафик.

kvsplz9860 · 3 февраля, 2023

17 минут назад, avn сказал:

Внешний IP у Вас есть? Если нет, скорее всего провайдер блокирует входящий UDP трафик.

Вроде есть

Как проверить с телефона?

Изменено 3 февраля, 2023 пользователем kvsplz9860

MDP · 3 февраля, 2023

48 минут назад, kvsplz9860 сказал:

Не нравятся ему quic

Попробуйте это

quic://dns.adguard-dns.com

kvsplz9860 · 3 февраля, 2023

5 минут назад, MDP сказал:

Попробуйте это

quic://dns.adguard-dns.com

Проде принял как проверить что doq работает?

MDP · 3 февраля, 2023

Только что, kvsplz9860 сказал:

Проде принял как проверить что doq работает?

Тест upstream... или в журнале

kvsplz9860 · 3 февраля, 2023

1 минуту назад, MDP сказал:

Тест upstream... или в журнале

Какие настройки лучше сделать? Для ускорения и лучшей скорости?

Например тут

MDP · 3 февраля, 2023

Только что, kvsplz9860 сказал:

Какие настройки лучше сделать? Для ускорения и лучшей скорости?

Например тут

Тема не подходящая для этого топика... переходите в соответствующую ветку... заругают

Защита от перехвата DNS-трафика с помощью dnscrypt-proxy

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

r13

Александр Рыжов

KorDen

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация