DNScrypt из коробки

cocojambo · 16 февраля, 2017

Планируется ли реализация этой функции в ближайших прошивках после 2.08?

C opkg настроил, конечно, но как-то костыльно это выглядит и ненадежно (1. встроенный dns прокси переопределен и в случае отказа dns с шифрованием или самого пакета нужно будет оперативно лезть в телнет, чтобы вернуть dns-override на место. 2. AD перестает работать, так как идущий с ним dns сервер уже нельзя указать как дополнительный в настройках Keenetic).

Было бы здорово указать основной и резервный dnscrypt сервер прямо в настройках встроенного dns прокси, прямо в вебморде без всяких флешек с дополнительными пакетами. Яндекс DNS, OpenDSN к слову, шифрование поддерживают.

Функция нужная, как защита от MITM.

Изменено 19 февраля, 2017 пользователем cocojambo
Attach

Le ecureuil · 14 июня, 2019

В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории.

Вежливый Снайпер · 26 октября, 2018

Если появится "из коробочная" версия, это будет самым полезным нововведением за всю историю существования кинетиков, ИМХО.

А то поддержку OpenVPN сделали, а полезное шифрование DNS - нет. Уже 2 раза столкнулся с подменой DNS, сначала на Yota, потом на проводном провайдере. Если бы не Александр Рыжов и ankar84 - так и страдал бы, не зная про DNScrypt.

Смогли открыть людям глаза на OpenVPN, сможете и на шифрование DNS. В современных реалиях это очень нужная вещь.

Le ecureuil · 19 февраля, 2017

3 часа назад, cocojambo сказал:

Вы правы, DNSsec пока экзотика. Пожалуйста, не рассматривайте DNSsec как основную просьбу. Больше хочется DNScrypt или любой другой надежный способ защиты от подмены DNS. Многие сервера, поддерживающие DNScrypt умеют DNSsec, можно просто оставить это на усмотрение пользователя.

Спасибо, что пояснили, что нужно будет юзерам объяснять. Подскажите, можно ли реализовать DNScrypt не явно (без какого либо указания в web морде и cli)? То есть, если пользователь укажет сервер, поддерживающий DNScrypt (случайно или намеренно), эта функция будет работать. В таком случае, возможно, не нужно будет объяснять никому и ничего, а лишь указать это в списке изменений прошивки.

У нас планируются opkg-пакеты, которые будут ставиться из облака в RAM, что позволит их использовать даже на устройствах без USB и flash. Вот dnssec и dnscrypt - идеальные кандидаты на роль таких пакетов.

Le ecureuil · 18 февраля, 2017

Эээ... Ну у нас форум построен на личном энтузиазме разработчиков в первую очередь. DNS-резолвером занимается человек, которому неинтересен форум, и который тут не сидит. Ему конечно можно передать, но сами понимаете...

cocojambo · 18 февраля, 2017

17 minutes ago, Le ecureuil said:

Эээ... Ну у нас форум построен на личном энтузиазме разработчиков в первую очередь. DNS-резолвером занимается человек, которому неинтересен форум, и который тут не сидит. Ему конечно можно передать, но сами понимаете...

Это предложение, не более и очень здорово, что есть связь с разработчиками, пускай и не официальная.

Передайте, если не трудно. Чем черт не шутит, вдруг его заинтересует.

Так же подскажите, какие есть способы донести менеджменту эту потребность, кроме звонков в техподдержку (пара знакомых тоже не против иметь такую функцию на устройствах, но по прозаической причине: им провайдер показывает заглушки с просьбой пополнить баланс)?

IgaX · 18 февраля, 2017

я бы за, но dnssec все же немного не панацея .. интересующие зоны должны быть подписаны, есть определенная нагрузка итд. итп., легкая степень недоверия в т.ч. к OpenDNS .. в общем, много нюансов если вчитаться:
https://ru.wikipedia.org/wiki/DNSSEC

в основном - это для защиты своих зон от подмены.

был предложен вариант:
https://forum.keenetic.net/topic/1584-dns-over-https-от-google-public-dns-dnssec/?sortby=date

пусть пока и в бэте, но https, все секьюрно и шито-крыто .. плюс относительно быстро и надежно (раз tcp, https) .. и ни одно правительство мира не посмеет прикрыть втихую https/443 без бучи .. т.е лучшее из обоих миров, а кэшировать уже на dns-proxy Кинетика и клиентах.

да, придется довериться буржуйскому Гуглу, но тем не менее - уверен, что у Гугла на меня нет вообще никаких планов.

и все равно.

всего 2 голоса, так вот.

Изменено 18 февраля, 2017 пользователем IgaX

cocojambo · 18 февраля, 2017

35 minutes ago, IgaX said:

я бы за, но dnssec все же немного не панацея .. интересующие зоны должны быть подписаны, есть определенная нагрузка итд. итп., легкая степень недоверия в т.ч. к OpenDNS .. в общем, много нюансов если вчитаться:
https://ru.wikipedia.org/wiki/DNSSEC

в основном - это для защиты своих зон от подмены.

был предложен вариант:
https://forum.keenetic.net/topic/1584-dns-over-https-от-google-public-dns-dnssec/?sortby=date

пусть пока и в бэте, но https, все секьюрно и шито-крыто .. плюс относительно быстро и надежно (раз tcp, https) .. и ни одно правительство мира не посмеет прикрыть втихую https/443 без бучи .. т.е лучшее из обоих миров, а кэшировать уже на dns-proxy Кинетика и клиентах.

да, придется довериться буржуйскому Гуглу, но тем не менее - уверен, что у Гугла на меня нет вообще никаких планов.

и все равно.

всего 2 голоса, так вот.

DNSsec это больше для внутренних доменов, в локальных сетях. Понятно, что когда провайдер подменяет DNS ответы через MITM, от DNSsec толку мало, просто не будут запросы проходить и инет отвалится.

На счет варианта dns через https не согласен. DNScrypt легковесный и обкатанный, порт задать можно любой на DNS сервере, в основном сервера на стандартном 53 работают. Не обязательно выбирать OpenDNS, если вы не доверяете Cisco. Можете выбрать DNS от яндекса и от 70 других поставщиков на текщий момент. Или даже создать свой!

Я на сколько понял, этот форум больше для того, чтобы идею подкинуть или обсудить, а для того, чтобы намекнуть погромче, нужно звонить в техподдержку. Только так можно достучаться до менеджмента.

Изменено 18 февраля, 2017 пользователем cocojambo

IgaX · 18 февраля, 2017

15 минут назад, cocojambo сказал:

достучаться до менеджмента

имхо, лучше сразу вилы и факелы, быстрее будет
саппорт же тупо принесет плохое настроение домой и "бумеранг собьет не тех кенгуру".

Le ecureuil · 18 февраля, 2017

Пока даже в этой теме голосов около нуля, а теперь представьте, что всем юзерам придется объяснять, что же это за новая галка и что такое dnssec... Это явно будете делать не вы, и не за свой счет.

И если страдальцев по ipsec и snmp реально куча и маленькая тележка (включая крупных игроков, у которых есть монетизированный спрос (не забывайте про этот очень важный фактор)), потому им пошли на встречу, то dnssec на данном этапе развития по популярности ближе к i2p и подобному андерграунду, то есть пока ему место только в кастомных opkg установках.

cocojambo · 19 февраля, 2017

9 hours ago, Le ecureuil said:

Пока даже в этой теме голосов около нуля, а теперь представьте, что всем юзерам придется объяснять, что же это за новая галка и что такое dnssec... Это явно будете делать не вы, и не за свой счет.

И если страдальцев по ipsec и snmp реально куча и маленькая тележка (включая крупных игроков, у которых есть монетизированный спрос (не забывайте про этот очень важный фактор)), потому им пошли на встречу, то dnssec на данном этапе развития по популярности ближе к i2p и подобному андерграунду, то есть пока ему место только в кастомных opkg установках.

Вы правы, DNSsec пока экзотика. Пожалуйста, не рассматривайте DNSsec как основную просьбу. Больше хочется DNScrypt или любой другой надежный способ защиты от подмены DNS. Многие сервера, поддерживающие DNScrypt умеют DNSsec, можно просто оставить это на усмотрение пользователя.

Спасибо, что пояснили, что нужно будет юзерам объяснять. Подскажите, можно ли реализовать DNScrypt не явно (без какого либо указания в web морде и cli)? То есть, если пользователь укажет сервер, поддерживающий DNScrypt (случайно или намеренно), эта функция будет работать. В таком случае, возможно, не нужно будет объяснять никому и ничего, а лишь указать это в списке изменений прошивки.

ICMP · 19 февраля, 2017

1 час назад, Le ecureuil сказал:

из облака в RAM

cocojambo · 19 февраля, 2017

3 hours ago, Le ecureuil said:

У нас планируются opkg-пакеты, которые будут ставиться из облака в RAM, что позволит их использовать даже на устройствах без USB и flash. Вот dnssec и dnscrypt - идеальные кандидаты на роль таких пакетов.

dns-override было бы здорово не использовать, так же хотелось бы как минимум два сервера указывать для dnscrypt. В остальном все замечательно звучит, если роутер для скачивания с облака не будет резолвить адрес этого облака через нерабочий dnscrypt , но это из разряда петросянства, конечно же.

AlexBBB · 28 марта, 2017

Доброго времени всем форумчанам.

Меня очень интересует тема DNSCrypt (у меня Keenetic Ultra II с последней релизной прошивкой v2.08(AAUX.0)C1). Сейчас я использую DNSCrypt на самом ПК (Windows 10 x64), но антивирусные программы не дают его использовать, поэтому, приходится выгружать АВ, потом запускать DNSCrypt, куда-то заходить, потом выгружать DNSCrypt (возвращая дефолтные DNS-ы провайдера) и снова запускать АВ.

Так, вот, хочу избавиться от этого г..я. Я не разработчик, а *nix систем в принципе не знаю (так, имею просто общее представление, как они работают). Но по конкретному мануалу например, могу что-то залить и писать команды (хоть по телнету, хоть через командную строку). Но по всем инстуркциям, что встречал здесь на форуме, я так и не понял, как же установить dnscrypt-proxy (во отсюда например http://pkg.entware-keenetic.ru/binaries/keenle/dnscrypt-proxy_1.9.1-1_keenle.ipk) на свой роутер.

Вот в самом кинетике, в настройках - обновлениях, у меня есть строка: Opkg (поддержка открытых пакетов), если я ее установлю, я что не могу еще после этого устанавливать сразу пакет dnscrypt-proxy по ссылке выше? Мне что, еще нужно какой то Entware установить и настроить? Или все-таки могу и все будет работать?

P.S.
Спс заранее за объяснения.

Изменено 28 марта, 2017 пользователем AlexBBB

vasek00 · 28 марта, 2017

14 минуты назад, AlexBBB сказал:

Меня очень интересует тема DNSCrypt (у меня Keenetic Ultra II с последней релизной прошивкой v2.08(AAUX.0)C1). Сейчас я использую DNSCrypt на самом ПК (Windows 10 x64), но антивирусные программы не дают его использовать, поэтому, приходится выгружать АВ, потом запускать DNSCrypt, куда-то заходить, потом выгружать DNSCrypt (возвращая дефолтные DNS-ы провайдера) и снова запускать АВ.

Посмотрите кучу тем

cocojambo · 15 декабря, 2017

On 28.03.2017 at 6:11 PM, AlexBBB said:

Доброго времени всем форумчанам.

Меня очень интересует тема DNSCrypt (у меня Keenetic Ultra II с последней релизной прошивкой v2.08(AAUX.0)C1). Сейчас я использую DNSCrypt на самом ПК (Windows 10 x64), но антивирусные программы не дают его использовать, поэтому, приходится выгружать АВ, потом запускать DNSCrypt, куда-то заходить, потом выгружать DNSCrypt (возвращая дефолтные DNS-ы провайдера) и снова запускать АВ.

Так, вот, хочу избавиться от этого г..я. Я не разработчик, а *nix систем в принципе не знаю (так, имею просто общее представление, как они работают). Но по конкретному мануалу например, могу что-то залить и писать команды (хоть по телнету, хоть через командную строку). Но по всем инстуркциям, что встречал здесь на форуме, я так и не понял, как же установить dnscrypt-proxy (во отсюда например http://pkg.entware-keenetic.ru/binaries/keenle/dnscrypt-proxy_1.9.1-1_keenle.ipk) на свой роутер.

Вот в самом кинетике, в настройках - обновлениях, у меня есть строка: Opkg (поддержка открытых пакетов), если я ее установлю, я что не могу еще после этого устанавливать сразу пакет dnscrypt-proxy по ссылке выше? Мне что, еще нужно какой то Entware установить и настроить? Или все-таки могу и все будет работать?

P.S.
Спс заранее за объяснения.

Привет! Если проблема для тебя еще актуальна, то я решил ее следующим образом: 1) купил два роутера DIR-300 2) запилил в них OpenWRT -> opkg -> DnsCrypt 3) повесил их на порты Giga. Теперь есть у меня отказоустойчивый резолвер. Сразу скажу почему не зашло с opkg на самом keenetic'е 1. В таком случае не работает резолв через DNS AD сервера 2. Настроить можно только на 1 DNScrypt-сервер, а он может отвалиться. Если будет интересно, как все это настроить, пиши, подскажу. Разработчикам привет! +1000р. в пользу конкурентов.

vasek00 · 16 декабря, 2017

8 часов назад, cocojambo сказал:

Привет! Если проблема для тебя еще актуальна, то я решил ее следующим образом: 1) купил два роутера DIR-300 2) запилил в них OpenWRT -> opkg -> DnsCrypt 3) повесил их на порты Giga. Теперь есть у меня отказоустойчивый резолвер. Сразу скажу почему не зашло с opkg на самом keenetic'е 1. В таком случае не работает резолв через DNS AD сервера 2. Настроить можно только на 1 DNScrypt-сервер, а он может отвалиться. Если будет интересно, как все это настроить, пиши, подскажу. Разработчикам привет! +1000р. в пользу конкурентов.

Раз два DIR то это два канала заводим на Keenetic плюс добавляем Entware из пакетов ставим DNSMasq + DNScrypt и не чего покупать не надо, если только flash для Entware.

Скрытый текст


Пример локальных доменов
# Указываем отправлять все запросы DNS на server.loc на внутренний сервер в локальной сети:
domain=server.loc
server=/server.loc/192.168.1.10
server=/1.168.192.in-addr.arpa/192.168.1.10

# Указываем отправлять все запросы DNS на home.loc на внутренний сервер в локальной сети:
domain=home.loc
server=/home.loc/192.168.2.10
server=/2.168.192.in-addr.arpa/192.168.2.10

Инет1---Резолв_ххххх1-----(WAN-Keenetic-WAN2)----Резолв_ххххх2------Инет2

По теме два резолва при наличие двух каналов - вместо двух DIR, для всех клиентов адресом будет Keenetic

dnscrypt-proxy --local-address=127.0.0.2:60153 --daemonize –edns-payload-size=1252 -R ххххх1 -l /opt/tmp/dnscrypt-proxy.153.log -m 7
dnscrypt-proxy --local-address=127.0.0.2:60253 --daemonize –edns-payload-size=1252 -R ххххх2 -l /opt/tmp/dnscrypt-proxy.253.log -m 7

dnsmasq.conf

server=127.0.0.2#60153
server=127.0.0.2#60253
all-servers

маршрут для одного резолв - default, до другого стат маршрут на второй канал. Согласно резолв файла находим IP адрес для записи ххххх2 и доб.маршрут

ip ro add IP_резолв_ххххх2/32 via $IP_IF dev $IF_WAN2

имеем два не зависимых резолва со своим маршрутом

Изменено 16 декабря, 2017 пользователем vasek00

Sergey Russia · 2 июня, 2018

В 16.12.2017 в 03:08, cocojambo сказал:

Привет! Если проблема для тебя еще актуальна, то я решил ее следующим образом: 1) купил два роутера DIR-300 2) запилил в них OpenWRT -> opkg -> DnsCrypt 3) повесил их на порты Giga. Теперь есть у меня отказоустойчивый резолвер. Сразу скажу почему не зашло с opkg на самом keenetic'е 1. В таком случае не работает резолв через DNS AD сервера 2. Настроить можно только на 1 DNScrypt-сервер, а он может отвалиться. Если будет интересно, как все это настроить, пиши, подскажу. Разработчикам привет! +1000р. в пользу конкурентов.

Похоже придется тоже покупать DIR-300, т.к. купил роутер под OpenVPN, а USB под Entware в нём нет, про DNSCrypt я тогда даже и не думал...

Изменено 2 июня, 2018 пользователем Sergey Russia

Александр Рыжов · 2 июня, 2018

В 16.12.2017 в 01:08, cocojambo сказал:

Настроить можно только на 1 DNScrypt-сервер,

Не-а. Сколько угодно. Кроме того, в OpenWrt есть только постепенно устаревающий dnscrypt-proxy1.

zyxmon · 2 июня, 2018

3 часа назад, Sergey Russia сказал:

а USB под Entware в нём нет, про DNSCrypt я тогда даже и не думал...

Я для тестирования Entware под Openwrt иногда пользуюсь NFS шарой на NAS'e и обхожусь без usb, хотя usb есть. Устанавливаю Entware на NFS.

r13 · 2 июня, 2018

15 минут назад, zyxmon сказал:

Я для тестирования Entware под Openwrt иногда пользуюсь NFS шарой на NAS'e и обхожусь без usb, хотя usb есть. Устанавливаю Entware на NFS.

это с кинетиком?

zyxmon · 2 июня, 2018

8 минут назад, r13 сказал:

это с кинетиком?

Если найдет прошивку Openwrt для кинетика, то можно и с ним. Для некоторых моделей собираются ежедневно - https://downloads.openwrt.org/snapshots/targets/ramips/mt7620/ см kn*.bin!

PS Я делал это не на кинетике.

PPS. Давно витает идея установки небольшого числа пакетов в память кинетика (у которых нет USB) с загрузкой из облака. Опять вспомнилось.....

r13 · 4 июня, 2018

В 02.06.2018 в 19:30, zyxmon сказал:

PPS. Давно витает идея установки небольшого числа пакетов в память кинетика (у которых нет USB) с загрузкой из облака. Опять вспомнилось.....

Какое-то время назад интересовался этим вопросом, @ndm сказал что фича не сильно актуальная и развивать передумали.

Может действительно прикрутить возможность монтирования nfs в кинетике? Для устройств без USB вполне себе вариант. Хотя конечно при их ограничениях на размер флеша/памяти может и не влезть такое расширение функционала.

Изменено 4 июня, 2018 пользователем r13

zyxmon · 4 июня, 2018

4 часа назад, r13 сказал:

Хотя конечно при их ограничениях на размер флеша/памяти может и не влезть такое расширение функционала.

Если ядерные модули есть для моделей без usb - то можно поставить и проверить. Не думаю, что сама операция монтирования и поддержка opkg потребуют много флеша.

ankar84 · 14 сентября, 2018

Плюсану, ибо dnscrypt-proxy2 уже много чего поддерживает и уже гораздо более отказоустойчивый, чем была первая версия.

Александр Рыжов · 14 сентября, 2018

По поводу плюсовать за фичу как таковую — очень даже «за».

По поводу dnscrypt2-proxy в частности — нет. Ибо громоздкий по рождению как тушей (размер бинарника), так и размахом души (CPU, RAM). И отнюдь не устойчивее первой версии.

Исключительно IMHO.

ankar84 · 14 сентября, 2018

34 минуты назад, Александр Рыжов сказал:

По поводу dnscrypt2-proxy в частности — нет. Ибо громоздкий по рождению как тушей (размер бинарника), так и размахом души (CPU, RAM). И отнюдь не устойчивее первой версии.

По ресурсам согласен, очень требователен и прожорлив (хотя не по CPU). Про отказоустойчивость я имею ввиду работу с несколькими серверами из коробки (в 1 версии, если не изменяет память, была возможность работы только с одним сервером и приходилось запускать 2 инстанса сервиса на разных портах + dnsmasq для хоть какой-то отказоустойчивости).

По надежности 2 версии у меня претензий нет, не замечал падений. Первая версия падала иногда, да. Даже скриптик городил, который проверяет запущен ли демон и запускает в случае необходимости.

thefox · 26 октября, 2018

Google добавил DNS over TLS(https://habr.com/post/427639/), тема перестает быть чисто маргинальной, так что плюсану.

cmisha · 26 октября, 2018

4 минуты назад, thefox сказал:

Google добавил DNS over TLS(https://habr.com/post/427639/), тема перестает быть чисто маргинальной, так что плюсану.

Тоже вчера прочитал. Молодцы "Google".

Андрей Лучин · 29 октября, 2018

В 26.10.2018 в 19:22, Вежливый Снайпер сказал:

Если появится "из коробочная" версия, это будет самым полезным нововведением за всю историю существования кинетиков, ИМХО.

А то поддержку OpenVPN сделали, а полезное шифрование DNS - нет. Уже 2 раза столкнулся с подменой DNS, сначала на Yota, потом на проводном провайдере. Если бы не Александр Рыжов и ankar84 - так и страдал бы, не зная про DNScrypt.

Смогли открыть людям глаза на OpenVPN, сможете и на шифрование DNS. В современных реалиях это очень нужная вещь.

Полностью поддерживаю, люто плюсую и жду новых обновлений с этой фичей ))))))))

Изменено 29 октября, 2018 пользователем Андрей Лучин

thefox · 3 декабря, 2018

Мозилла добавляет в браузер DNS over HTTPS - https://3dnews.ru/978958

DNScrypt из коробки

Вопрос

30 ответов на этот вопрос

Рекомендуемые сообщения

Последние посетители 0 пользователей онлайн

Важная информация