Использовать ECS (EDNS Client Subnet) для запросов к добавленным DNS-over-TLS резолверам

[helljumper2]

Поддержка ECS сегодня ожидается по-умолчанию, а его отсутствие ломает логику geo dns сервисов, дающих привязку ip адреса к региону, как это например умеет делать AWS Route 53. В идеале по-умолчанию это должно присутствовать и быть включенным, а не наоборот.

У меня такой кейс - я игнорирую dns-ы провайдера, настроены несколько DoT серверов cloudflare и google. Если я запрашиваю домен использующий geo dns на aws route53 - то от кинетика я получаю "глобальный ответ". Если я запрашиваю из терминала на ноуте теже самые DoT серверы и этот домен - то получаю правильный, региональный адрес. Используется самая свежая на данный момент версия 4.6.3 на кинетике ультра. Соответственно, делаю вывод что это именно роутер не отправляет ECS в dns запросах к DoT серверам.

Только для особо параноидальных сценариев можно было бы добавить настройку отключения пересылки подсети в dns запросах, хотя тут можно использовать и специальный резолвер, как например quad9 в дефолтном исполнении 9.9.9.9.

Просьба - обратить внимание, и починить эту историю.

 

[Le ecureuil]

Cloudflare не поддерживает ECS, причем явно говорят что это "мешает privacy".

Я лично с ними согласен.

[helljumper2]

Это вопрос выбора резолвера, ставьте в настройках какой кому нравится - privacy или обычный. К тому же через cloudflare (мимо роутера) ответы таки приходят верные, соответствующие региону, возможно просто за счет большого количества точек присутствия.

Не означает что роутер должен иметь свою политику и мнение по этому вопросу, кроме как через наличие настройки в конфигураторе и описания в документации. Ваше личное мнение по данному вопросу тоже извините, но не должно учитываться дальше вашего персонального оборудования.

Есть стандарты, технологии - оборудование должно поддерживать их и уметь с ними работать. Задача предоставить пользователю возможности и пояснения, и дать делать выбор самостоятельно.

[helljumper2]

Кстати, cloudflare умеет и так:

Цитата

(Optional) Toggle the following settings:

• Enable EDNS client subnet sends a user's IP geolocation to authoritative DNS nameservers. EDNS Client Subnet (ECS) helps reduce latency by routing the user to the closest origin server. Cloudflare enables EDNS in a privacy preserving way by not sending the user's exact IP address but rather the first /24 range of the larger range that contains their IP address. This /24 range will share the same geographic location as the user's exact IP address.

что является неплохим компромиссом, что-то похожее умеет делать и Adguard DNS.

Поэтому повторюсь, уровень privacy тут легко может регулироваться за счет правильного выбора резолвера, лишь бы роутер обращаясь к нему отправлял нужную информацию. Для максимально враждебного окружения - чтобы это была отключаемая настройка в конфигураторе.

Изменено 1 час назад пользователем helljumper2

[Le ecureuil]

14 минут назад, helljumper2 сказал:

Кстати, cloudflare умеет и так:

что является неплохим компромиссом, что-то похожее умеет делать и Adguard DNS.

Поэтому повторюсь, уровень privacy тут легко может регулироваться за счет правильного выбора резолвера, лишь бы роутер обращаясь к нему отправлял нужную информацию. Для максимально враждебного окружения - чтобы это была отключаемая настройка в конфигураторе.

Не всегда роутер знает свое местоположение и даже примерный реальный адрес.

Вот например выдали ему что-то из CGNAT или из RFC1918 private, что он должен подставить в ECS?

[Le ecureuil]

22 минуты назад, helljumper2 сказал:

Ваше личное мнение по данному вопросу тоже извините, но не должно учитываться дальше вашего персонального оборудования.

 

Еще как является - поскольку этот форум не является официальной поддержкой или официальной книгой обращений, то на этом форуме только мое личное мнение и желание что-то делать играет роль.