Яндекс DNS пресеты (yandex-safe/family/base) — неработающий DoH endpoint

[domovoi]

Модель: Keenetic Hopper DSL (KN-3610)
Прошивка: KeeneticOS 5.0.7

Проблема:

Все три Яндекс DNS пресета интернет-фильтра (yandex-safe, yandex-family, yandex-base) используют некорректные DoH-адреса:

  - yandex-safe → https://safe.dot.dns.yandex.net/dns-query
  - yandex-family → https://family.dot.dns.yandex.net/dns-query

Хосты *.dot.dns.yandex.net — это DoT-серверы (порт 853). Они не поддерживают HTTP-запросы /dns-query и возвращают 404 Not Found.

В системном журнале это проявляется массовыми предупреждениями:
  https-dns-proxy: curl response code: 404, content length: 9

  DoT-часть пресетов (77.88.8.88:853, 77.88.8.7:853) работает корректно, поэтому DNS-фильтрация функционирует, но каждый запрос генерирует лишнюю ошибку по
  DoH.

Ожидаемое поведение:

Правильные DoH-адреса Яндекса:
  - https://dns.yandex.net/dns-query (base)
  - https://safe.dns.yandex.net/dns-query (safe) — нужно проверить
  - https://family.dns.yandex.net/dns-query (family) — нужно проверить

Или единый https://dns.yandex.net/dns-query с параметрами.

Воспроизведение:

  1. Назначить любому устройству пресет yandex-safe или yandex-family
  2. show dns-proxy → в секции proxy-https-filters виден safe.dot.dns.yandex.net/dns-query
  3. В журнале — https-dns-proxy: curl response code: 404

[Denis P]

34 минуты назад, domovoi сказал:

Хосты *.dot.dns.yandex.net — это DoT-серверы (порт 853). Они не поддерживают HTTP-запросы /dns-query и возвращают 404 Not Found.

точно точно?

Спойлер

 

[project_fcc]

37 минут назад, domovoi сказал:

Хосты *.dot.dns.yandex.net — это DoT-серверы (порт 853). Они не поддерживают HTTP-запросы /dns-query и возвращают 404 Not Found.

На сайте Яндекса и инструкция от Яндекс для DoH указаны:

Цитата

базовый — https://common.dot.dns.yandex.net/dns-query

безопасный — https://safe.dot.dns.yandex.net/dns-query

семейный — https://family.dot.dns.yandex.net/dns-query

https://dns.yandex.ru/

https://yandex.ru/support2/dns/ru/keenetic.html?tabs=defaultTabsGroup-qyio6p08_dns%20over%20https

Добавил вручную только DoH от Яндекс https://safe.dot.dns.yandex.net/dns-query, работает, ошибок в логе нет

# ndnproxy statistics file

Total incoming requests: 136
Proxy requests sent:     105
Cache hits ratio:        0.228 (31)
Memory usage:            26.21K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
               127.0.0.1  40508     105     101        0      97ms     113ms     4

              proxy-safe:


               proxy-tls:
       proxy-tls-filters:

             proxy-https:
             server-https:
                          uri: https://safe.dot.dns.yandex.net/dns-query
                       format: dnsm
                         spki:
                    interface:
                       domain:

     proxy-https-filters:

 

[domovoi]

Перепроверил — пресет подставляет https://safe.dot.dns.yandex.net/dns-query, endpoint рабочий. Ошибка 404 была вызвана другой причиной. Тему можно закрыть, спасибо за проверку.