Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[SigmaPlus]

4 часа назад, ankar84 сказал:

Да, об этом писали. Но у меня проблема именно с AdGuard. Хотя я прекрасно понимаю, что они используют CloudFlare как апстрим, но все же проблема с ним. 

Не только. Наблюдаю у себя аналогичные сообщения в логе при использовании dns.aaflalo.me , апстрим тоже от CloudFlare. Использую формат DNS message.

[keenet07]

В 16.06.2019 в 00:45, Кинетиковод сказал:

Сделайте так:

А как вообще при таком варианте работы (когда у нас в настройках прописано только https://dns.cloudflare.com/dns-query) через DOH резолвится IP адрес самого DNS сервера?

Изменено 18 июля, 2019 пользователем keenet07

[r13]

4 часа назад, keenet07 сказал:

А как вообще при таком варианте работы (когда у нас в настройках прописано только https://dns.cloudflare.com/dns-query) через DOH резолвится IP адрес самого DNS сервера?

Через обычные гугловые

[keenet07]

Какой приоритет использования DNS серверов, если настроен и DOT и DOH. Что будет использоваться по факту? Или лучше зачищать альтернативный вариант?

 

И ещё, будет ли автоматически использоваться прописанный классический DNS, в случае временной недоступности серверов по DOH и DOT? 

[r13]

3 минуты назад, keenet07 сказал:

Какой приоритет использования DNS серверов, если настроен и DOT и DOH. Что будет использоваться по факту? Или лучше зачищать альтернативный вариант?

 

И ещё, будет ли автоматически использоваться прописанный классический DNS, в случае временной недоступности серверов по DOH и DOT? 

При наличии dot/doh обычные не используются совсем.

Недоступность dot/doh не влияет на поведение.

[keenet07]

Хорошо. Но вот как уже выясняется при работе DOH используются в некоторой степени. Причем ещё и с какой-то периодичностью. Вижу в Диагностике в Активных соединениях среди соединений роутера появляются соединения на эти служебные простые DNS сервера. Довольно часто.

[r13]

2 минуты назад, keenet07 сказал:

Хорошо. Но вот как уже выясняется при работе DOH используются в некоторой степени. Причем ещё и с какой-то периодичностью. Вижу в Диагностике в Активных соединениях среди соединений роутера появляются соединения на эти служебные простые DNS сервера. Довольно часто.

Хотите без bootstrap, используйте dot.

PS в хотя подмены в bootstrap можно в принципе не боятся, так как не верный ресурс не пройдет валидацию по сертификатам.

Изменено 19 июля, 2019 пользователем r13

[keenet07]

Заметил что при работе DOH роутер открывает большое количество отдельных соединений на  свой DNS сервер. Это нормально? На каждый запрос отдельное соединение как при работе обычного DNS? Я думал будет работать внутри установленного HTTPS соединения.

При настроенном DOT соединение висело одно. (в Активных соединениях)

Изменено 19 июля, 2019 пользователем keenet07

[keenet07]

DOH почему-то вообще отказывался работать при запрещённых исходящих для роутера на 80 порт. Разве он не по 443 сразу работает?

[keenet07]

Всё понятно. Сложная конструкция при работе через DOH получается. Для меня преимущества пока не очевидны. Останусь пока на DOT.

Хотя работа через DOT  у меня почему-то в два раз медленнее чем через DOH (через тот же CloudFlare)

Изменено 19 июля, 2019 пользователем keenet07

[keenet07]

16 минут назад, Le ecureuil сказал:

Можно и то, и другое одновременно включить, а роутер сам выберет самое быстрое/доступное и будет работать через него.

Это хорошо. Но я стремлюсь к уменьшению лишних соединений, чтоб всё было визуально понятно кто куда и зачем.

Кстати, подскажите на порту 4044 роутер что делает?

 

Le ecureuil: offtop, прекращаем

Изменено 19 июля, 2019 пользователем Le ecureuil

[cmisha]

8 минут назад, Le ecureuil сказал:

Можно и то, и другое одновременно включить, а роутер сам выберет самое быстрое/доступное и будет работать через него.

Решил попробовать DoH. Мои настройки.

JSON:
https://dns.google/resolve
https://cloudflare-dns.com/dns-query?ct=application/dns-json

Запускаю DNS Leak Test:

• Your IP: 189.42.183.166
• DNS IP: 162.158.87.78
• Hostname: 162.158.87.78
• ISP: Cloudflare
• Country: Germany
• City: Frankfurt Am Main
• Хотя ближайший - 1.0.0.1 находится в Москве.
• А это Гугл:
• Your IP: 189.42.183.166
• DNS IP: 74.125.112.13
• Hostname: 74.125.112.13
• ISP: Google
• Country: Finland
• City: Lappeenranta

Изменено 19 июля, 2019 пользователем cmisha

[Le ecureuil]

Ближайший по географии - не всегда ближайший в Интернет. Порой из-за пиринговых войн Стокгольм оказывается ближе чем соседняя квартира но с другим провайдером.

[cmisha]

1 минуту назад, Le ecureuil сказал:

Ближайший по географии - не всегда ближайший в Интернет. Порой из-за пиринговых войн Стокгольм оказывается ближе чем соседняя квартира но с другим провайдером.

То да. Просто привел свой пример. Если будет время проверьте команду bantime, не хочет прописываться в конфиг.

[Le ecureuil]

48 минут назад, cmisha сказал:

То да. Просто привел свой пример. Если будет время проверьте команду bantime, не хочет прописываться в конфиг.

Эти команды давно устарели и больше ничего не делают.

[Inocenty]

По рекомендациям Le ecureuil - AdGuard+несколько вручную, - взлетело сразу (KN-1910). Даже не интересно так....

Вопрос: это AdGuard такой жручий до памяти или ещё что?

[keenet07]

Иногда бывает ситуация когда у провайдера падает аплинк и нет инета, но остальные локальные его сервисы работают. Но по понятным причинам все эти DOT/DOH сервера становятся не доступными и местные адреса серверов не резолвятся. Например не зайти в ЛК.

Так вот в этом случае приходится временно прописывать DNS провайдера. Но когда у тебя забито куча полей в настройках DOT/DOH удалять всё, пусть даже временно не хочется, а только так можно вернуться к работе стандартного DNS. 

Вот были бы отдельные выключатели полностью для сервисов  DOT/DOH без удаления записей. Нажал, поработал. Вернулся интернет, переключил обратно.

Особенно актуально когда наступает новый месяц, а интернет ещё не проплачен и соответственно он блокируется, включая DNS сервисы. И в личный кабинет провайдера, чтобы пополнить счёт просто так уже не попасть без смены DNS.

Изменено 1 августа, 2019 пользователем keenet07

[Sergey Zozulya]

@keenet07 случалось такое уже три раза. Мне помогает прописать любой "обычный" DNS в свойствах проводного соединения.

[keenet07]

22 минуты назад, Sergey Zozulya сказал:

@keenet07 случалось такое уже три раза. Мне помогает прописать любой "обычный" DNS в свойствах проводного соединения.

В случае с DOT/DOH это никак не поможет. Когда они активны простые DNS игнорируются.

[Sergey Zozulya]

1 minute ago, keenet07 said:

Когда они активны простые DNS игнорируются.

Это мне известно, но факт - добавление DNS в настройки проводного интерфейса помогло во всех трех случаях.

[Le ecureuil]

DNS на конкретное соединение не игнорируется - именно по причине, озвученной выше. Можно еще его даже до домена ограничить.

[Татьяна Любимцева]

Про оптимальные настройки.

Вроде тут пишут https://developers.google.com/speed/public-dns/docs/dns-over-tls

The stub resolver is configured with the DNS-over-TLS resolver name dns.google. 

А не dns.google.com. Нет?

 

И там же, что у Google DoH есть JSON? 

Google Public DNS provides two distinct DoH APIs at these endpoints:

• https://dns.google/dns-query – RFC 8484 (GET and POST)
• https://dns.google/resolve? – JSON API (GET)

[rustrict]

5 часов назад, Татьяна Любимцева сказал:

Вроде тут пишут https://developers.google.com/speed/public-dns/docs/dns-over-tls

The stub resolver is configured with the DNS-over-TLS resolver name dns.google. 

А не dns.google.com. Нет?

Да, Google рекомендует использовать в качестве Authentication Domain Name (ADN) адрес dns.google. Он же прописан в их сертификате как «Common Name» (CN).

Но в этом же сертификате есть поле «Subject Alternative Name» (SAN), в котором есть адрес dns.google.com. Поэтому проблем с подключением по такому адресу быть не должно.

Mac-mini:~ rustrict$ echo | openssl s_client -connect dns.google.com:853 | openssl x509 -text | grep "DNS:"
depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = US, O = Google Trust Services, CN = GTS CA 1O1
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = dns.google
verify return:1
DONE
                DNS:dns.google, DNS:*.dns.google.com, DNS:8888.google, DNS:dns.google.com, DNS:dns64.dns.google,
                IP Address:2001:4860:4860:0:0:0:0:64, IP Address:2001:4860:4860:0:0:0:0:6464, IP Address:2001:4860:4860:0:0:0:0:8844,
                IP Address:2001:4860:4860:0:0:0:0:8888, IP Address:8.8.4.4, IP Address:8.8.8.8

Ну и собственно пример запроса:

rustrict@debian:~$ kdig -d @dns.google.com +tls-ca +tls-host=dns.google.com keenetic.com
;; DEBUG: Querying for owner(keenetic.com.), class(1), type(1), server(dns.google.com), port(853), protocol(TCP)
;; DEBUG: TLS, imported 128 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=California,L=Mountain View,O=Google LLC,CN=dns.google
;; DEBUG:      SHA-256 PIN: vEbqO29VPXOULHxmGJxvrlGDm1MJ4XJQ6MtmlpgvL40=
;; DEBUG:  #2, C=US,O=Google Trust Services,CN=GTS CA 1O1
;; DEBUG:      SHA-256 PIN: YZPgTZ+woNCCCIW3LH2CxQeLzB/1m42QcCTBSdgayjs=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted. 
;; TLS session (TLS1.3)-(ECDHE-X25519)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 13351
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 512 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; keenetic.com.       		IN	A

;; ANSWER SECTION:
keenetic.com.       	3599	IN	A	46.105.148.88

;; Received 57 B
;; Time 2019-09-01 18:49:02 MSK
;; From 2001:4860:4860::8888@853(TCP) in 58.0 ms

 

[Le ecureuil]

dns.google появился не так давно, все уже привыкли к dns.google.com

[project_fcc]

В 18.06.2019 в 14:36, Le ecureuil сказал:

К счастью, adguard полностью поддерживает doh/dot.

kn-1010

3.3 Alpha 1.1

установлены компоненты dot/doh, включен интернет-фильтр Adguard, другие dns  в роутере не прописаны

в лог пишется много таких сообщений, нужно ли  с этим что-то делать и на что это влияет?

Sep  8 19:51:49 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:49 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:54 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:54 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled
Sep  8 19:51:54 Keenetic_Giga https-dns-proxy: DNS lookup failed: DNS query cancelled

 

[Mixin]

Разобрался.

 

Изменено 13 сентября, 2019 пользователем Mixin

[Егор Бредюк]

2 минуты назад, r13 сказал:

Нет, на блокировку это не влияет. 

А что за хайп сейчас везде начинается, что файрфокс и хром "научились" обходить блокировку РКН благодаря DoH? Или суть разная ?

[Кинетиковод]

15 минут назад, Егор Бредюк сказал:

А что за хайп сейчас везде начинается, что файрфокс и хром "научились" обходить блокировку РКН благодаря DoH? Или суть разная ?

Ни DoH, ни DoT вам не поможет. Но решение для пацанов всё же есть. Правда данное решение Windows only.

[keenet07]

@Егор Бредюк Такое срабатывает у тех у кого древний отсталый провайдер который не использует правильную блокировку. А тупо подменяет все проходящие DNS запросы по блэклисту перенаправляя вас на страничку-заглушку.

И то как правило сам этот провайдер может закупать интернет у вышестоящего в котором уже есть полноценная блокировка с анализом заголовков пакетов. Даже если вы получили правильный IP через скрытый DNS запрос, подключиться вы всё-равно не сможете, т.к. первый же пакет на адрес выдаст вас с потрохами.

[rustrict]

Пожалуйста, подскажите: в настоящий момент можно ограничить работу DoT/DoH каким-то отдельным сегментом? То есть я хочу, чтобы в Home устройства резолвились только через DoT, а в Guest — только через провайдерские сервера. Или я слишком губу раскатал?

P. S. Да, можно прописать в настройках DHCP для сегмента сервера провайдера, но по IPv6 link-local все равно работает DoT/DoH (во всех сегментах), а он клиентскими устройствами с IPv6 выбирается как приоритетный.