Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[keenet07]

@rustrict Да. Активируйте и настройте фильтр AdGuard.

[WMac]

А что насчет ESNI?

[LiqLover]

При добавлении серверов DoT получаю такое сообщение:

Quote

Сен 26 23:06:07

 

ndm

Dns::Secure::ManagerDot: DNS-over-TLS name server 185.228.169.9:853 added.

Сен 26 23:06:07

 

ndm

Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.google.

Сен 26 23:06:07

 

ndm

Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.google.

Сен 26 23:06:07

 

ndm

Dns::Secure::ManagerDot: invalid DNS-over-TLS server SNI: dns.quad9.net.

Если указать Доменное имя TLS dns.google.com, то Гугл серверы добавляются,

Quote

Сен 27 00:06:23

 

ndm

Dns::Secure::ManagerDot: DNS-over-TLS name server 8.8.8.8:853 added.

Сен 27 00:06:23

 

ndm

Dns::Secure::ManagerDot: DNS-over-TLS name server 8.8.4.4:853 added.

а quad9 я не понял как заставить работать.
Все это на Ultra 1810, 3.1

[Le ecureuil]

В 23.09.2019 в 15:13, WMac сказал:

А что насчет ESNI?

А что насчет ESNI?

Там даже стандарта еще вменяемого нет - то им в _esni@TXT пихайте публичный ключ, то уже в IN ESNI...

Пусть сперва выйдет хоть что-то типа RFC или хотя бы дефакто будет поддержка сразу и в Chrome, и в Firefox.

[WMac]

2 минуты назад, Le ecureuil сказал:

А что насчет ESNI?

Encrypted server name indication

Wiki

Стандарт Encrypted SNI реализован в Firefox Nightly

[rustrict]

@enpa, возможно стоит перенести из английской версии статьи про DoT/DoH в русскую уточнение про флаг ESNI в чекере Cloudflare?

The Encrypted SNI (ESNI) feature must be enabled in the browser itself to pass the test on that page.

Сейчас не совсем понятно из русской статьи, что резолвер в кинетике проверку ESNI не обеспечивает на той странице. Это уж не говоря про особенности браузеров. В Firefox, например, ESNI не будет задействовано без работы через встроенный DoH-резолвер и включенной опции в about:config. И только на тех сайтах, что добавили TXT-запись с публичным ключом к поддомену _esni (на эту тему есть тикет в баг-трекере Мозиллы — https://bugzilla.mozilla.org/show_bug.cgi?id=1500289).

Изменено 27 сентября, 2019 пользователем rustrict

[krass]

ESNI не панацея... 

https://habr.com/ru/post/468603/        // заголовок слишком громкий...

В комментах отписались, что  "провайдерские DPI уже если не видят в TLS-хендшейке имени хоста (как это происходит и в случае с eSNI), сразу рвут соединение. И не исключено, что рано или поздно РКНом или провайдерами просто будет заявлено «Хотите, чтобы все работало — отключайте eSNI. А не хотите — как хотите».

[hellonow]

@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil

Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.

[rustrict]

12 минуты назад, enpa сказал:

@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil

Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.

Это не была реклама ESNI

Мне казалось, что пользователей будет смущать "x" в том тесте после настройки. Видимо, вы правы, текущего текста достаточно.

[dpokrovsky]

Интересно, а почему для DoT решили сделать настройку с IP и SNI, а не использовать только URL с bootstrap'ом через указанные/полученные name-servers или через встроенный список, если "из коробки"? Почему не сделали по аналогии с DoH? Ведь так, кажется, гибче.

[r13]

5 минут назад, dpokrovsky сказал:

Интересно, а почему для DoT решили сделать настройку с IP и SNI, а не использовать только URL с bootstrap'ом через указанные/полученные name-servers или через встроенный список, если "из коробки"? Почему не сделали по аналогии с DoH? Ведь так, кажется, гибче.

Вроде url тоже работает. 

[dpokrovsky]

5 минут назад, r13 сказал:

Вроде url тоже работает. 

Действительно. Супер.

[cmisha]

Заметил, что начиная с версии 3.3 Alpha 7 начал отваливаться DNS Гугла, примерно через 2 дня после перезагрузки роутера. В субботу через 3 часа после выхода. установил Alpha 8 и сегодня в понедельник утром заметил что DNS Гугла опять нет. Проверяю здесь.

Настройки такие:

----DoH----
DNS Message:
https://1.0.0.1/dns-query
https://dns.google/dns-query

При этом Cloudflare продолжает работать.

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40508    2401    2209      137       9ms      76ms    10  
               127.0.0.1  40509    3299    3123      110     253ms     220ms     4  

              proxy-safe: 

             proxy-https: 
             server-https: 
                          uri: https://1.0.0.1/dns-query
                       format: dnsm
                         spki: 
                    interface: GigabitEthernet1

             server-https: 
                          uri: https://dns.google/dns-query
                       format: dnsm
                         spki: 
                    interface: GigabitEthernet1
Время отклика очень большое может это связано с этим хотя не думаю. Команды bantime больше нет.

[Le ecureuil]

Они оба используются, но тот, кто быстрее отвечает - от того ответ вам и пересылают. Вот и выглядит так, что google отвалился, хотя по факту он просто стал медленнее и его ответы игнорируются.

[Alex M. Jake]

Попутный вопрос. Если включён DoT/DoH, что происходит с "проходящими" DNS запросами? Если пропускаются, то можно ли завернуть из на DoT/DoH резолвер Кинетика?

[keenet07]

59 минут назад, Alex M. Jake сказал:

Попутный вопрос. Если включён DoT/DoH, что происходит с "проходящими" DNS запросами? Если пропускаются, то можно ли завернуть из на DoT/DoH резолвер Кинетика?

Да. Нужно активировать Интернет-фильтр AdGuard и выбрать в нем без фильтации (или что-то подобное). И всё транзитные обращения на 53 должны будет заворачиваться на DoH/DoT.

Изменено 30 октября, 2019 пользователем keenet07

[Kazantsev]

Всем привет, я правильно понимаю, если прописать DOT/DOH, можно не удалять DNS от провайдера в интернет соединении? они будут просто отключены, правильно?

[AndreBA]

3 минуты назад, Anton_link сказал:

Всем привет, я правильно понимаю, если прописать DOT/DOH, можно не удалять DNS от провайдера в интернет соединении? они будут просто отключены, правильно?

Цитата:

Цитата

Важно! При включении протокола DoT/DoH все DNS-запросы будут направляться на указанный при настройке адрес сервера. Полученные ранее DNS-сервера от вашего интернет-провайдера и прописанные вручную DNS-сервера использоваться не будут.

Статья для чтения.

[Татьяна Любимцева]

Работу Гугловского DOH можно как то проверить?

[Татьяна Любимцева]

Непонятно как активные соединения обновляются. 

Иногда что то проскакивает на 53й

Но обычно одна строка: 

Keenetic_Start (KMTN) ххх,ххх,ххх,ххх
:58172	8.8.4.4	TCP/443

или

:53025	1.0.0.1	UDP/53
:51499	8.8.4.4	UDP/53

 

Что это вообще

Изменено 6 ноября, 2019 пользователем Татьяна Любимцева

[keenet07]

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов инициированных роутером по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

Изменено 6 ноября, 2019 пользователем keenet07

[r13]

5 минут назад, keenet07 сказал:

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов с роутера по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

@Татьяна Любимцева

Там bootstrap идет через plain dns гугла что бы сам doh сервер отрезолвить в ip.

Изменено 6 ноября, 2019 пользователем r13

[keenet07]

2 минуты назад, r13 сказал:

Там bootstrap идет через plain dns гугла что бы сам doh сервер отрезолвить в ip.

Точно. Скорее всего. ) Я сам только на DOT у меня этого не требуется. )

Изменено 6 ноября, 2019 пользователем keenet07

[cmisha]

У меня тоже DoH и все запросы идут через 443 порт.  А в разделе "Серверы DNS" у вас пусто?

[Татьяна Любимцева]

Пусто. А настройки то правильные у меня?

[r13]

4 минуты назад, Татьяна Любимцева сказал:

Пусто. А настройки то правильные у меня?

Если нет специфических требований, настраивайте DNS-over-TLS он и в настройке проще, и менее ресурсоемкий.

[Татьяна Любимцева]

DOH  вроде быстрее пишут, нет?

[curious]

Только что, r13 сказал:

Если нет специфических требований, настраивайте DNS-over-TLS он и в настройке проще, и менее ресурсоемкий.

и более безопасный.

[r13]

Только что, Татьяна Любимцева сказал:

DOH  вроде быстрее пишут, нет?

Не, DOT

[cmisha]

Добавьте еще этот, очень быстро отвечает.

DNS Message:
https://1.0.0.1/dns-query

Роутер перезагрузите.

Изменено 6 ноября, 2019 пользователем cmisha