Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[Le ecureuil]

16 часов назад, cheburashkaDNS сказал:

да, вы абсолютно правы. отключил - пропало.

я так понимаю для полного удаления KeenDNS нужно удалить компонент "Агент облачной службы Keenetic Cloud и KeenDNS" и тогда запросы по порту UDP/4044 прекратятся?

Скорее всего да.

[Константин Костин]

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0

self-test.txt

Изменено 15 августа, 2020 пользователем Константин Костин

[R .R]

On 15.08.2020 at 16:08, Константин Костин said:

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0 

self-test.txt 605,21 kB · 6 загрузок

Вот вроде у Сloudflare можно првоерить работает или нет. https://www.cloudflare.com/ssl/encrypted-sni/

[stefbarinov]

В 06.11.2019 в 23:37, Le ecureuil сказал:

Так оно уже есть - включаете adguard (или начиная с 3.3 еще и skydns), устанавливаете dot/doh - и вуаля! Вообще никуда не нужно тыкать

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

Изменено 23 декабря, 2020 пользователем stefbarinov

[stefbarinov]

1 час назад, stefbarinov сказал:

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

На скринах ситуация, когда удалены введённые ручками DoT/DoH

[Nick_]

Здравствуйте!

Есть проблемы при работе DNS over HTTPS. Постоянно получаю ошибки в системном журнале: "TLS certificate verify error: Error" (https-dns-proxy)

Хотя при проверке в командной строке через обе команды вроде бы всё работает. (Но, правда иногда, эти 2 команды показывают разные результаты, особенно "show cloudflare-dns availability")...

("show adguard-dns availability" и "show cloudflare-dns availability").

 

Использую следующие сервера:

https://mozilla.cloudflare-dns.com/dns-query и https://dns.google/dns-query

Вопросы:

1) Что нужно сделать, чтобы избежать ошибки "TLS certificate verify error: Error" (https-dns-proxy) ???

2) Насколько я понимаю, то в полях DNS over TLS и DNS over HTTPS не поддерживается протокол IPv6.

Тогда, планируется ли (и примерно когда?) поддержка IPv6 для DoT и DoH ???

P.S. KeeneticOS: 3.6.1 (последняя, стабильная).

Изменено 16 марта, 2021 пользователем Nick_

[Le ecureuil]

1) Если все работает, можете пока игнорировать.

2) А зачем IPv6?

[Nick_]

В 16.03.2021 в 11:57, Le ecureuil сказал:

1) Если все работает, можете пока игнорировать.

ОК. Может быть в следующих версиях KeeneticOS что-нибудь подправят в работе DNS over HTTPS...

В 16.03.2021 в 11:57, Le ecureuil сказал:

2) А зачем IPv6?

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

[Le ecureuil]

1 час назад, Nick_ сказал:

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

Это кто вам такое сказал?  И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

[Nick_]

20 часов назад, Le ecureuil сказал:

Это кто вам такое сказал?

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

  

20 часов назад, Le ecureuil сказал:

И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

На мой взгляд дополнительная безопасность не помешает... IMHO. 

 

И ещё вопрос:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Изменено 18 марта, 2021 пользователем Nick_

[Le ecureuil]

В 18.03.2021 в 16:28, Nick_ сказал:

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

Это все никак не связано с IPsec, если что. А нагрузка даже повыше в чем-то: аппаратная маршрутизация не везде работает для IPv6.

[Le ecureuil]

В 18.03.2021 в 16:28, Nick_ сказал:

На мой взгляд дополнительная безопасность не помешает... IMHO. 

Не верю, что у вас НАСТОЛЬКО важные DNS запросы, что их нельзя показывать никому в мире. Причем скорее всего с CF или там Quad9 коннектитесь, а что они делают дальше никто не знает.

[Le ecureuil]

В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Оба используются в равной мере. А вот нешифрованные варианты отключаются полностью.

[Ahmed Ensar]

Google Translate:

I said about the dot-doh problem two months ago, nobody was interested.

 

[vasek00]

В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Мне для AdguardHome больше нравяться dot, пробовал как и оба так и один doh.

[Andrey Mindrin]

В 16.03.2021 в 10:31, Nick_ сказал:

Есть проблемы при работе DNS over HTTPS. Постоянно получаю ошибки в системном журнале: "TLS certificate verify error: Error" (https-dns-proxy)

Всем привет.

Имею такую же ошибку : https-dns-proxy TLS certificate verify error: Error

Не обращал внимания пока сегодня не отвалилось разрешение имен через интернет фильтр cloudflare-dns.com. 

Если профиль фильтрации отключить  и перейти на DoT  то  имена резолвятся на ура.

Куда копать ?

 

 

[AndreBA]

4 часа назад, Andrey Mindrin сказал:

Всем привет.

Имею такую же ошибку : https-dns-proxy TLS certificate verify error: Error

Не обращал внимания пока сегодня не отвалилось разрешение имен через интернет фильтр cloudflare-dns.com. 

Если профиль фильтрации отключить  и перейти на DoT  то  имена резолвятся на ура.

Куда копать ?

 

Не Ваш случай?:

Цитата

 

 

[funkerwolf]

С обновлением на 3.7 Alpha 9 началась такая шляпа и из-за этого страницы с глюками открываются периодически.

 

Spoiler

А почему бы основу прошивок не перевести там на, например, Windows IoT? Столько проблем разом решилось и за одно выделяться на рынке можно мощно.

 

Изменено 21 мая, 2021 пользователем funkerwolf

[Mihail_Boyanskiy]

Привет. Подскажите пожалуйста: Я установил стандартный компонент DOH-proxy, прописал DOH-сервер Adguard, смотрю активные соединения и из сети провайдера идёт трафик к Adguard-DNS по 443 порту. НО, раз приблизительно в 3 минуты идут запросы к стандартным серверам моего провайдера по порту 53. Это нормально? Причём шлёт их видимо сам роутер, по скольку из домашней сети все dns-запросы идут только к 192.168.1.1 (Роутеру) по udp/53 порту.

[keenet07]

34 минуты назад, Mihail_Boyanskiy сказал:

Привет. Подскажите пожалуйста: Я установил стандартный компонент DOH-proxy, прописал DOH-сервер Adguard, смотрю активные соединения и из сети провайдера идёт трафик к Adguard-DNS по 443 порту. НО, раз приблизительно в 3 минуты идут запросы к стандартным серверам моего провайдера по порту 53. Это нормально? Причём шлёт их видимо сам роутер, по скольку из домашней сети все dns-запросы идут только к 192.168.1.1 (Роутеру) по udp/53 порту.

Да, несколько служебных открытых DNS запросов роутер будет периодически слать при работе DOH. Это нормально. Основной трафик к DNS внутри DOH.

Вот вам https://www.dnsleaktest.com

Изменено 21 мая, 2021 пользователем keenet07

[Mihail_Boyanskiy]

2 часа назад, keenet07 сказал:

Да, несколько служебных открытых DNS запросов роутер будет периодически слать при работе DOH. Это нормально. Основной трафик к DNS внутри DOH.

Вот вам https://www.dnsleaktest.com

 

Ага, тут возникает следующий вопрос, если честно хотелось бы даже услышать мнение разработчиков.

При работе Adgurrd-DNS через HTTPS роутер шлёт запросы через разные DNS.

Ниже напишу через какие.

В разделе проводные подключения, там где провайдер, я удалил все DNS и поставил галочку "Игнорировать DNS, но раз в некоторое время вижу открытые запросы. И если служебные dns-запросы через udp/53 норма, возникает вопрос почему эти запросы каждый раз через разные серверы: То через Гугл, то через Cloudflare, ну и как собственно этого избежать?

Через Wireshark я выяснил что хоть все запросы и через разные серверы, но запрос всё время один, запрашивается домен "dns.adguard.com".

Вот IP серверов:

1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4 и это бы ладно, но ведь это не все. Вот ещё: 145.100.185.15, 145.100.185.16, 185.49.141.37 (getdnsapi.net).

Чьи вот эти dns? Какая политика у них? Я о них абсолютно ничего не знаю, я их в роутер не прописывал.

Как сделать так, чтобы не иметь дел с DNS которым я не доверяю?

[Mamay]

11 час назад, funkerwolf сказал:

 

  Скрыть содержимое

А почему бы основу прошивок не перевести там на, например, Windows IoT? Столько проблем разом решилось и за одно выделяться на рынке можно мощно.

 

ШТА?

[keenet07]

@Mihail_Boyanskiy

Это лучшие публичные DNS сервера. Используются все и сразу для лучшей отказоустойчивости. Нужны для резолвинга рабочих доменов DOH или  "dns.adguard.com" как вы выше уже писали.

Отключить это нельзя. Если хотите чтоб прям роутер совсем не обращался ни к каким обычным DNS серверам, то работайте только через DOT. Для него эта процедура не требуется.

Изменено 21 мая, 2021 пользователем keenet07

[Mihail_Boyanskiy]

42 минуты назад, keenet07 сказал:

@Mihail_Boyanskiy

Это лучшие публичные DNS сервера. Используются все и сразу для лучшей отказоустойчивости. Нужны для резолвинга рабочих доменов DOH или  "dns.adguard.com" как вы выше уже писали.

Отключить это нельзя. Если хотите чтоб прям роутер совсем не обращался ни к каким обычным DNS серверам, то работайте только через DOT. Для него эта процедура не требуется.

 

Возможно это и лучшие сервера, но о последних трёх я абсолютно ничего не слышал. Более того, даже в Яндексе инфы о них не так много. Ну да ладно. Как бы там нибыло, было бы просто замечательно если бы сделали выбор через какой открытый DNS-сервер получать информацию о DOH. Так например сделано вот здесь:

https://github.com/AdguardTeam/dnsproxy

[vk11]

1 час назад, Mihail_Boyanskiy сказал:

 

1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4 и это бы ладно, но ведь это не все. Вот ещё: 145.100.185.15, 145.100.185.16, 185.49.141.37 (getdnsapi.net).

Чьи вот эти dns? Какая политика у них? Я о них абсолютно ничего не знаю, я их в роутер не прописывал.

https://kb.adguard.com/ru/general/dns-providers

[vk11]

1 час назад, Mihail_Boyanskiy сказал:

И если служебные dns-запросы через udp/53 норма, возникает вопрос почему эти запросы каждый раз через разные серверы: То через Гугл, то через Cloudflare, ну и как собственно этого избежать?

Если речь действительно о служебном, то вот статья, что и как. Пункт 6. И отключить можно. Служебный трафик

Вообще, на сайте много очень полезных статей. В том числе и по DoT/DoH, и про чеки интернета, и пр.

[НиколайLT]

Продублирую тут свой вопрос из ветки 4pda.

День добрый, как я понял по данному комментарию, лучше не использовать DoH в данной модели (Keenetic Lite KN-1310), на данном чипе?

 

1).
В настройках роутера установлена галочка "Игнорировать DNS"
Прописаны DoT адреса от cloudflare:
1.1.1.2 - security.cloudflare-dns.com
1.0.0.2 - security.cloudflare-dns.com

компонент DoH установлен но пока не используется.

Почему в интерфейсе выхода в интернет, проскакивает 53 порт?
на скрине с адресом 1.0.0.1, так же был 1.1.1.1

 

Скрытый текст

 

2).
В соединениях моего ПК не видно 853 порта, есть 80, 53, 443 и остальные которые используют различные приложения такие как гугл, антивирус, сам майкрософт...
Я так понял это норма?

 

Скрытый текст

 

3).

Если допустим активировать фильтр "AdGuard DNS"
На некоторые ус-ва выставить профиль "семейный", а на остальные "Без фильтрации". Будут ли работать устройства на которых выставлен профиль "Без фильтрации", с прописанными вручную DoT (в моём случае от Cloudflare) и DoH?

KeeneticOS 3.6.10

[Le ecureuil]

1. Да, все норм. 53 порт используется для bootstrap.

2. Да, норм.

3. Да.

[НиколайLT]

2 часа назад, Le ecureuil сказал:

1. Да, все норм. 53 порт используется для bootstrap.

2. Да, норм.

3. Да.

Благодарю. Не совсем понял что такое bootstrap. мои проблемы.

 

На этот ответьте пожалуйста:

День добрый, как я понял по данному комментарию, лучше не использовать DoH в данной модели (Keenetic Lite KN-1310), на данном чипе?

Если не против ссылку на ваш ответ скину обратно в ветку по данному роутеру на 4pda, для будущих любопытных пользователей.

[KolinPower]

В 16.04.2020 в 22:03, cmisha сказал:

это не правильно: https upstream https://cloudflare-dns.com/dns-query json

должно быть:  https upstream https://cloudflare-dns.com/dns-query dnsm

а лучше так;

----DoH----
DNS Message:
https://1.0.0.1/dns-query

https://1.1.1.1/dns-query

 

В 17.04.2020 в 14:57, Le ecureuil сказал:

Без sni нехорошо, не будет валидации сертификата и провайдер может подменить вашу сессию с CF.

Le ecureuil, скажите, это вы ответили на сообщение cmisha ?